-
Notifications
You must be signed in to change notification settings - Fork 14
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Merge pull request #75 from CybercentreCanada/update/submit-options
Update/submit options
- Loading branch information
Showing
18 changed files
with
164 additions
and
22 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,35 @@ | ||
# Soummission d'un hash SHA256 pour l'analyse | ||
|
||
## Soumission | ||
Soumettre un SHA256 pour analyse est très similaire à la soummision d'un URL; cela peut être fait directement dans l'interface graphique web d'Assemblyline. Pour l'automatisation et l'intégration vous pouvez utiliser l'API. [REST API](../../integration/python/#submit-a-file-url-or-sha256-for-analysis). | ||
|
||
![Soumission de fichier](./images/submit.fr.png) | ||
|
||
Cliquez sur l'onglet "URL/SHA256". | ||
|
||
![Soumission URL/SHA256](./images/submission.fr.png) | ||
|
||
### Partage et classification | ||
Si votre systême est configuré avec le contrôle de partage(TLP) ou la classification de configuration, les restrictions disponibles peuvent être selectionné en cliquant sur la bannière de classification. | ||
|
||
### Choisir un SHA256 pour analyse | ||
Contrairement à la soumission par fichier où un fichier est glisser ou selectionné du disque, il suffit d'entrer dans la zone de texte d'entrée le SHA256 que vous voulez analyser en le copiant/collant, puis cliquer sur "ANALYSER"! | ||
|
||
### Note important par rapport aux soumissions SHA256 avec Assemblyline | ||
Par défault, soumettre un hash SHA256 dans Assemblyline pour analyse mandatera Assemblyline de chercher dans le storage de fichier pour un fichier existant soumis précédement ayant ce hash. Si le fichier en question existe, Assemblyline resoumettra ce fichier pour l'analyse. Si ce fichier n'existe pas dans le storage, alors la soumission échouera ou Assemblyline tentera d'utiliser une source externe (si configuré) en cherchant l'existance de ce hash. Si le hash existe via la source externe comme Malware Bazaar, alors Assemblyline téléchargera le fichier via cette source et soumettra ce fichier pour analyse. Vous pouvez configurer ce paramètre dans votre déploiement k8s sous la section `ui`: https://cybercentrecanada.github.io/assemblyline4_docs/odm/models/config/#externalsource. | ||
|
||
![Soumission de hash](./images/submit_hash.fr.png) | ||
|
||
## Options | ||
Options de soumission additionels non limité à: | ||
|
||
- Choisir quelle(s) catégorie(s) de services ou quel(s) service(s) spécifique(s) à utiliser pour l'analyse | ||
- Spécifier les paramètres de soumission des services (example: indiquer un mot de passe à utiliser, ou encore un temps limite pour l'analyse dynamique) | ||
- Ignorer la filtration des services: Ne pas prendre compte des services de sûreté | ||
- Ignoner les résultats en cache: Forcer la re-soumission même si le même fichier a été analyser récemment avec les mêmes versions de service | ||
- Ignorer la prévention de la récurssion dynamique: Déactiver l'itération limite sur un fichier | ||
- Profiler l'analyse courante | ||
- Effectuer une analyse approfondie: Permet un decortiquate maximal (**Grandement recommendé pour les fichiers connus malveillants ou très suspicieux afin de détection le contenu camouflé**) | ||
- Temps de vie: Temps (en jours) avant que le fichier soit effacé du système. | ||
|
||
![Options de soumission](./images/submit_options.fr.png) |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,35 @@ | ||
# Submitting a SHA256 for analysis | ||
|
||
## Submission | ||
Submitting a SHA256 for analysis is very similar to submitting a URL; it can be done directly using the Assemblyline WebUI. For automation and integration you can use the [REST API](../../integration/python/#submit-a-file-url-or-sha256-for-analysis). | ||
|
||
![File submission](./images/submit.png) | ||
|
||
Just click on the "URL/SHA256" tab. | ||
|
||
![URL/SHA256 submission](./images/submit_url.png) | ||
|
||
### Sharing and classification | ||
If your system is configured with a sharing control (TLP) or Classification configuration, the available restriction can be selected by clicking on the Classification Banner. | ||
|
||
### Choosing a SHA256 to scan | ||
Rather than dragging and dropping a file or selecting a file from your local drive, you input the SHA256 that you want to scan by typing/pasting it into the "URL/SHA256 To Scan" text box and clicking "SCAN"! | ||
|
||
