Alertes : Configurer la détection automatisée des menaces

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente aux administrateurs et analystes la procédure à suivre pour configurer et utiliser la fonction de détection automatisée des menaces. 

Cette procédure contient les étapes à suivre pour configurer la fonction de détection automatisée des menaces sur votre service ESA. Cependant, il importe de noter, avant de configurer cette fonction, que les configurations d'installation possibles prises en charge sur le service ESA sont nombreuses, notamment : la fonction de détection automatisée des menaces, les règles ESA et le service Context Hub. Chacune de ces configurations utilise des ressources et il importe donc de penser à effectuer un dimensionnement avant d'activer cette fonction sur votre service ESA..

Conditions préalables

Vous devez avoir configuré un Decoder pour les données de paquets HTTP. 

Vous devez avoir configuré un parser Lua ou Flex HTTP.

Pour obtenir de meilleures performances, activez le service Context Hub. Vous pouvez ainsi créer une liste blanche.

Procédure : Configuration de la fonction de détection automatisée des menaces

Cette procédure contient les étapes à suivre pour configurer la fonction de détection automatisée des menaces. 

Les étapes de base nécessaires sont les suivantes :

  1. Configurez les paramètres WhoIs. Le service Whois vous permet d'obtenir des données précises sur les domaines auxquels vous vous connectez. Afin de garantir une évaluation efficace, il importe de configurer les paramètres du service Whois.
  2. Créez une liste blanche (facultatif) à l'aide du service Context Hub. En créant une liste blanche, vous vous assurez que les sites couramment visités sont exclus de l'évaluation effectuée par la fonction de détection automatisée des menaces.
  3. Activez la fonction de détection automatisée des menaces pour le service ESA que vous avez spécifié. Vous devez activer la fonction de détection automatisée des menaces pour chaque serveur ESA sur lequel vous voulez que le service s'exécute. 
  4. Attendez 24 heures pour le préchauffage et activez la règle C2 du gestionnaire des incidents.  Lors de l'utilisation de la fonction de détection automatisée des menaces, la durée de préchauffage de l'algorithme de hachage est d'environ 24 heures. Au bout de 24 heures, activez la règle C2 sur le gestionnaire d'incidents. 

Étape 1 : Configurer les paramètres du service WhoIs pour votre serveur ESA

Pour que votre serveur ESA se connecte au service Whois, configurez les paramètres. Cela permet au service ESA d'obtenir des informations détaillées sur le domaine qui déclenche l'indice de Détection automatisée des menaces. 

  1. Sous Administration > Services,  sélectionnez votre service ESA, puis ic-actns.png > Vue > Explorer. 
  2. Dans l'Explorateur, cliquez sur Service > Whois > whoisClient.
  3. Configurez les paramètres suivants (notez que seuls les deux premiers paramètres ont besoin d'être modifiés. RSA recommande d'utiliser les valeurs par défaut des autres paramètres) :
                                                             
ParamètreDescription :
whoisUserId

Nécessaire :  Indiquez les informations d'authentification du serveur RSA Whois. Elles correspondent à votre ID d'utilisateur Live RSA. Si vous n'avez pas configuré de compte Live RSA, vous devez le faire. 

La valeur par défaut est whois.

whoisPassword

Nécessaire : Indiquez les informations d'authentification du serveur RSA Whois. Elles correspondent à votre mot de passe Live RSA. Si vous n'avez pas configuré de compte Live RSA, vous devez le faire. 

La valeur par défaut est null.

whoisUrl

Facultatif : indiquez l'URL nécessaire pour obtenir les données Whois du service RSA Whois. Notez que la barre oblique ('/') de fin est obligatoire. Sinon, les demandes vont échouer.

 La valeur par défaut est :« https://cms.netwitness.com/whois/query/ »

whoisAuthUrl

Facultatif: indiquez l'URL nécessaire pour obtenir les tokens d'authentification du service RSA Whois.

La valeur par défaut est :« https://cms.netwitness.com/authlive/authenticate/WHOIS »

whoisAuthTokenLifespanSeconds 

Facultatif : indiquez le délai (en secondes) au bout duquel un jeton d'authentification doit être renouvelé.

La valeur par défaut est 3300. 


whoisHttpsProxy

Facultatif : si les demandes HTTP exigent un proxy, définissez cette option sur la même valeur que celle utilisée pour le service RSA Live.  N'utilisez ce paramètre que si insecureConnection est défini sur true

La valeur par défaut est false.

