5.6.10. Ecran `Alerts` de la web UI

L'interface de gestion des alertes présente une liste des différentes alertes présentes sur le réseau classés par score de risque et par type.

Après appui sur le bouton `Alerts` de la barre de navigation, l'écran suivant est affiché.

Repère	Description
1	Sélecteur de tableau de bord
2	Zone d'affichage de la liste des alertes filtrées

---

5.6.10.1. Sélecteur de tableau de bord de l'écran `Alerts`

Le sélecteur comporte les éléments suivants :

Repère	Nom	Description
1	Nombre de résultats	Affichage du nombre d'enregistrements trouvés : dépend des choix de sélection pour l'affichage (sélecteur `Aggregated`, `All`, etc)
2	`Aggregated`	Agrège les enregistrements. Dans ce mode, les champs d'informations sont différents.
3	Champ de recherche	Permet de saisir un texte à chercher dans la page
4	`All`	Filtre les enregistrements avec tous les types d'alerte :
5	`IDS`	Filtre les enregistrements dont le type d'alerte est `IDS` (sonde GCap) : équivalent de la saisie de 'type:ids' dans le champ recherche
6	`MALWARE`	Filtre les enregistrements dont le type d'alerte est `MALWARE` : équivalent de la saisie de 'type:malware' dans le champ recherche
7	`SHELLCODE`	Filtre les enregistrements dont le type d'alerte est `SHELLCODE` : équivalent de la saisie de 'type:shellcode' dans le champ recherche
8	`POWERSHELL`	Filtre les enregistrements dont le type d'alerte est `POWERSHELL` : équivalent de la saisie de 'type:powershell' dans le champ recherche
9	`C&C`	Filtre les enregistrements dont le type d'alerte est `C&C` : équivalent de la saisie de 'type:c&c' dans le champ recherche
10	`APT`	Filtre les enregistrements dont le type d'alerte est `APT` : équivalent de la saisie de 'type:apt' dans le champ recherche
11	`show`	Sélection du nombre de lignes par page
12	Sélecteur de GCap	Sélection du GCap
13	Sélecteur de période de temps	Sélection de la période d'affichage

Note

Il est possible de sélectionner plusieurs types d'alerte en appuyant les boutons (5 à 10).

---

5.6.10.2. Zone d'affichage de la liste des alertes en mode agrégé

L'affichage est composé de :

Repère	Nom	Description
1	`RISK`	Type de risques. Le niveau de risque est donné par la couleur. Le type de risque est indiqué par les icônes correspondantes. En cliquant sur une icône de la colonne (1), une fenêtre donne les informations sur la menace sélectionnée (champ NAME). Il peut y avoir plusieurs enregistrements.
2	`ALERT TYPE`	Type d'alertes détectées
3	`LAST SEEN`	Date et heure de la dernière apparition de la menace
4	`NAME`	Nom de la menace détectée
5	`COUNT`	Nombre d'enregistrements cumulés avec la même menace détectée
6	`MITRE`	Visualisation de la catégorie MITRE
7	`ACTIONS`	Menu d'actions possibles. Dépend de la catégorie de la menace

Astuce

Les alertes sont détectées par les moteurs qui :

• fonctionnent

• sont à jour

• ont été activé

La visualisation de l'état courant du moteur est donnée dans l'Ecran `Health checks` de la web UI.

Pour le moteur Malcore, vérifier les listes blanche et noire qui interviennent sur l'affichage de la détection des alarmes.

Pour le moteur Codebreaker et la détection des shellcodes et des powershells, cette détection n'est pas activée par défaut et est définie dans les profils envoyés au GCap (voir l'Ecran `Config - Gcaps profiles` de la web UI).

Pour le moteur Machine Learning pour la détection des DGA (C&C), ce moteur doit être activé (voir l'Ecran `Admin-GCenter- ML Management` de la legacy web UI).

Pour le moteur CTI pour générer des alertes pour les menaces de type APT (Advanced Persistent Threat), ce moteur doit être activé (voir l'Ecran `Admin-GCenter- CTI Configuration` de la legacy web UI).

