5.6.2. Ecran `Health checks`
de la web UI
`HOME`
ou `GATEWATCHER`
, la zone d'affichage se présente comme suit :La Zone `Status`
affiche l'état simplifié des systèmes de détection gérés par le GCenter.
Cette zone donne l'état des composants suivants :
Repère |
Moteur |
Pour |
---|---|---|
1 |
IDS (sonde GCAp) |
transmettre les événements et les fichiers capturés au GCenter |
2 |
Malcore |
détecter les Malwares |
3 |
Codebreaker |
détecter les Shellcodes |
4 |
CTI |
utilise les indices de compromission LastInfoSec afin de générer des alertes pour les menaces de type APT (Advanced Persistent Threat) |
5 |
Machine Learning |
détecter les noms de domaines ayant été générés par des DGA (Domain Generation Algorithm), pour les menaces de type C&C (Command & Control) |
6 |
Codebreaker |
détecter les Powershells |
Afin d'obtenir des informations détaillées, il est possible de cliquer sur la zone et d'ouvrir un nouvel écran.
L'écran `Health Checks`
est composé des zones :
la zone (1)
`GLOBAL STATUS`
qui indique l'état des moteurs de détections (du GCap et du GCenter) : voir La zone `GLOBAL STATUS`la zone (8)
`MALWARE STATUS`
qui indique l'état du moteur Malcore du GCenter : voir La zone `MALWARE STATUS`la zone (10)
`IDS`
qui indique l'état du moteur Sigflow du GCap : voir La zone `IDS`la zone (12)
`ENGINES DATA`
qui indique l'état général des données (files de données et base de données) : voir La zone `ENGINES DATA`
5.6.2.1. La zone `GLOBAL STATUS`
La zone (1) `GLOBAL STATUS`
comprend :
Repère |
Moteur |
Etat |
Pour plus d'information |
---|---|---|---|
2 |
IDS (sonde GCAp) |
coche bleue : les GCaps sont connectés et à jour
panneau rouge : les GCaps sont hors ligne ou pas à jour
|
se reporter à La zone `IDS` (10) |
3 |
Malware (détection par le moteur Malcore) |
coche bleue : le moteur Malcore est actif et fonctionne
panneau rouge : un ou plusieurs moteurs ne sont pas à jour
|
se reporter à La zone `MALWARE STATUS` (8) |
4 |
Shellcode |
coche bleue : le moteur Codebreaker goasm est actif et fonctionne
panneau rouge : le moteur Codebreaker goasm n'est pas actif ou ne fonctionne pas
|
se reporter au paragraphe Redémarrage des moteurs |
5 |
Powershell |
coche bleue : le moteur Codebreaker gps est actif et fonctionne
panneau rouge : le moteur Codebreaker gps n'est pas actif ou ne fonctionne pas
|
se reporter au paragraphe Redémarrage des moteurs |
6 |
C&C (Command & Control) |
coche bleue : le moteur de Machine Learning gdgadetect est actif et fonctionne
panneau rouge : le moteur de Machine Learning gdgadetect n'est pas actif ou ne fonctionne pas
|
se reporter au paragraphe Redémarrage des moteurs |
7 |
APT (Advanced Persistent Threat) |
coche bleue : le moteur CTI gcti est actif et fonctionne
panneau rouge : le moteur CTI gcti n'est pas actif ou ne fonctionne pas
|
se reporter au paragraphe Redémarrage des moteurs |
5.6.2.2. La zone `IDS`
le nom
la date de la dernière mise à jour
le statut
l'état
`All Gcaps are offline or not up to date`
.`STATE`
pour chacun des GCaps présents : dans cet exemple, le GCap présent est dans l'état `ONLINE`
.`STATE`
avec la présence du message `OUTDATED`
.`LAST UPDATE`
.Note
Le moteur est à l'état `running`
si le moteur Sigflow est installé et l'API est up.
Note
Pour effectuer une mise à jour, se reporter à l'Installation manuelle d'une mise à jour des signatures et/ou des moteurs anti-viraux (update) pour télécharger le dernier fichier sigflow.gwp et l'installer.
5.6.2.3. La zone `MALWARE STATUS`
La zone (8) `MALWARE STATUS`
comprend :
un moteur antivirus (pour certaines licences) : c'est le cas dans cet exemple
ou 16 moteurs antivirus (pour d'autres licences)
Les informations données sont :
le nom (Engine hash) du moteur
la date de la dernière mise à jour du paquet du moteur
le statut qui indique l'ancienneté du paquet du moteur par l'intermédiaire de la signalétique de couleur
l'état d'installation du paquet (PRODUCTION = OK)
`One or more engine(s) are not up to date`
.`LAST UPDATE`
pour avoir la date et l’icône présente dans la colonne `STATUS`
: dans cet exemple, le paquet a plus de 7 jours.Note
`Restart a GApp`
du menu de configuration et sélectionner `gmalcore`
.5.6.2.4. La zone `ENGINES DATA`
La zone (12) `ENGINES DATA`
comprend :
les files de données en attente devant les moteurs détectant les Malwares, Powershells, shellcodes
la taille de la base de données Elasticsearch (en volume et en pourcentage)
5.6.2.5. Redémarrage des moteurs
`Restart a GApp`
du menu de configuration et sélectionner `goasm`
.`Restart a GApp`
du menu de configuration et sélectionner `gps`
.`Restart a GApp`
du menu de configuration et sélectionner `gdgadetect`
.`Restart a GApp`
du menu de configuration et sélectionner `gcti`
.