2.1.1. Moteur Malcore
2.1.1.1. Présentation
Le moteur de détection Malcore permet :
la détection des malwares par une analyse statique et heuristique multi-moteurs en temps réel des fichiers
l'analyse via 16 moteurs Anti-Virus
une performance d’analyse à plus de 6 millions de fichiers par 24h
Attention
Les noms "engine hash" des moteurs sont susceptibles de changer au cours du temps.
2.1.1.2. Événements générés
- dans l'interface principale nommée WEB UI du GCenter dans l'écran
`Alerts`(l'interface principale nommée WEB UI est décrite dans la Présentation de l'interface graphique WEB UI).Pour visualiser les alertes; il faut sélectionner le filtre MALWARE et ainsi visualiser la liste des alertes : voir la présentation de l'Ecran `Alerts` de la web UI.En cliquant sur une alerte, les informations détaillées de cette alerte sont affichées : voir Exemple d'alerte Malcore dans la webui. - Dans l'interface Kibana UIPour visualiser les alertes; il faut sélectionner le filtre MALWARE et ainsi visualiser la liste des alertes : voir la présentation de l'Ecran `Alerts` de la web UI.En cliquant sur une alerte, il faut sélectionner sur la commande
`Flow details`puis sélectionner la flèche à gauche de l'alerte.L'interface affiché est l'interface nommée Kibana UI (décrite dans la Présentation de l'interface graphique Kibana).Les informations détaillées de cette alerte sont visualisables en format tableau ou jason (voir Exemple de log Malcore).
Dans l'interface principale WEB UI, il est possible de :
télécharger le fichier source
l'envoyer vers la GBox ou vers le site Intelligence
récupérer le rapport d'analyse
2.1.1.2.1. Exemple d'alerte Malcore dans la webui
Les compteurs sont détaillées dans la Structure des données des logs Malcore.
2.1.1.2.2. Exemple de log Malcore
{
"_index": "malware-2023.10.09-000162",
"_type": "_doc",
"": "Dr-PE4sBeBoubSygq3KJ",
"_version": 1,
"_score": 1,
"_source": {
"proto": "TCP",
"gcap": "gcap-xxxxxxxxx.domain.local",
"uuid": "f639c844-3f6f-40fa-86c4-47ff603880e2",
"host": "gcap-xxxxxxxxx.domain.local",
"timestamp": "2023-10-09T08:23:13.332538+0000",
"email": {
"status": "PARSE_DONE",
"to": [
"test@gouv.fr"
],
"attachment": [
"smtptest-2021-02-24T17-30-01Z.zip"
],
"from": "heartbeat@free.fr"
},
"processing_time": 1341,
"dest_ip": "x.x.x.x",
"detail_scan_time": 245,
"src_port": 36746,
"event_type": "malware",
"@version": "1",
"analyzers_up": 16,
"vlan": [
3044
],
"analyzed_clean": 0,
"analyzed_other": 7,:
"file_type_description": "ZIP Archive",
"timestamp_analyzed": "2023-10-09T08:31:04.503Z",
"state": "Infected",
"analyzed_infected": 9,
"dest_port": 25,
"engines_last_update_date": "2023-07-11T11:32:00Z",
"detail_threat_found": "Infected : EICAR-Test-File (not a virus) (B), Virus/EICAR_Test_File, EICAR-Test-File (not a virus), Eicar test file, EICAR_Test_File, Eicar-Signature, Eicar-Test-Signature, EICAR_Test_File, EICAR-Test-File",
"magic_details": "Zip archive data, at least v2.0 to extract",
"total_found": "9/16",
"detail_wait_time": 1096,
"timestamp_detected": "2023-10-09T08:23:13.332Z",
"type": "malcore",
"code": 1,
"file_type": "application/zip",
"smtp": {
"mail_from": "<heartbeat@free.fr>",
"rcpt_to": [
"<test@gouv.fr>"
],
"helo": "gouv.fr"
},
"engine_id": {
"0": {
"threat_details": "EICAR-Test-File (not a virus) (B)",
