2.1.5. Moteur Rétroact
2.1.5.1. Présentation
Le moteur Rétroact permet la re-soumission, dans le temps, des fichiers à potentiel malicieux dans le moteur Malcore.
2.1.5.2. Moteur d'analyse Rétroact
Le moteur Rétroact va stocker les fichiers catégorisés comme Suspicious et les soumettre à nouveau au moteur Malcore à intervalle de temps régulier.
La politique de rétention du fichier par Rétroact est basée sur le temps de rétention paramétré sur le GCenter.
Le fichier suspicieux est donc réanalysé tous les jours durant la période de rétention.
La pertinence de ce moteur est qu'il est possible de détecter un malware via Malcore même plusieurs jours ou semaines après son passage sur le réseau et cela grâce aux nouvelles signatures et méthodes heuristiques des moteurs antivirus.
Cette interface de configuration est décrite dans l'Ecran `Admin-GCenter- Malcore Management` de la legacy web UI.
Pour la mise en œuvre, voir le Réglage des moteurs Malcore et Retroact et activation de la GBox.
2.1.5.3. Compteurs associés au moteur Rétroact
Les compteurs suivants sont présents dans les événements Malcore :
Champ |
Requis |
Description |
Values |
---|---|---|---|
nb_rescans |
Oui |
Nombre d’analyse par Rétroact |
"Not reanalyzed", 1, 2 .. n |
Retroact |
Non |
Résultat de l’analyse par Rétroact. Par défaut ce champ est à NON
Seuls les fichiers suspicieux seront réanalysés par Rétroact.
|
Ce champ peut être défini sur Non ou malware avancé,
si Retroact déclare le fichier comme infecté
|
2.1.5.4. Visualisation de l'état de Rétroact
La visualisation de l'état courant du moteur est donnée dans l'Ecran `Health checks` de la web UI.
2.1.5.5. Mise à jour de Rétroact
Il y a des mises à jour (Updates) pour le moteur Rétroact.
Ces mises à jour peuvent se faire de façon manuelle ou planifiée via GUM.
Voir la section Présentation de GUM : module dédié pour la gestion des mises à jour et en particulier la partie Mise à jour des signatures et/ou des moteurs (update).
2.1.5.6. Configuration de Rétroact
Le moteur Rétroact doit être activé et cette activation se fait dans l'écran de configuration.
L'interface graphique de la configuration est décrite dans l'Ecran `Admin-GCenter- Malcore Management` de la legacy web UI.
La mise en œuvre de la configuration de Rétroact est donnée dans la procédure de Réglage des moteurs Malcore et Retroact et activation de la GBox.