(Nécessite un redémarrage du serveur ESA pour être prise en compte.)

insecureConnection

Facultatif :  définissez ce paramètre sur true pour que la demande HTTP au service RSA Whois ignore les certificats SSL.  

Remarque : Si le service RSA Whois est accessible via un proxy, ce paramètre doit être défini sur true.  

La valeur par défaut est false.

(Nécessite un redémarrage du serveur ESA pour être prise en compte.)

allowedRequests

Facultatif : indiquez le nombre de requêtes à autoriser avant de commencer à réguler le service Whois. Ce paramètre s'utilise avec allowedRequestsIntervalSeconds, pour lequel vous définissez l'intervalle entre les requêtes. Par exemple, si vous définissez allowedRequests sur 100 et allowedRequestsIntervalSeconds sur 60, vous êtes autorisé à effectuer 100 demandes avec un intervalle de 60 secondes.

La valeur par défaut est 100.

(Nécessite un redémarrage du serveur ESA pour être prise en compte.)

allowedRequestsIntervalSeconds

Facultatif : si vous définissez le paramètre allowedRequests, vous devez aussi configurer ce paramètre pour déterminer l'intervalle. Cette valeur doit être optimisée pour votre environnement.

 La valeur par défaut est égale à 60 secondes.

(Nécessite un redémarrage du serveur ESA pour être prise en compte.)

queueMaxSize

Facultatif : spécifiez la taille maximale de la file d'attente des domaines. Cette information sera demandée au service RSA Whois.

La valeur par défaut est 100 000.

cacheMaxSize

Facultatif : spécifiez le nombre maximal d'entrées Whois mises en cache. Une fois cette limite atteinte, la dernière entrée utilisée sera supprimée afin d'accepter une nouvelle entrée.

La valeur par défaut est 50 000.

(Nécessite un redémarrage du serveur ESA pour être prise en compte.)

refreshIntervalSeconds

En option : Spécifiez le nombre de secondes correspondant à l'intervalle d'actualisation. Si les informations Whois sont demandées, elles se trouvent dans le cache. Si une entrée est présente dans le cache après le délai spécifié en nombre de secondes, celle-ci est supprimée du cache et le domaine retourne dans la file d'attente afin d'être analysé. (L'entrée en cache est renvoyée pour la demande qui l'a identifiée comme périmée.)

Le paramètre par défaut est 2 592 000 secondes (30 jours).

waitForHTTPRequest

Facultatif : Indique au service ESA d'attendre que le service Whois réponde avant d'exécuter l'EPL. Cela garantit que les données Whois sont toujours incluses dans les résultats, mais peut avoir un effet négatif sur les performances étant donné que le serveur ESA s'interrompt jusqu'à 30 secondes en attendant la réponse du service Whois.

Si vous ne configurez pas ce paramètre et que le temps de réponse est trop lent, le serveur ESA termine l'exécution de l'analyse pour un événement donné sans les données Whois et calcule l'indice sans les données.

Le paramètre par défaut est true

Étape 2 : Créer une liste blanche Domaines (facultatif)

Remarque : Cette étape est facultative si vous utilisez le gestionnaire d'incidents pour gérer ces incidents. Vous pouvez aussi créer une liste blanche en clôturant un incident comme étant un faux positif.  

Cette procédure est appliquée lors de l'utilisation de la fonction de détection automatisée des menaces afin de garantir que certains domaines ne déclenchent pas d'indice de menace.  Parfois, un domaine auquel vous accédez régulièrement peut déclencher un score de détection automatisée des menaces. Par exemple, un service météorologique peut avoir un comportement de beaconing similaire à celui d'une communication de commande et contrôle et déclencher ainsi un indice négatif non garanti. Pour empêcher le déclenchement d'un faux positif avec un domaine spécifique, vous pouvez ajouter le domaine à une liste blanche. La plupart des domaines n'ont pas besoin d'être ajoutés à une liste blanche, car la solution n'émet des alertes que pour les comportements très suspects. Les domaines que vous pouvez ajouter à une liste blanche sont les services automatisés valides auxquels peu d'hôtes se connectent.

