5.6.2. Ecran `Health checks` de la web UI

Après appui sur l'un des boutons `HOME` ou `GATEWATCHER`, la zone d'affichage se présente comme suit :
../../_images/HOMECENTRAL.PNG

La Zone `Status` affiche l'état simplifié des systèmes de détection gérés par le GCenter.

../../_images/STATUS.PNG

Cette zone donne l'état des composants suivants :

Repère

Moteur

Pour

1

IDS (sonde GCAp)

transmettre les événements et les fichiers capturés au GCenter

2

Malcore

détecter les Malwares

3

Codebreaker

détecter les Shellcodes

4

CTI

utilise les indices de compromission LastInfoSec afin de générer des alertes pour les menaces de type APT (Advanced Persistent Threat)

5

Machine Learning

détecter les noms de domaines ayant été générés par des DGA (Domain Generation Algorithm), pour les menaces de type C&C (Command & Control)

6

Codebreaker

détecter les Powershells

Afin d'obtenir des informations détaillées, il est possible de cliquer sur la zone et d'ouvrir un nouvel écran.

../../_images/HEALTH_CHECKS.PNG

L'écran `Health Checks` est composé des zones :

  • la zone (1) `GLOBAL STATUS` qui indique l'état des moteurs de détections (du GCap et du GCenter) : voir La zone `GLOBAL STATUS`

  • la zone (8) `MALWARE STATUS` qui indique l'état du moteur Malcore du GCenter : voir La zone `MALWARE STATUS`

  • la zone (10) `IDS` qui indique l'état du moteur Sigflow du GCap : voir La zone `IDS`

  • la zone (12) `ENGINES DATA` qui indique l'état général des données (files de données et base de données) : voir La zone `ENGINES DATA`

5.6.2.1. La zone `GLOBAL STATUS`

La zone (1) `GLOBAL STATUS` comprend :

Exemple d'un état avec 2 défauts

Repère

Moteur

Etat

Pour plus d'information

2

IDS (sonde GCAp)
coche bleue : les GCaps sont connectés et à jour
panneau rouge : les GCaps sont hors ligne ou pas à jour

se reporter à La zone `IDS` (10)

3

Malware (détection par le moteur Malcore)
coche bleue : le moteur Malcore est actif et fonctionne
panneau rouge : un ou plusieurs moteurs ne sont pas à jour

se reporter à La zone `MALWARE STATUS` (8)

4

Shellcode
coche bleue : le moteur Codebreaker goasm est actif et fonctionne
panneau rouge : le moteur Codebreaker goasm n'est pas actif ou ne fonctionne pas

se reporter au paragraphe Redémarrage des moteurs

5

Powershell
coche bleue : le moteur Codebreaker gps est actif et fonctionne
panneau rouge : le moteur Codebreaker gps n'est pas actif ou ne fonctionne pas

se reporter au paragraphe Redémarrage des moteurs

6

C&C (Command & Control)
coche bleue : le moteur de Machine Learning gdgadetect est actif et fonctionne
panneau rouge : le moteur de Machine Learning gdgadetect n'est pas actif ou ne fonctionne pas

se reporter au paragraphe Redémarrage des moteurs

7

APT (Advanced Persistent Threat)
coche bleue : le moteur CTI gcti est actif et fonctionne
panneau rouge : le moteur CTI gcti n'est pas actif ou ne fonctionne pas

se reporter au paragraphe Redémarrage des moteurs

5.6.2.2. La zone `IDS`

La zone IDS indique l'état de la sonde GCap (11) connectée au GCenter.
Les informations données sont :

  • le nom

  • la date de la dernière mise à jour

  • le statut

  • l'état

Dans l'exemple affiché, le message est `All Gcaps are offline or not up to date`.
Pour savoir si le ou les GCaps sont online ou offline, il faut le vérifier dans la colonne `STATE` pour chacun des GCaps présents : dans cet exemple, le GCap présent est dans l'état `ONLINE`.
Pour savoir si le moteur Sigflow du GCap est à jour, il faut le vérifier dans la colonne `STATE` avec la présence du message `OUTDATED`.
Pour avoir plus d'information sur la date de la dernière mise à jour, regarder la colonne `LAST UPDATE`.

Note

Le moteur est à l'état `running` si le moteur Sigflow est installé et l'API est up.

Note

Pour effectuer une mise à jour, se reporter à l'Installation manuelle d'une mise à jour des signatures et/ou des moteurs anti-viraux (update) pour télécharger le dernier fichier sigflow.gwp et l'installer.

5.6.2.3. La zone `MALWARE STATUS`

La zone (8) `MALWARE STATUS` comprend :

  • un moteur antivirus (pour certaines licences) : c'est le cas dans cet exemple

  • ou 16 moteurs antivirus (pour d'autres licences)

Les informations données sont :

  • le nom (Engine hash) du moteur

  • la date de la dernière mise à jour du paquet du moteur

  • le statut qui indique l'ancienneté du paquet du moteur par l'intermédiaire de la signalétique de couleur

  • l'état d'installation du paquet (PRODUCTION = OK)

Dans l'exemple affiché, le statut est de couleur orange et le message est `One or more engine(s) are not up to date`.
Pour savoir l'ancienneté du paquet courant du moteur, il faut regarder la colonne `LAST UPDATE` pour avoir la date et l’icône présente dans la colonne `STATUS` : dans cet exemple, le paquet a plus de 7 jours.

Note

En cas de problème de mise à jour, se reporter à l'Installation manuelle d'une mise à jour des signatures et/ou des moteurs anti-viraux (update) pour télécharger le dernier fichier malcore.gwp et l'installer.
Pour redémarrer le moteur Malcore, il faut utiliser la commande `Restart a GApp` du menu de configuration et sélectionner `gmalcore`.

5.6.2.4. La zone `ENGINES DATA`

La zone (12) `ENGINES DATA` comprend :

  • les files de données en attente devant les moteurs détectant les Malwares, Powershells, shellcodes

  • la taille de la base de données Elasticsearch (en volume et en pourcentage)

5.6.2.5. Redémarrage des moteurs

Pour redémarrer le moteur Codebreaker goasm, il faut utiliser la commande `Restart a GApp` du menu de configuration et sélectionner `goasm`.
Pour redémarrer le moteur Codebreaker gps, il faut utiliser la commande `Restart a GApp` du menu de configuration et sélectionner `gps`.
Pour redémarrer le moteur gdgadetect, il faut utiliser la commande `Restart a GApp` du menu de configuration et sélectionner `gdgadetect`.
Pour redémarrer le moteur CTI gcti, il faut utiliser la commande `Restart a GApp` du menu de configuration et sélectionner `gcti`.