"id": "038e407ba285f0e01dd30c6e4f77ec19bad5ed3dc866a2904ae6bf46baa14b74",
"scan_result": "INFECTED"
},
"1": {
"threat_details": "Virus/EICAR_Test_File",
"id": "054a20c51cbe9d2cc7d6a237d6cd4e08ab1a67e170b371e632995766d3ba81af",
"scan_result": "INFECTED"
},
"2": {
"threat_details": "Unavailable (permanently_failed)",
"id": "0ff95ddb1117d8f36124f6eac406dbbf9f17e3dd89f9bb1bd600f6ad834c25db",
"scan_result": "NOT_SCANNED"
},
"3": {
"threat_details": "EICAR-Test-File (not a virus)",
"id": "312a189607571ec2c7544636be405f10889e73d061e0ed77ca0eca97a470838d",
"scan_result": "INFECTED"
},
"4": {
"threat_details": "Eicar test file",
"id": "32f2f45e6d9faf46e6954356a710208d412fac5181f6c641e34cb9956a133684",
"scan_result": "INFECTED"
},
"5": {
"threat_details": "Unavailable (production)",
"id": "3bfeb615a695c5ebaac5ade948ffae0c3cfec3787d4625e3abb27fa3c2867f53",
"scan_result": "NOT_SCANNED"
},
"6": {
"threat_details": "EICAR_Test_File",
"id": "4ca73ae4b92fd7ddcda418e6b70ced0481ac2d878c48e61b686d0c9573c331dc",
"scan_result": "INFECTED"
},
"7": {
"threat_details": "Unavailable (production)",
"id": "527db072abcf877d4bdcd0e9e4ce12c5d769621aa65dd2f7697a3d67de6cc737",
"scan_result": "NOT_SCANNED"
},
"8": {
"threat_details": "Unavailable (production)",
"id": "714eca0a6475fe7d2bf9a24bcae343f657b230ff68acd544b019574f1392de77",
"scan_result": "NOT_SCANNED"
},
"9": {
"threat_details": "Unavailable (production)",
"id": "95603b80d80fa3e98b6faf07418a55ed0b035d19209e3ad4f1858f6b46fa070a",
"scan_result": "NOT_SCANNED"
},
"10": {
"threat_details": "Unavailable (production)",
"id": "a9b912e461cec506780d8ad8e785cca6b233ad7c72335c262b0a4ab189afa713",
"scan_result": "NOT_SCANNED"
},
"11": {
"threat_details": "Eicar-Signature",
"id": "ad05e0dc742bcd6251af91bd07ef470c699d5aebbb2055520b07021b14d7380c",
"scan_result": "INFECTED"
},
"12": {
"threat_details": "Eicar-Test-Signature",
"id": "af6868a2b87b3388a816e09d2b282629ccf883b763b3691368a27fbd6f6cd51a",
"scan_result": "INFECTED"
},
"13": {
"threat_details": "Unavailable (production)",
"id": "b14014e40c0e672e050ad9c210a68a5303ce7facabae9eb2ee07ddf97dc0da0e",
"scan_result": "NOT_SCANNED"
},
"14": {
"threat_details": "EICAR_Test_File",
"id": "ecc47e2309be9838d6dc2c5157be1a840950e943f5aaca6637afca11516c3eaf",
"scan_result": "INFECTED"
},
"15": {
"threat_details": "EICAR-Test-File",
"id": "fe665976a02d03734c321007328109ab66823b260a8eea117d2ab49ee9dfd3f1",
"scan_result": "INFECTED"
}
},
"severity": 1,
"fileinfo": {
"md5": "c279be702893....",
"gaps": false,
"state": "CLOSED",
"magic": "Zip archive data, at least v2.0 to extract",
"file_id": 1,
"sha256": "4679e7f2018c19...",
"stored": true,
"filename": "smtptest-2021-02-24T17-30-01Z.zip",
"sid": [
1100043
],
"tx_id": 0,
"size": 51675
},
"flow_id": 1016694867777403,
"gcenter": "gcenter-xxx.domain.local",
"SHA256": "4679e7f2018c19...",
"src_ip": "X.X.X.X",
"in_iface": "monvirt",
"analyzed_error": 0,
"reporting_token": "No GBOX",
"analyzed_suspicious": 0,
"app_proto": "smtp",
"@timestamp": "2023-10-09T08:31:04.503Z"
},
"fields": {
"analyzed_other": [
7
],
"email.status": [
"PARSE_DONE"
],
"fileinfo.file_id": [
1
],
"engine_id.1.id": [
"054a20c51cbe9d2cc7d6a237d6cd4e08ab1a67e170b371e632995766d3ba81af"
],
"type": [
"malcore"
],
"engine_id.9.id": [
"95603b80d80fa3e98b6faf07418a55ed0b035d19209e3ad4f1858f6b46fa070a"
],
"smtp.helo": [
"gouv.fr"
],
"fileinfo.sid": [