 

Remarque : Seule une instance de service Context Hub peut être activée dans votre déploiement Security Analytics. Si votre service Context Hub fonctionne sur un serveur ESA différent, vous devez le configurer pour qu'il se connecte au serveur ESA qui exécute le service Context Hub. Pour plus d'instructions, reportez-vous à « Configurer un serveur ESA pour qu'il se connecte à Context Hub » sur un autre serveur ESA dans le Guide de configuration d'Event Stream Analysis.

  1. Dans le service Context Hub, vous pouvez créer une liste et y ajouter manuellement des domaines, ou télécharger un fichier .CSV contenant une liste de domaines. 
    1. Dans Administration > Services, sélectionnez le service Context Hub.
    2. Sélectionnez le service Context Hub, puis cliquez sur ic-actns.png > Vue > Config
    3. Sélectionnez l'onglet Liste pour ouvrir les listes à modifier. 
    4. Dans le panneau de gauche, cliquez sur pour ajouter une liste. Indiquez le nom de la liste et ajoutez ensuite manuellement des domaines en cliquant sur  dans le panneau de droite.

Attention : La liste blanche doit être nommée.Domaines sur liste blanche.Dans le cas contraire, le service Context Hub ne sera pas en mesure de traiter la liste comme une liste blanche. 

  1. Ou bien,pour importer un fichier .CSV, cliquez sur  et accédez au fichier CSV dans la boîte de dialogue Importer un fichier. Notez que le fichier doit être nommé Domaines sur liste blanche. Choisissez parmi les séparateurs suivants : Virgule, Saut de ligne et Retour chariot en fonction du séparateur que vous avez choisi pour séparer les valeurs. Cliquez ensuite sur Télécharger
  2. Dans le service Context Hub, vous pouvez aussi modifier une liste blanche existante pour ajouter ou supprimer un domaine.  
  3. Dans le panneau de droite, Liste affiche votre liste blanche de domaines existante.
  4. Cliquez sur Domaines sur liste blanche. Les valeurs figurant dans la liste blanche s'affichent dans le panneau de droite. 

  1. Pour ajouter un domaine, cliquez sur et indiquez le nom du domaine.
  2. Pour supprimer le domaine, sélectionnez-le et cliquez sur .
  3. Pour importer un fichier .CSV, cliquez sur  et accédez au fichier .CSV dans la boîte de dialogue Importer un fichier. Choisissez parmi les séparateurs suivants : Virgule, Saut de ligne et Retour chariot en fonction du séparateur que vous avez choisi pour séparer les valeurs. Cliquez ensuite sur Télécharger

Remarque : Il importe de configurer une liste blanche avant d'activer la fonction de détection automatisée des menaces afin d'assurer que les domaines ont été ajoutés à la liste blanche avant le début de l'évaluation des menaces. 

Étape 3 : Activer la détection automatisée des menaces

  1. Dans Administration > Services, sélectionnez votre service ESA, puis cliquez sur ic-actns.png > Vue > Config. 
  2. Cliquez sur l'onglet Avancé et sélectionnez Activer la détection automatisée des menaces , puis cliquez sur Appliquer.

La détection automatisée des menaces est maintenant activée sur votre serveur ESA sélectionné. 

Étape 4 : Activer la règle de détection C2 sur le gestionnaire des incidents

Activez la règle de détection C2 sur le Gestionnaire des incidents

  1. Dans Incidents > Configurer, sélectionnez Règles d'agrégation.
  2. Sélectionnez la règle Communication de commande et contrôle par domaine, et double-cliquez dessus pour l'ouvrir. 

  1. Cliquez sur Activé, puis sur Enregistrer

 Une fois que la règle est activée, elle affiche un bouton Activé vert.

Résultat

Une fois que vous avez activé la détection automatisée des menaces, votre serveur ESA commence à effectuer des analyses sur le trafic HTTP. Vous pouvez afficher des informations détaillées sur chaque incident figurant dans la file d'attente de gestion des incidents. 

Étapes suivantes

Après avoir activé la règle, surveillez le gestionnaire d'incidents pour voir si la règle est déclenchée. Si la règle est déclenchée, suivez les étapes indiquées dans la section suivante pour explorer le domaine associé à la règle déclenchée. 

Utiliser les résultats de la détection automatisée des menaces

You are here
Table of Contents > Utiliser la détection automatisée des menaces > Configurer la détection automatisée des menaces

Attachments

    Outcomes