### An important thing to note about SHA256 submissions in Assemblyline | ||
As a default, submitting a SHA256 hash to Assemblyline for analysis will prompt Assemblyline to check its file store to see if the SHA256 exists for any file that Assemblyline has previously seen. If the file exists, then Assemblyline will resubmit that file for analysis. If the file does not exist, then the submission will either fail or Assemblyline will use an external source (if configured) to query the existence of the hash. If the SHA256 is present on an external source like Malware Bazaar, then Assemblyline will download the file from that source and submit that file for analysis. You can set this up in your k8s deployment configuration under the `ui` component: https://cybercentrecanada.github.io/assemblyline4_docs/odm/models/config/#externalsource. | ||
|
||
![Submit hash](./images/submit_hash.png) | ||
|
||
## Options | ||
Additional submission options are available to: | ||
|
||
- Select which service categories or specific services to use for the analysis | ||
- Specify service configuration options (such as providing a password, or dynamic analysis timeout) | ||
- Ignore filtering services: Bypass safelisting services | ||
- Ignore result cache: Force re-analysis even if the same file had been scanned recently with the same service versions | ||
- Ignore dynamic recursion prevention: Disable iteration limit on a file | ||
- Profile current scan | ||
- Perform deep analysis: Provide maximum deobfuscation (**Highly recommended for known malicious or highly suspicious files to detect highly obfuscated content**) | ||
- Time to live: Time (in days) before the file is purged from the system | ||
|
||
![Submit options](./images/submit_options.png) |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,35 @@ | ||
# Soumission d'un lien URL pour l'analyse | ||
|
||
## Soumission | ||
Soumettre un lien URL pour analyse est très similaire à la soumission de fichier; cela peut être fait directement dans l'interface graphique web d'Assemblyline. Pour l'automatisation et l'intégration il est possible d'utiliser l'API [REST API](../../integration/python/#submit-a-file-url-or-sha256-for-analysis). | ||
|
||
![Soumission de fichier](./images/submit.fr.png) | ||
|
||
Cliquer sur l'onglet "URL/SHA256". | ||
|
||
![Soumission d'URL/SHA256](./images/submit_url.fr.png) | ||
|
||
### Partage et classification | ||
Si votre systême est configuré avec le contrôle de partage(TLP) ou la classification de configuration, les restrictions disponibles peuvent être selectionné en cliquant sur la bannière de classification. | ||
|
||
### Choisir un URL pour analyse | ||
Contrairement à la soumission par fichier où un fichier est glisser ou selectionné du disque, il suffit d'entrer dans la zone de texte d'entrée le lien URL que vous voulez analyser en le copiant/collant, puis cliquer sur "ANALYSER"! | ||
|
||
### Note important par rapport aux soumissions URL avec Assemblyline | ||
Puisqu'Assemblyline est un système de triage de fichier malveillant, il commence chaque soumission avec un fichier, même si vous soumettez un URL. La façon dont cela fonctionne est que lorsque vous soumettez un URL pour analyse, Assemblyline fera une requête de connection au URL soumit, téléchargera la ressource qui est hébergée à cet endroit et soumettra ce fichier pour analyse. S'il n'y a plus de ressource à cet endroit, ou si Assemblyline ne peut pas se connecter au server où le URL pointe, la soumission échouera. | ||
|
||
Ceci est important car si vous avez un URL qui héberge un fichier malveillant et que vous ne voulez pas exposer votre système Assemblyline au serveur duquel le URL pointe, il est recommandé de configurer un serveur proxy qui agira comme intermédiaire entre l'architecture d'Assemblyline et le serveur qui héberge un fichier malveillant. Vous pouvez configurer ce paramètre dans votre déploiement k8s sous la section `ui`: https://cybercentrecanada.github.io/assemblyline4_docs/odm/models/config/#ui. Le paramètre en question est `url_submission_proxies`. | ||
|
||
## Options | ||
Options de soumission additionels non limité à: | ||
|
||
- Choisir quelle(s) catégorie(s) de services ou quel(s) service(s) spécifique(s) à utiliser pour l'analyse | ||
- Spécifier les paramètres de soumission des services (example: indiquer un mot de passe à utiliser, ou encore un temps limite pour l'analyse dynamique) | ||
- Ignorer la filtration des services: Ne pas prendre compte des services de la liste sûre | ||
- Ignoner les résultats en cache: Forcer la re-soumission même si le même fichier a été analyser récemment avec les mêmes versions de service | ||
- Ignorer la prévention de la récurssion dynamique: Déactiver l'itération limite sur un fichier | ||
- Profiler l'analyse courante | ||
- Effectuer une analyse approfondie: Permet un decortiquate maximal (**Grandement recommendé pour les fichiers connus malveillants ou très suspicieux afin de détection le contenu camouflé**) | ||
- Temps de vie: Temps (en jours) avant que le fichier soit effacé du système. | ||
|
||
![Options de soumission](./images/submit_options.fr.png) |
Oops, something went wrong.