Alertes : Utiliser les résultats de la détection automatisée des menaces

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique explique la manière d'interpréter et d'utiliser les résultats de la détection automatisée des menaces. 

Lorsque vous affichez les résultats de la détection automatisée des menaces dans le gestionnaire d'incidents, un certain nombre de facteurs sont utilisés pour déterminer le score général. Cette rubrique est conçue pour vous aider à comprendre la manière dont ces scores sont générés et ce qu'ils signifient. 

Comprendre les résultats de la détection automatisée des menaces

Lorsque vous utilisez la fonction de détection automatisée des menaces, plusieurs scores sont agrégés pour former le score de la détection de commande et contrôle. Pour mieux cerner la manière dont ce score est déclenché, il importe de comprendre les éléments qui composent le score final. 

Lorsque vous recevez une alerte de détection de commande et contrôle, vous pouvez afficher le résumé de l'alerte détaillé suivant dans le module Incident Management :

Chaque icône représente un score différent qui forme le risque total calculé. Notez que les scores sont pondérés et que chaque score représente donc une partie différente du score final. Par exemple, le score du comportement de beaconing peut être égal à 20 % du score final alors que l'âge du domaine peut être égal à 5 % :

  1. Comportement de la balise. La détection de commande et contrôle recherche les connexions très régulières avec un domaine suspect. Le comportement de beaconing concerne la manière dont l'adresse IP source se connecte régulièrement au serveur de domaines.  Un score élevé signifie que les connexions de cette adresse IP source et le domaine sont très régulières. 
  2. Âge du domaine. Un serveur de commande et contrôle utilise souvent un nouveau domaine pour créer des connexions. Ainsi, si un domaine est nouveau pour le réseau, cela signifie qu'il s'agit plus probablement d'un domaine de commande et contrôle. Un score élevé indique que ce domaine est relativement nouveau sur ce réseau.  Ce score est dérivé du service Whois. Si votre service Whois ne fonctionne pas ou qu'ESA ne peut pas se connecter avec lui, l'icône s'affiche en gris.  Si un problème de connectivité se produit ou que le service Whois renvoie une valeur null ou une valeur à un format inattendu, une valeur par défaut est utilisée pour estimer ce score. Cela garantit l'exactitude de l'évaluation globale. 
  3. Domaine proche de l'expiration. Le serveur de commande et contrôle utilise un domaine proche de l'expiration pour créer des connexions. Ainsi, si un domaine est prêt à expirer, il s'agit plus probablement d'un domaine de commande et contrôle.  Ce score est dérivé du service Whois. Si votre service Whois ne fonctionne pas ou qu'ESA ne peut pas se connecter avec lui, l'icône s'affiche en gris. Si un problème de connectivité se produit ou que le service Whois renvoie une valeur null ou une valeur à un format inattendu, une valeur par défaut est utilisée pour estimer ce score. Cela garantit l'exactitude de l'évaluation globale. 
  4. Domaine rare.  Un domaine rare est un domaine auquel relativement peu d'adresses IP source ont été connectées sur un réseau donné durant la semaine la plus récente.  Si un domaine est rarement utilisé, la possibilité qu'il soit un domaine de commande et contrôle est plus probable que s'il s'agit d'un domaine légitime couramment utilisé, par exemple Google.com.
  5. Aucun référent. Un référent est un champ HTTP qui identifie l'adresse de la page Web qui a fait le lien avec la ressource demandée. Par exemple, si j'accède au site Web de ma banque à partir de mon site web de travail, mon site Web de travail s'affiche comme étant le référent.  Étant donné que les utilisateurs se connectent souvent à un site via un référent, un score élevé (qui signifie qu'un faible pourcentage d'adresses IP se connectant à ce domaine ont utilisé des référents) indique qu'une communication de commande et contrôle est très probable. 
  6. Agent utilisateur rare. L'agent utilisateur identifie le logiciel client à l'origine de la demande. Un score élevé indique que l'agent utilisateur associé à l'adresse IP n'est pas couramment utilisé. Comme le score Domaine rare, un agent utilisateur non courant a une plus grande chance d'être associé à un domaine de commande et contrôle.

 

Les icônes s'affichent en différentes couleurs et les couleurs aident à indiquer visuellement le niveau de risque. Pour plus d’informations, consultez le tableau ci-dessous.