1100043
],
"engine_id.1.threat_details": [
"Virus/EICAR_Test_File"
],
"engine_id.4.scan_result": [
"INFECTED"
],
"event_type": [
"malware"
],
"analyzed_suspicious": [
0
],
"engine_id.3.scan_result": [
"INFECTED"
],
"engine_id.1.scan_result": [
"INFECTED"
],
"engine_id.0.scan_result": [
"INFECTED"
],
"engine_id.2.scan_result": [
"NOT_SCANNED"
],
"state": [
"Infected"
],
"total_found": [
"9/16"
],
"engine_id.4.threat_details": [
"Eicar test file"
],
"analyzed_clean": [
0
],
"gcenter": [
"gcenter-int-128-dag.gatewatcher.com"
],
"engine_id.15.threat_details": [
"EICAR-Test-File"
],
"engine_id.6.id": [
"4ca73ae4b92fd7ddcda418e6b70ced0481ac2d878c48e61b686d0c9573c331dc"
],
"dest_ip": [
"x.x.x.x"
],
"engine_id.14.id": [
"ecc47e2309be9838d6dc2c5157be1a840950e943f5aaca6637afca11516c3eaf"
],
"gcap": [
"gcap-int-129-dag.gatewatcher.com"
],
"timestamp_analyzed": [
"2023-10-09T08:31:04.503Z"
],
"engine_id.5.threat_details": [
"Unavailable (production)"
],
"engine_id.15.id": [
"fe665976a02d03734c321007328109ab66823b260a8eea117d2ab49ee9dfd3f1"
],
"engine_id.3.id": [
"312a189607571ec2c7544636be405f10889e73d061e0ed77ca0eca97a470838d"
],
"engine_id.15.scan_result": [
"INFECTED"
],
"email.to": [
"test@gouv.fr"
],
"vlan": [
3044
],
"fileinfo.filename": [
"smtptest-2021-02-24T17-30-01Z.zip"
],
"engine_id.14.threat_details": [
"EICAR_Test_File"
],
"email.from": [
"heartbeat@free.fr"
],
"smtp.mail_from": [
"<heartbeat@free.fr>"
],
"timestamp": [
"2023-10-09T08:23:13.332Z"
],
"engine_id.0.threat_details": [
"EICAR-Test-File (not a virus) (B)"
],
"engine_id.8.id": [
"714eca0a6475fe7d2bf9a24bcae343f657b230ff68acd544b019574f1392de77"
],
"engine_id.7.threat_details": [
"Unavailable (production)"
],
"engine_id.0.id": [
"038e407ba285f0e01dd30c6e4f77ec19bad5ed3dc866a2904ae6bf46baa14b74"
],
"engine_id.5.scan_result": [
"NOT_SCANNED"
],
"engine_id.6.scan_result": [
"INFECTED"
],
"@timestamp": [
"2023-10-09T08:31:04.503Z"
],
"email.attachment": [
"smtptest-2021-02-24T17-30-01Z.zip"
],
"engine_id.7.scan_result": [
"NOT_SCANNED"
],
"engines_last_update_date": [
"2023-07-11T11:32:00.000Z"
],
"fileinfo.size": [
51675
],
"engine_id.9.scan_result": [
"NOT_SCANNED"
],
"engine_id.8.scan_result": [
"NOT_SCANNED"
],
"engine_id.12.id": [
"af6868a2b87b3388a816e09d2b282629ccf883b763b3691368a27fbd6f6cd51a"
],
"detail_threat_found": [
"Infected : EICAR-Test-File (not a virus) (B), Virus/EICAR_Test_File, EICAR-Test-File (not a virus), Eicar test file, EICAR_Test_File, Eicar-Signature, Eicar-Test-Signature, EICAR_Test_File, EICAR-Test-File"
],
"engine_id.12.threat_details": [
"Eicar-Test-Signature"
],
"reporting_token": [
"No GBOX"
],
"analyzed_infected": [
9
],
"fileinfo.tx_id": [
0
],
"engine_id.9.threat_details": [
"Unavailable (production)"
],
"engine_id.13.threat_details": [
"Unavailable (production)"
],
"engine_id.5.id": [
"3bfeb615a695c5ebaac5ade948ffae0c3cfec3787d4625e3abb27fa3c2867f53"
],
"uuid": [
"f639c844-3f6f-40fa-86c4-47ff603880e2"
],
"engine_id.10.threat_details": [
"Unavailable (production)"
],
"flow_id": [
1016694867777403
],
"fileinfo.gaps": [
"false"
],
"file_type": [
"application/zip"
],
"host": [
"gcap-xxxxxxxxx.domain.local"
],
"engine_id.13.id": [
"b14014e40c0e672e050ad9c210a68a5303ce7facabae9eb2ee07ddf97dc0da0e"
],
"dest_port": [
25
],
"detail_scan_time": [
245
],
"fileinfo.md5": [
"c279be702893...."