---

5.6.10.3. Zone d'affichage de la liste des alertes en mode non agrégé

L'affichage est composé de :

Repère	Nom
1	`RISK`	Type de risques. Le niveau de risque est donné par la couleur. Le type de risque est indiqué par les icônes correspondantes. En cliquant sur une icône de la colonne (1), une fenêtre donne les informations sur la menace sélectionnée (champ `NAME`). Il peut y avoir plusieurs enregistrements.
2	`DATE`	Date et heure de l'enregistrement
3	`NAME`	Nom de la menace détectée
4	`IP`	la première adresse IP est l'adresse source la deuxième adresse IP est l'adresse destination
5	`HOSTNAME`	le premier hostname est celui de la source le deuxième hostname est celui de la destination
6	`MITRE`	Visualisation de la catégorie MITRE
7	`TAGS`	Champ tags si indiqué (Confirmed incident, Critical, Doing, Done)
8	`NOTES`	Champ notes si indiqué
9	`ACTION`	Menu d'actions possibles. Dépend de l'enregistrement (Signature definition, Alert history, Alert summary, Flow details)

---

5.6.10.4. Le sous menu `ACTIONS`

Ce menu affiche :

• dans l'entête :

  • le type de menace (malware par exemple),

  • le résultat de l'analyse (infected par exemple) et

  • le nom de la menace (Trojan/Win32.Ursnif, Generic.Nymaim.E.DA42CE72 par exemple)

• une liste de commande

  les commandes dépendent du type de menace et sont détaillées dans les tableaux ci-après:

Note

Ces commandes ne sont pas activées en totalité dans le mode `Aggregated`.

---

5.6.10.4.1. Commandes pour un IDS

Commandes pour un IDS

Commande	Action
`Signature definition`	Affiche la règle qui a détecté l'alerte dans l'interface legacy web UI.
`Alert history`	Affiche l'historique de cette alerte précisément. Pour cela, l'interface Kibana est ouverte sur la rubrique `Overview` de l'onglet `Sigflow` et la base est filtrée sur le paramètre `alert.signature` ou sur le paramètre `alert.signature_id`.
`Alert summary`	Affiche le résumé de cette alerte Pour cela, l'interface Kibana est ouverte sur la rubrique `Overview` de l'onglet `Sigflow` et la base est filtrée sur le paramètre `alert.signature_id` et sur l'adresse IP de la source (`src_ip`) et de la destination ( `dest_ip`).
`Flow details`	Affiche les détails du flux. Pour cela, l'interface Kibana est ouverte sur la rubrique `Messages` de l'onglet `Sigflow` et la base est filtrée sur le paramètre `flow id`.

---

5.6.10.4.2. Commandes pour un malware

Commandes pour un malware

Commande	Action
`File transactions`	Affiche les transactions du fichier. Pour cela, l'interface Kibana est ouverte sur la rubrique `Overview` de l'onglet `Malcore` et la base est filtrée sur le paramètre `fileinfo.sha256`.
`Flow details`	Affiche les détails du flux. Pour cela, l'interface Kibana est ouverte sur la rubrique `Messages de l'onglet `Malcore` et la base est filtrée sur le paramètre `flow id` et sur le paramètre `fileinfo.sha256`. Cette fenêtre affiche les détails de la détection de ce fichier. Ces informations sont détaillées dans les Événements générés.
`Download Malware`	Télécharge le fichier compressé (nom est UD.zip) sur le PC de l'utilisateur.
`Generate Remote Analysis`	Envoi le fichier pour une analyse distante (vers une GBox par exemple). Si aucun serveur distant n'est connecté alors il y a apparition d'un message `Server error` Si le serveur distant fonctionne alors il y a apparition d'un message de génération de rapport.
`Download Analysis Report`	Télécharge le rapport de l'analyse du serveur distant en format pdf. Voir les Résultats et rapport d'analyse et la Procédure d'analyse des rapports d'analyse.