                           
IcôneSignification
GrisAucun score n'a été généré, car aucune donnée n'était disponible. Cela peut se produire si le service Whois est désactivé ou qu'il n'y a aucune donnée disponible pour générer un score donné. 
NoirL'indicateur de score est faible. 
orangeL'indicateur de score est modéré.
Rouge       L'indicateur de score est élevé. 

Procédure suivante

Vous pouvez utiliser l'une des trois procédures indiquées ci-dessous après avoir affiché les scores des menaces :

  • Rechercher plus de détails.  Chaque score se compose de différents facteurs. Vous pouvez afficher ces détails dans la page Détails de l'événement.
  • Examiner le domaine dans le module Investigation. Vous pouvez accéder à l'écran Procédures d'enquête pour obtenir plus de détails sur le domaine et les incidents qui lui sont associés.
  • Ajouter des domaines à une liste blanche. Si vous examinez les détails et que vous déterminez que le domaine en question ne constitue pas une menace, il convient de l'ajouter à une liste blanche. Ainsi, le domaine ne déclenche plus de score de détection des menaces et contribue à optimiser l'exactitude de l'évaluation.

Rechercher d'autres détails dans le score

Chaque score d'événement est enrichi avec des données pour vous aider à déterminer si la communication avec le domaine est malveillante et, si c'est le cas, identifier la gravité de l'attaque. Pour chacun des scores répertoriés ci-dessus, il existe d'autres détails qui peuvent être inclus dans les détails de chaque événement.

Pour accéder à ces détails :

  1. Dans la file d'attente Incidents, double-cliquez sur un incident pour afficher les Détails de l'incident.
  2. Dans la section Détails relatifs aux alertes, double-cliquez sur une alerte.
  3. La page Détails de l'événement s'ouvre.

 Elle permet d'afficher les détails de l'événement. Une info-bulle est disponible pour chaque détail pour vous aider à interpréter les données. Vous pouvez afficher la série de scores, le nombre d'occurrences pour chaque période d'évaluation, la période de beaconing, les informations disponibles issues des données d'enregistrement Whois, etc. 

 Par exemple, vous pouvez voir d'après les détails de l'événement suivants que le score Domaine rare était égal à 100 (le score maximal), mais qu'une seule adresse IP était associée à ce domaine et qu'il y avait 24 occurrences dans la semaine précédente.   

Examiner le domaine dans le module Investigation

Dans la page Détails relatifs aux alertes, vous pouvez aussi ouvrir le module Investigation pour rechercher les détails du domaine. Pour cela, dans la page Détails relatifs aux alertes, cliquez sur ic-actns.png > Examiner le domaine de destination. Vous pouvez alors rechercher les jours entourant l'événement pour voir les autres événements éventuels et afficher d'autres détails sur l'événement. 

Réduire les faux positifs

 Parfois, un domaine auquel vous accédez régulièrement peut déclencher un score de détection automatisée des menaces. Par exemple, un service météorologique peut avoir le même comportement de beaconing qu'une communication de commande et contrôle, ce qui déclenche un score négatif non garanti. Dans ce cas, il s'agit d'un faux positif. Si, après avoir examiné l'événement, vous découvrez qu'il s'agit d'un faux positif, vous pouvez le marquer comme étant un faux positif, ce qui ajoutera le domaine à une liste blanche. Une fois le domaine ajouté à la liste blanche, il ne déclenche plus de score de détection automatisée des menaces. 

Remarque : Si vous utilisez SecOps ou une autre solution d'assistance technique, vous pouvez ajouter des domaines manuellement à la liste blanche à l'aide du service Context Hub. Reportez-vous à « l'Étape 2 : Configurer une liste blanche » dans Configurer la détection automatisée des menaces

Procédure 

  1. Dans la page Détails de l'incident, vous pouvez marquer un incident particulier comme étant un faux positif, ce qui l'ajoute automatiquement à la liste blanche.  
    1. Dans le Gestionnaire d'incidents, sélectionnez l'incident qui a déclenché un score faux positif. Cliquez sur ic-actns.png > Modifier l'incident.
      La boîte de dialogue Modifier l'incident s'affiche. 
    2. Dans la boîte de dialogue Modifier l'incident, cliquez sur le champ État et sélectionnez Clôturé (faux positif). Le domaine est alors ajouté à la liste blanche et l'incident est clos.  Une fois le domaine ajouté à la liste blanche, il est ignoré lorsque l'évaluation de la détection automatisée des menaces. 

 

You are here
Table of Contents > Utiliser la détection automatisée des menaces > Utiliser les résultats de la détection automatisée des menaces

Attachments

    Outcomes