],
"fileinfo.state": [
"CLOSED"
],
"engine_id.2.id": [
"0ff95ddb1117d8f36124f6eac406dbbf9f17e3dd89f9bb1bd600f6ad834c25db"
],
"engine_id.3.threat_details": [
"EICAR-Test-File (not a virus)"
],
"magic_details": [
"Zip archive data, at least v2.0 to extract"
],
"file_type_description": [
"ZIP Archive"
],
"timestamp_detected": [
"2023-10-09T08:23:13.332Z"
],
"engine_id.12.scan_result": [
"INFECTED"
],
"engine_id.11.scan_result": [
"INFECTED"
],
"engine_id.13.scan_result": [
"NOT_SCANNED"
],
"engine_id.14.scan_result": [
"INFECTED"
],
"engine_id.10.scan_result": [
"NOT_SCANNED"
],
"proto": [
"TCP"
],
"analyzed_error": [
0
],
"engine_id.10.id": [
"a9b912e461cec506780d8ad8e785cca6b233ad7c72335c262b0a4ab189afa713"
],
"engine_id.2.threat_details": [
"Unavailable (permanently_failed)"
],
"processing_time": [
1341
],
"code": [
1
],
"analyzers_up": [
16
],
"engine_id.7.id": [
"527db072abcf877d4bdcd0e9e4ce12c5d769621aa65dd2f7697a3d67de6cc737"
],
"src_ip": [
"x.x.x.x"
],
"fileinfo.stored": [
true
],
"engine_id.8.threat_details": [
"Unavailable (production)"
],
"detail_wait_time": [
1096
],
"@version": [
"1"
],
"engine_id.11.id": [
"ad05e0dc742bcd6251af91bd07ef470c699d5aebbb2055520b07021b14d7380c"
],
"smtp.rcpt_to": [
"<test@gouv.fr>"
],
"severity": [
1
],
"engine_id.11.threat_details": [
"Eicar-Signature"
],
"app_proto": [
"smtp"
],
"fileinfo.sha256": [
"4679e7f2018c19..."
],
"fileinfo.magic": [
"Zip archive data, at least v2.0 to extract"
],
"engine_id.4.id": [
"32f2f45e6d9faf46e6954356a710208d412fac5181f6c641e34cb9956a133684"
],
"SHA256": [
"4679e7f2018c19..."
],
"in_iface": [
"monvirt"
],
"src_port": [
36746
],
"engine_id.6.threat_details": [
"EICAR_Test_File"
]
}
}
2.1.1.2.3. Structure des données des logs Malcore
Les logs sont composés de différentes parties :
la partie entête
la partie source définie par "_source"
la partie champs définie par "_fields"
2.1.1.2.3.1. La partie entête des logs Malcore
La partie entête contient :
{ "_index": "malware-2023.10.09-000162", "_type": "_doc", "_id": "Dr-PE4sBeBoubSygq3KJ", "_version": 1, "_score": 1,
Champs |
Requis |
Description |
Valeurs ou exemple |
|---|---|---|---|
_index |
Oui |
Index interne |
malware-2023.10.09-000162 |
_type |
Oui |
type par défault |
_doc |
_id |
Oui |
identifiant interne |
Dr-PE4sBeBoubSygq3KJ |
_version |
Oui |
version interne |
1 |
_score |
Oui |
pertinence de la réponse par rapport à la requête |
1 |
2.1.1.2.3.2. La partie source des logs Malcore
La partie source définie par "_source" contient :
"_source": {
"proto": "TCP",
"gcap": "gcap-xxxxxxxxx.domain.local",
"uuid": "f639c844-3f6f-40fa-86c4-47ff603880e2",
"host": "gcap-xxxxxxxxx.domain.local",
"timestamp": "2023-10-09T08:23:13.332538+0000",
"email": {
"status": "PARSE_DONE",
"to": [
"test@gouv.fr"
],
"attachment": [
"smtptest-2021-02-24T17-30-01Z.zip"
],
"from": "heartbeat@free.fr"
},
"processing_time": 1341,
"dest_ip": "82.113.11.30",
"detail_scan_time": 245,
"src_port": 36746,
"event_type": "malware",
"@version": "1",
"analyzers_up": 16,
"vlan": [
3044
],
"analyzed_clean": 0,