---

5.6.10.4.3. Commandes pour un shellcode

Commandes pour un shellcode

Commande	Action
`Go hunting`	Affiche les détails de la menace. Pour cela, l'interface Kibana est ouverte sur la rubrique `Messages` de l'onglet `Codebreaker` et la base est filtrée sur le paramètre `SHA256`.
`Download Shellcode`	Télécharge le fichier compressé (nom est UD.zip) sur le PC de l'utilisateur.
`Generate CFG (advanced)`	Génère le graphe de flux de contrôle (CFG) pour obtenir une version graphique et simplifiée des instructions du Shellcode détecté : un exemple est donnée ci-dessous.
`Display Data (Hexdump)`	Affiche le fichier

Ci-dessous, un exemple d'une génération CFG d'un shellcode simple détecté par le moteur d'analyse CODEBREAKER :

Ci-dessous, un exemple de contenu du fichier :

---

5.6.10.4.4. Commandes pour un powershell

Commandes pour un powershell

Commande	Action
`Go hunting`	Affiche les détails de la menace. Pour cela, l'interface Kibana est ouverte sur la rubrique `Messages` de l'onglet```Codebreaker``` et la base est filtrée sur le paramètre `SHA256`.
`Download Powershell`	Télécharge le fichier compressé (nom est UD.zip) sur le PC de l'utilisateur.
`Display Data (Hexdump)`	Affiche le fichier

---

5.6.10.4.5. Commandes pour un DGA (C&C)

Commandes pour un DGA (C&C)

Commande	Action
`Disable DGA detect for ...`	Désactive la détection DGA pour ce domaine spécifique. Pour se faire, ce domaine est rajouté dans la liste blanche. Après cette ajout sur la liste blanche, ce domaine ne sera plus analysé.
`Disable DGA detect for ...`	Désactive la détection DGA pour ce type d'extension de domaine. Pour se faire, ce type d'extension de domaine est rajouté dans la liste blanche. Après cette ajout sur la liste blanche, les menaces sur ce type d'extension de domaines ne seront plus analysés.
`Domain activity`	Affiche les informations DGA sur ce domaine. Cette commande ouvre une fenêtre```Kibana``` dans l'onglet```ML``` avec option `Overview` activée et la base est filtrée pour le nom de domaine courant avec le paramètre `domain_name`.
`Show DGA detect configuration`	Cette commande ouvre la fenêtre `Domain Name White List` de la Partie `White List` de la catégorie `DGA Detection Management`. Ce raccourci permet donc de visualiser les noms de domaine rajoutés par les commandes précédentes dans la liste blanche. Cet écran permet aussi de modifier la liste blanche.
`Client DGA activity`	Affiche les informations DGA sur la source IP. Pour cela, l'interface Kibana est ouverte dans l'onglet `ML` avec option `Overview` activée et la base est filtrée sur le paramètre `src_ip`.
`Alert details`	Affiche les informations DGA sur le flux détecté de l'alerte DGA Pour cela, l'interface Kibana est ouverte dans l'onglet `ML` avec option `Messages` activée et la base est filtrée sur le paramètre `flow_id`.

---

5.6.10.4.6. Commandes pour un APT

Commandes pour un APT

Commande	Action
`Alert summary`	Affiche le résumé de l'IOC. Pour cela, l'interface Kibana est ouverte dans l'onglet `Retrohunt avec option `Overview activée et la base est filtrée sur le paramètre `ioc_id.
`Show IOC`	Affiche les détails de l'IOC. Pour cela, l'interface Kibana est ouverte dans l'onglet `Retrohunt avec option `ICO activée et la base est filtrée sur le paramètre `ioc_id.
`Show suspicious network flow`	Affiche les détails du flux réseau suspicieux Pour cela, l'interface Kibana est ouverte sur la rubrique `Metadata de l'onglet `All et la base est filtrée sur le paramètre `uuid.

---

5.6.10.5. Fenêtre d'informations sur une alerte

En cliquant directement sur une alerte, la fenêtre suivante est affichée :

La fenêtre est composée de 3 parties :

• partie supérieure (1) : le résumé

  Cette partie donne le résumé de l'alerte en indiquant entre autres :

  • le niveau de risque

  • le nom de la menace détectée

  • les date et heure de détection

• partie intermédiaire (2) : les actions possibles

  Cette partie affiche les boutons d'actions possibles sur cette alerte : ce sont les mêmes actions que les commandes détaillées dans les paragraphes précédents.
• partie inférieure (2) : les informations détaillées

  Cette partie affiche les informations détaillées sur :

  • le fichier (ID, UUID, SHA256...)

  • la menace détecté (type, Alerte type, Name, Description...)

  • le GCap source (GAP, Host)

  • etc

---