Nouvelle Fonctionnalités *************************** Ajout d'un moteur d'analyse : GDGADetect ---------------------------------------------- Le moteur d'analyses GDGADetect analyse les noms de domaine pour détecter des domaines générés par un Domain Generation Algorithm. GDGADetect peut être ajouté à un template d'analyse. Ce moteur d'analyse est également présent sur la page d'accueil permettant un résultat immédiat. Soumission d'un fichier ---------------------------------------------- La taille du fichier maximum à soumettre est désormais de 50mo. Il est possible de renseigner le mot de passe d'une archive pour analyse. Les fichiers de type archive ont un traitement particulier (*cf* : `Cas particuliers : la gestion des archives `_). Si la soumission d'un fichier pour analyse a réussie, un message présentant un lien de redirection HTML vers le rapport apparait. Configuration : SSL Settings ---------------------------------------------- Il est possible de configurer le certificat TLS (Transport Layer Security) de la GBox via la WebUI de celle-ci(*cf* : `SSL Settings `_). Status des moteurs d'analyses ---------------------------------------------- Les états des différents moteurs d'analyses sont disponibles directement dans la liste des moteurs. Différents badges indiquent l'état du moteur (*up/down*), sa capacité à effectuer des analyses (*ready / not ready*), et le nombre de tâches en cours de traitement par ce moteur. GUM - Hotfix cumulatif ---------------------------------------------- Les différentes corrections à chaud mises à disposition pourront être appliquées via un package unique. Amélioration de l'auto-rafraîchissement ---------------------------------------------- Les fonctionnalités de l'automatisation du rafraîchissement des données ont été améliorées : * Le tableau des dernières analyses, l'option "Auto refresh" est disponible. Elle est activée par défaut. * Le rapport d'analyse disponible au format HTML se met à jour toute les deux secondes. Nouvelles fonctionnalité dans GNEST ---------------------------------------------- L'analyzer GNEST permet de récupérer une copie du contenu de la mémoire virtuelle. L'option est désactivée par défaut. Le téléchargement de ce nouvel artefact est disponible via le rapport d'analyse au format HTML. La visualisation d'un arbre des processus pour mieux cerner l'ordre d'exécution du potentiel malware est possible dans les rapports d'analyses. **AJOUT FLARE_CAPA et CONF_MALWARE ?** Il est possible de suivre, via un tableau, la progression des dernières actions de création et/ou de suppression de machines virtuelles liée à GNEST. Les informations disponibles sont : * La date de soumission de la requête au format *JJ/MM/YYY HH:MM*. * L'action demandée (ajout ou suppression). * La progression de la tâche en pourcentage. * Le status de la tâche sous format texte. * La date de fin de tâche au format *JJ/MM/YYY HH:MM*. Le choix de rendre visible ou non ce tableau est possible avec l'option *show / hide* disponible via la WebUI. La suppression multiple des machines virtuelles liées à GNEST est intégrée et opérationnelle. Liste des rapports d'analyse ---------------------------------------------- Une recherche avancée est proposée en sélectionnant l'option *Hide advanced search fields*. Elle permet de chercher par : * Règles YARA (*Yara rule*). * Signature (*Signature*). * Tactiques, Techniques et procédures (*TTPs*). * Comportement des logiciels malveillants (*Malware behaviour catalog*). * Famille de malware (*Malware family*). * Hash de fichier (*File hashes*). * Réseau(*Network*). Une recherche dynamique sur chaque colonne du tableau a été mise en place. L'option *Hide analysis without threat score* est disponible via la WebUI de la GBox permettant de rendre visible les analyses sans threat score. Il est possible simplement de mettre le hash d'un fichier présent dans le tableau dans le presse papier. Template ---------------------------------------------- L'édition du titre d'un template est désormais possible via la WebUI de la GBox et se modifie de manière automatique dans les rapports d'analyses déjà traités par celui-ci. L'option de template par défaut est désormais possible directement sur celui-ci via l'option *set as default*. Rapport d'analyse ---------------------------------------------- Une réorganisation du rapport sous forme de section a été effectuée. Cela permet une meilleure compréhension et recherche d'information lors de sa lecture. L'ajout de la section *Template Options* regroupe les informations du template utilisé tel que le nom du(des) moteur(s) d'analyse(s) et ces options. Il est possible de `rejouer `_ une analyse via le rapport au format HTML. Une sélection de vos `templates `_ vous est proposée via une liste déroulante. Artefacts : suppression manuelle ---------------------------------------------- Il est possible de supprimer les artefacts d'analyse depuis l'api ou depuis le rapport au format HTML. Nouvelle interface de programmation d'application ---------------------------------------------- Une nouvelle API (*application programming interface* ou *interface de programmation d'application*) a été mise en place. Elle permet une meilleure automatisation des tâches. Une documentation complète des `endpoints` est directement disponible via l'icône *API* accesible en administrator. Une documentation sur l'utilisation de l'API est disponible en ligne en cliquant `ici `_. Deux authentifications auprès de l'API sont possibles : * En utilisant d'un couple login / mot de passe : fournit via un *endpoint* de celle-ci. * En utilisant un `token `_ d'api.