"analyzed_other": 7,
"file_type_description": "ZIP Archive",
"timestamp_analyzed": "2023-10-09T08:31:04.503Z",
"state": "Infected",
"analyzed_infected": 9,
"dest_port": 25,
"engines_last_update_date": "2023-07-11T11:32:00Z",
"detail_threat_found": "Infected : EICAR-Test-File (not a virus) (B), Virus/EICAR_Test_File, EICAR-Test-File (not a virus), Eicar test file, EICAR_Test_File, Eicar-Signature, Eicar-Test-Signature, EICAR_Test_File, EICAR-Test-File",
"magic_details": "Zip archive data, at least v2.0 to extract",
"total_found": "9/16",
"detail_wait_time": 1096,
"timestamp_detected": "2023-10-09T08:23:13.332Z",
"type": "malcore",
"code": 1,
"file_type": "application/zip",
"smtp": {
"mail_from": "<heartbeat@free.fr>",
"rcpt_to": [
"<test@gouv.fr>"
],
"helo": "gouv.fr"
},
"engine_id": {
"0": {
"threat_details": "EICAR-Test-File (not a virus) (B)",
"id": "038e407ba285f0e01dd30c6e4f77ec19bad5ed3dc866a2904ae6bf46baa14b74",
"scan_result": "INFECTED"
},
"1": {
"threat_details": "Virus/EICAR_Test_File",
"id": "054a20c51cbe9d2cc7d6a237d6cd4e08ab1a67e170b371e632995766d3ba81af",
"scan_result": "INFECTED"
},
"2": {
"threat_details": "Unavailable (permanently_failed)",
"id": "0ff95ddb1117d8f36124f6eac406dbbf9f17e3dd89f9bb1bd600f6ad834c25db",
"scan_result": "NOT_SCANNED"
},
"3": {
"threat_details": "EICAR-Test-File (not a virus)",
"id": "312a189607571ec2c7544636be405f10889e73d061e0ed77ca0eca97a470838d",
"scan_result": "INFECTED"
},
"4": {
"threat_details": "Eicar test file",
"id": "32f2f45e6d9faf46e6954356a710208d412fac5181f6c641e34cb9956a133684",
"scan_result": "INFECTED"
},
"5": {
"threat_details": "Unavailable (production)",
"id": "3bfeb615a695c5ebaac5ade948ffae0c3cfec3787d4625e3abb27fa3c2867f53",
"scan_result": "NOT_SCANNED"
},
"6": {
"threat_details": "EICAR_Test_File",
"id": "4ca73ae4b92fd7ddcda418e6b70ced0481ac2d878c48e61b686d0c9573c331dc",
"scan_result": "INFECTED"
},
"7": {
"threat_details": "Unavailable (production)",
"id": "527db072abcf877d4bdcd0e9e4ce12c5d769621aa65dd2f7697a3d67de6cc737",
"scan_result": "NOT_SCANNED"
},
"8": {
"threat_details": "Unavailable (production)",
"id": "714eca0a6475fe7d2bf9a24bcae343f657b230ff68acd544b019574f1392de77",
"scan_result": "NOT_SCANNED"
},
"9": {
"threat_details": "Unavailable (production)",
"id": "95603b80d80fa3e98b6faf07418a55ed0b035d19209e3ad4f1858f6b46fa070a",
"scan_result": "NOT_SCANNED"
},
"10": {
"threat_details": "Unavailable (production)",
"id": "a9b912e461cec506780d8ad8e785cca6b233ad7c72335c262b0a4ab189afa713",
"scan_result": "NOT_SCANNED"
},
"11": {
"threat_details": "Eicar-Signature",
"id": "ad05e0dc742bcd6251af91bd07ef470c699d5aebbb2055520b07021b14d7380c",
"scan_result": "INFECTED"
},
"12": {
"threat_details": "Eicar-Test-Signature",
"id": "af6868a2b87b3388a816e09d2b282629ccf883b763b3691368a27fbd6f6cd51a",
"scan_result": "INFECTED"
},
"13": {
"threat_details": "Unavailable (production)",
"id": "b14014e40c0e672e050ad9c210a68a5303ce7facabae9eb2ee07ddf97dc0da0e",
"scan_result": "NOT_SCANNED"
},
"14": {
"threat_details": "EICAR_Test_File",
