Alertes : Comprendre la détection automatisée des menaces

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
 

Cette rubrique présente la détection automatisée des menaces. La détection automatisée des menaces est un service que vous déployez sur votre ESA. Analytique du comportement : Le module Domaines suspects examine votre trafic HTTP pour détecter les domaines susceptibles d'être des serveurs de commande et contrôle de malware se connectant à votre environnement. Une fois que la détection automatisée des menaces examine votre trafic HTTP, il génère des scores basés sur différents aspects du comportement de votre trafic (comme la fréquence et la régularité à laquelle un domaine donné est contacté). Si ces scores atteignent un seuil précis, une alerte ESA est générée. Cette alerte ESA déclenche également une alerte dans Incident Manager. L'alerte d'Incident Manager est complétée par des données qui vous aident à interpréter les scores afin de déterminer quelles étapes prendre pour la correction. 

Cette version de la détection automatisée des menaces propose des scores pour détecter les communications de commande et contrôle. Les communications de commande et contrôle se produisent lorsque du malware a compromis un système et renvoie des données à une source. Souvent, le malware de commande et contrôle peut être détecté grâce à un comportement de balisage. Le balisage se produit lorsque le malware envoie des communications régulières au serveur de commande et contrôle afin de le notifier qu'une machine a été compromise et qu'il attend de nouvelles instructions. La capacité à intercepter le malware à ce moment de la compromission peut empêcher tout dommage supplémentaire sur la machine compromise, et elle est considérée comme une étape critique dans le processus d'éradication.  

Cette fonction résout plusieurs problèmes qui se produisent lors de la recherche de malware :

  • Capacité à utiliser des algorithmes plutôt que des signatures. Parce que de nombreux créateurs de malware ont commencé à utiliser des segments de code polymorphique ou chiffré dont la signature est très difficile à créer, il est possible que cette approche ne détecte pas le malware.  Parce que la détection automatisée des menaces utilise un algorithme basé sur le comportement, il est capable de détecter le malware plus rapidement et plus efficacement. 
  • Capacité à automatiser la chasse aux données. La recherche manuelle dans les données est une méthode efficace mais extrêmement chronophage de trouver du malware. L'automatisation de ce processus permet à un analyste d'utiliser son temps plus efficacement. 
  • Capacité à trouver rapidement une attaque. Au lieu de regrouper les données par lot puis de les analyser, la détection automatisée des menaces analyse les données au moment de leur ingestion dans Security Analytics,ce qui permet une détection des attaques en temps presque réel. 

Workflow

La détection automatisée des menaces fonctionne comme un système de filtrage. Elle vérifie si certains comportements se produisent (ou si certaines conditions existent), et si ce comportement ou cette condition se produit, elle passe à l'étape suivante du processus.  Cela améliore l'efficacité du système et libère des ressources de façon à ce que les événements qui ne s'avèrent pas dangereux ne soient pas retenus dans la mémoire.  Le diagramme suivant propose une version simplifiée du workflow. 

1.) Les paquets HTTP sont acheminés vers ESA. Les paquets HTTP sont analysés par le Decoder et envoyés vers le périphérique ESA.

2.) La liste blanche est vérifiée. Si vous avez créé une liste blanche via le Context Hub, ESA vérifie la liste pour éliminer des domaines. Si le domaine d'un événement est répertorié sur la liste blanche, l'événement est ignoré.

3.) Le profil du domaine est vérifié. La détection automatisée des menaces vérifie pour savoir si le domaine est nouveau (environ trois jours), s'il dispose de peu de connections IP source, de nombreuses connexions sans référent ou de connexions avec un agent utilisateur rare.  Si une ou plusieurs de ces conditions sont vraies, le domaine est ensuite vérifié par des balisages périodiques. Pour une description détaillée de ces scores de profils de domaines, consultez « Utiliser les scores de la détection automatisée des menaces ».

4.) Le domaine est vérifié par un balisage périodique. Le balisage se produit lorsque le malware envoie des communications régulières au serveur de commande et contrôle afin de le notifier qu'une machine a été compromise et qu'il attend de nouvelles instructions.  Si le site présente un comportement de balisage, les informations d'enregistrement du domaine sont vérifiées. 

5.) Les informations d'enregistrement sont vérifiées. Le service Whois est utilisé pour savoir si le domaine a été enregistré récemment ou s'il est sur le point d'expirer. La durée de vie très courte d'un domaine est caractéristique du malware. 

6.) Scores d'agrégation de commande et contrôle (C2).  Chacun de ces facteurs génère un score individuel qui est pondéré pour indiquer différents niveaux d'importance. Les scores pondérés déterminent si une alerte doit être générée. Si une alerte est générée, les alertes agrégées s'affichent dans le Gestionnaire d'incidents et peuvent ensuite être examinées plus en détails. Lorsque les alertes commencent à apparaître dans Incident Manager, elles continuent à s'agréger sous l'incident associé. Cela facilite le triage de nombreuses alertes qui peuvent être générées lors d'un incident de commande et contrôle. 

Si vous êtes un analyste, vous pouvez afficher les alertes générées dans le module Récapitulatif des alertes, ou dans le module Incident Manager. Si vous utilisez SecOps, vous pouvez afficher des alertes dans SecOps versions 1.2 et 1.3. 

 

You are here
Table of Contents > Alertes : Comprendre la détection automatisée des menaces

Attachments

    Outcomes