"id": "ecc47e2309be9838d6dc2c5157be1a840950e943f5aaca6637afca11516c3eaf",
"scan_result": "INFECTED"
},
"15": {
"threat_details": "EICAR-Test-File",
"id": "fe665976a02d03734c321007328109ab66823b260a8eea117d2ab49ee9dfd3f1",
"scan_result": "INFECTED"
}
},
"severity": 1,
"fileinfo": {
"md5": "c279be702893....",
"gaps": false,
"state": "CLOSED",
"magic": "Zip archive data, at least v2.0 to extract",
"file_id": 1,
"sha256": "4679e7f2018c19...",
"stored": true,
"filename": "smtptest-2021-02-24T17-30-01Z.zip",
"sid": [
1100043
],
"tx_id": 0,
"size": 51675
},
"flow_id": 1016694867777403,
"gcenter": "gcenter-int-128-dag.gatewatcher.com",
"SHA256": "4679e7f2018c19...",
"src_ip": "x.x.x.x",
"in_iface": "monvirt",
"analyzed_error": 0,
"reporting_token": "No GBOX",
"analyzed_suspicious": 0,
"app_proto": "smtp",
"@timestamp": "2023-10-09T08:31:04.503Z"
}
Champs |
Requis |
Description |
Valeurs ou exemple |
|---|---|---|---|
@timestamp |
Oui |
Timestamp du traitement de l'alerte par le GCenter (correspond au passage dans logstash) |
2023-10-09T08:31:04.503Z |
@version |
oui |
version du document |
1 |
analyzed_clean |
oui |
Nombre de moteurs avec résultat CLEAN |
0 |
analyzed_error |
oui |
Nombre de moteurs avec résultat FAILED, CLEANED ou DELETED |
0 |
analyzed_infected |
Oui |
Nombre de moteurs avec résultat INFECTED |
9 |
analyzed_other |
oui |
Nombre de moteurs avec résultat autre que CLEAN, INFECTED ou SUSPICIOUS |
7 |
analyzed_suspicious |
Oui |
Nombre de moteurs avec résultat SUSPICIOUS |
0 |
analyzers_up |
Oui |
Nombre total de moteurs utilisés pour l'analyse |
16 |
app_proto |
Oui |
Protocole applicatif du flux de provenance du fichier (http, ftp, smtp, smb)
Dans le cas du protocole http, des champs supplémentaires sont affichés. Ils sont listés dans le Tableau récapitulatif des compteurs : catégorie "http"
|
smtp |
code |
Oui |
Code de retour de l’analyse malcore
Voir le tableau Résultats du moteur Malcore
|
1 |
dest_ip (ou IP dans webui) |
Oui |
Adresse IP de destination |
x.x.x.x |
dest_port (ou PORTs dans webui) |
Non |
Port de destination |
25 |
detail_scan_time (ou Scan time dans webui) |
Non |
Temps d’analyse du fichier (ms) par les moteurs malcore |
245 |
detail_threat_found ( ou Name et Threats found dans webui) |
Oui |
Liste des noms des menaces détectées séparées par des virgules |
"Infected : EICAR-Test-File (not a virus) (B).... |
detail_wait_time |
Non |
Temps écoulé entre l’envoi du fichier au nœud et la réception du résultat du moteur en millisecondes |
1096 |
Description |
oui |
Champ description sur la menace. Uniquement present dans la web ui |
Un adversaire peut s’appuyer sur des actions spécifiques d’un utilisateur pour obtenir l’exécution. .. |
Oui |
Voir le Tableau récapitulatif des compteurs : catégorie "email" |
NA |
|
engine_id
- x
- id
- threat_details
- scan_result
|
Non |
Liste des moteurs malcore qui ont analysé le fichier avec le résultat associé
- numéro (0 à 15) du moteur malcore
- id
- détail de la menace
- résultat de l'analyse (INFECTED ou CLEAN)
|
- 4
- 038e407ba285f..
- EICAR-Test-File (not a virus) (B)
- INFECTED
|
engines_last_update_date (ou def time dans webui) |
Oui |
Date de la dernière mise à jour des moteurs de malcore |
2023-07-11T11:32:00Z |
event_type |
Oui |
Type d’événement : utilisé pour indexer un événement dans logstash. Défini sur 'malware' |
malware |
file_type |
oui |
Type de fichier analysé |
application/zip |
fileinfo |
Oui |
Informations sur le fichier
voir Tableau récapitulatif des compteurs : catégorie "fileinfo"
|
NA |
file_type_description |
Oui |
Description du type de fichier |
ZIP Archive |
flow_id |
Oui |
Identifiant unique du flux. Permet de retrouver le fileinfo associé |
1016694867777403 |
gcap |
Oui |
Nom du gcap associé à l’alerte |
gcap-xxx.domain.local |
gcenter |
Oui |
Nom du GCenter associé à l’alerte. |
gcenter-xxx.domain.local |
host |
Oui |
Nom de l'équipment associé à l’alerte |
gcap-xxx.domain.local |
Hostname (webui) |
oui |
Nom de l’hôte de l’émetteur de la menace |
en cas absence du hostname, c'est son IP qui est affiché |
in_iface |
oui |
Interface d’entrée du GCap utilisée pour la capture (monx ou monvirt) |
monvirt |
magic_details |
Informations détaillées du magic (type de payload) |
Zip archive data, at least v2.0 to extract |
|
MITRE ASSOCIATIONS |
oui |
Catégorie MITRE de la menace |
Execution |
processing_time |
oui |
Temps de traitement de l'analyse |
1341 |
proto |
oui |
Protocole détecté par Sigflow |
TCP |
reporting_token |
Oui |
Token utilisé avec la GBox
Si pas de GBox alors message NO GBOX
|
No GBOX |
severity |
Oui |
Code du résultat de l’analyse. |
Compris entre 0 et 3.
0=clean, 1=infected, 2=suspicious, 3=Other
|
SHA256 |
Oui |
Hash SHA256 du fichier analysé. |
4679e7f2018c19... |
smtp |
Oui |
Catégorie smtp détaillée ci après |
|
src_ip (ou IP dans webui) |
Oui |
Adresse IP source détectée par Sigflow |
X.X.X.X |
src_port (ou PORTs dans webui) |
Oui |
Port source détecté par Sigflow |
36746 |
state |
Oui |
Résultat de l’analyse par les moteurs malcore
Résultat est "Infected" dès que le résultat d'un moteur est "Infected"
|
Infected |
timestamp |
Oui |
Timestamp du traitement de l'alerte par le GCenter (correspond au passage dans logstash) |
2023-10-09T08:23:13.332538+0000 |
timestamp analyzed |
Oui |
Date et heure de la dernière analyse du fichier |
2023-10-09T08:31:04.503Z |
timestamp detected |
Oui |
Timestamp de la capture du fichier par le Gcap |
2023-10-09T08:23:13.332Z |
total_found |
Oui |
Nombre de moteurs qui ont détecté le fichier comme infecté divisé par le nombre total de moteurs |
XX/YY avec YY entre 0 et 16 et XX entre 0 et YY; exemple 9/16 |
type |
Oui |
Type d’événement |
Malcore ou malcore_retroanalyzer |
uuid ou id |
Oui |
Identifiant unique de l’alerte |
f639c844-3f6f-40fa-86c4-47ff603880e2 |
vlan |
Non |
Numéro de vlan |
3044 |
Code retour |
Résultat |
Description |
|---|---|---|
0 |
No Threat Detected |
Le fichier a été analysé et déclaré comme sain |
1 |
Infected |
Le fichier a été analysé et déclaré comme infecté |
2 |
Suspicious |
Le fichier a été analysé et déclaré comme susceptible d’être infecté :
certains moteurs de Malcore ont détecté ce fichier comme malicieux..
|
3 |
Failed Scan |
Une erreur s'est produite durant l'analyse. |
7 |
Skipped - Whitelisted |
Le fichier n'est pas analysé et considéré comme sain puisque ce fichier est défini dans la liste blanche de Malcore |
8 |
Skipped – Blacklisted |
Le fichier n'est pas analysé et considéré comme infecté puisque ce fichier est défini dans la liste noire de Malcore |
9 |
Exceeded Archive Depth |
Le nombre de fois que le fichier est compressé est limité (niveau de récursivité max). Le message indique que la valeur définie a été dépassée. |
10 |
Not scanned |
Le moteur n'est pas disponible au moment de l'analyse |
12 |
Encrypted Archive |
L'archive est cryptée et donc non analysable : le mot de passe indiqué ne fonctionne pas |
13 |
Exceeded Archive Size |
La taille maximale du fichier ne doit pas dépasser la valeur définie (valeur maximum 10MB). L'archive analysée a une taille supérieure à la valeur définie |
14 |
Exceeded Archive File Number |
Le nombre maximum de fichiers présents dans l'archive ne doit pas dépassé la valeur définie. L'archive analysée contient un nombre de fichiers supérieur à la valeur définie |
15 |
Password Protected Document |
La solution a détecté un comportement incohérent avec un document protégé par mot de passe |
16 |
Exceeded Archive Timeout |
Le délai d'analyse de l’archive a été dépassé, les moteurs de Malcore ne répondent pas dans le délai imparti |
17 |
Filetype Mismatch |
Problème de non-concordance du type de fichier : la solution détecte l'extension du fichier avec son contenu et la compare avec l'extension du fichier affichée |
18 |
Potentially Vulnerable File |
Les fichiers potentiellement vulnérables sont des fichiers associés à des composants ou des applications vulnérables identifiés |
19 |
Cancelled |
L'utilisateur a explicitement annulé cette demande d'analyse de fichier |
21 |
Yara Rule Matched |
Le verdict du résultat est: une règle Yara correspond (identification d'échantillon de malwares) |
22 |
Potentially Unwanted |
La solution a détecté des applications potentiellement indésirables |
23 |
Unsupported File Type |
Type de fichier non supporté par la solution |
255 |
In Progress |
Analyse en cours.. |
Champ |
Requis |
Description |
Valeurs ou exemple |
|---|---|---|---|
status |
Oui |
Statut du courrier |
PARSE_DONE |
to |
Oui |
Destinataire du courrier |
|
attachment |
Oui |
Contenu du document rattaché |
smtptest-2021-02-24T17-30-01Z.zip |
from |
Oui |
Émetteur du courrier |
Champ |
Requis |
Description |
Valeurs ou exemple |
|---|---|---|---|
mail_from |
Oui |
Émetteur du courrier |
|
rcpt_to |
Oui |
Destinataire du courrier |
|
helo |
Oui |
Nom de domaine |
gouv.fr |
Champ |
Requis |
Description |
Valeurs ou exemple |
|---|---|---|---|
file_id |
Oui |
Identifiant du fichier |
1 |
filename |
Oui |
Nom du fichier |
smtptest-2021-02-24T17-30-01Z.zip |
gaps |
Oui |
surveillance de l’inconsistence de la taille d’un fichier |
false |
magic |
Oui |
Identifiant du format de fichier (signature Magic) : détecté par Sigflow en utilisant une base de données réduite. |
Zip archive data, at least v2.0 to extract |
md5 |
Oui |
Hash MD5 du fichier analysé |
c279be702893.... |
sha256 |
Oui |
SHA256sum du fichier analysé |
4679e7f2018c19... |
sid |
oui |
Identifiant de l’alerte. Il doit être unique. |
1100043 |
size |
Oui |
Taille du fichier |
51675 |
state |
Oui |
Complétude du fichier analysé (CLOSED) sinon TRUNCATED.
La variable file-store.stream-depth de Sigflow définit la taille des fichiers reconstruit.
Le fichier est TRUNCATED si sa taille est > File-store stream depth (10 MO) par défaut.
|
CLOSED |
stored |
Oui |
Toujours à "true", le fichier a été stocké sur disque pour analyse ultérieure |
true |
tx_id |
Oui |
identification de transaction (paire requête/réponse) |
1 |
fileinfo_potentially _involved |
Non |
Ce champ apparaît seulement dans le cas de retroact
il indique la liste des _id de doc de moins de 24h qui sont concernés par le rescan
|
1 |
Champ |
Requis |
Description |
Valeurs ou exemple |
|---|---|---|---|
hostname |
oui |
Nom d’hôte auquel cet événement HTTP est attribué |
synonymi.justdance.com |
http_content_type |
oui |
Type de données retournées (par exemple application/x-gzip) |
application/x-shockwave-flash |
http_method |
oui |
Méthode HTTP (ex : GET, POST, HEAD) |
GET |
http_user_agent |
oui |
L'agent utilisateur du logiciel utilisé |
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1;...) |
length |
oui |
Taille du contenu du corps HTTP |
77068 |
protocol |
oui |
Protocol / Version de HTTP (ex: HTTP/1.1) |
HTTP/1.1 |
status |
oui |
Code d’état HTTP |
200 |
url |
oui |
URL du nom d’hôte auquel on a accédé |
/6SuCHKKkf8Sf1aFXJPqD0R6r... |
2.1.1.2.3.3. La partie champs des logs Malcore
La partie champs définie par "fields" contient les même champs que dans la partie source: se référer à la section partie source.
2.1.1.3. Visualisation de l'état de Malcore
le statut et l'état de chaque moteur inclus dans Malcore
la dernière mise à jour de chacun d'entre eux
2.1.1.4. Mise à jour de malcore
2.1.1.5. Etat et configuration de Gmalcore
L'interface de management permet :
de modifier les paramètres du moteur : voir la procédure de Réglage des moteurs Malcore et Retroact et activation de la GBox.
gérer des listes d'empreintes type hash256 pour déclarer que les fichiers sont :
soit sains (pour la liste blanche)
soit compromis (pour la liste noire)