Présentation du service Context Hub

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Context Hub est un nouveau service de RSA Security Analytics qui comporte une fonctionnalité de recherche de fournisseur d'enrichissement dans les vues Procédure d'enquête. Ce service comporte un indicateur d'enrichissement en ligne automatisé ainsi qu'une fonctionnalité de recherche de fournisseur d'enrichissement à la demande. Les analystes peuvent utiliser les informations supplémentaires envoyées par le service Context Hub comme informations et renseignements contextuels pendant la procédure d'enquête. Les sources des données d'enrichissement sont Incident Management, les listes personnalisées et ECAT.

Le service Context Hub :

  • Est hébergé sur Event Stream Analysis (ESA).
  • Prend en charge par défaut les recherches de fournisseur d'enrichissement pour les types de métadonnées suivants : Adresse IP, Utilisateurs, Domaines, Adresse MAC, Nom de fichier, Hachage de fichier et Hôtes

Objectif

Le service Context Hub rassemble des informations issues de plusieurs sources de données dans Investigation pour permettre aux analystes de prendre de meilleures décisions durant leurs procédures d'enquête. En consultant les valeurs méta et les informations contextuelles dans une même interface, les analystes peuvent privilégier et identifier les domaines clés. Par exemple, les incidents et alertes récemment générés depuis Incident Management et qui englobent une valeur méta donnée s'affichent lorsque l'analyste effectue une opération de recherche contextuelle pour cette valeur méta.

Les listes personnalisées telles que les listes noires, les listes blanches ou les listes de surveillance peuvent être créées par les analystes. Vous pouvez remplir ces listes personnalisées à l'aide d'éléments, soit par importation de fichiers CSV, soit par ajout de métavaleurs via l'option Ajouter à la liste/Supprimer de la liste des vues Investigation. Les listes personnalisées deviennent automatiquement des sources de données pour les méta-indicateurs, ainsi que pour les recherches de fournisseur d'enrichissement à la demande.

Ces listes peuvent aussi assurer une meilleure interaction entre les analystes. Par exemple, les analystes de niveau 2 peuvent indiquer des éléments suspects et les analystes de niveau 1 peuvent utiliser ces connaissances pour confirmer des incidents ou en créer selon les besoins.

Avec les informations contextuelles issues d'ECAT, les analystes peuvent obtenir les indicateurs de module de point d'extrémité et de machine.

Workflow pour les administrateurs

La vue Configuration des services du service Context Hub permet aux administrateurs de configurer les sources de données pour le service Context Hub. Pour plus d’informations, voir le Étape 2. Configurer des sources de données pour Context Hub.

Les administrateurs peuvent configurer les recherches de contexte pour les clés méta personnalisées si nécessaire. Ils peuvent aussi importer ou exporter les listes qui peuvent être utilisées par l'analyste.

 

Workflow pour les analystes

Dans Investigation > vue Naviguer, les valeurs méta avec des informations contextuelles sont mises en évidence avec un arrière-plan gris. Il existe aussi des indicateurs en ligne pour les valeurs méta mises en évidence. Ils indiquent les sources pour lesquelles les informations contextuelles sont disponibles.

Remarque : Les valeurs méta mises en évidence n'auront pas toutes des informations de recherche de contexte. Cela provient du fait que les informations contextuelles peuvent avoir changées depuis le moment où elles ont été marquées comme disponibles.

Si les valeurs méta n'ont pas d'indicateurs de contexte, les analystes peuvent lancer une requête à la demande pour vérifier si les informations contextuelles peuvent être disponibles. Pour cela, ils peuvent cliquer avec le bouton droit de la souris sur une valeur méta qui prend en charge la recherche contextuelle et choisir ensuite l'option de menu Recherche contextuelle.

L'option Recherche contextuelle est aussi prise en charge dans la vue Procédure d'enquête > Événements. Mais les indicateurs en ligne ne sont pas disponibles dans cette vue. Vous devez donc lancer une recherche à la demande sur les valeurs méta.

Cliquez avec le bouton droit de la souris et choisissez l'option Recherche contextuelle. Un panneau Recherche contextuelle s'ouvre dans la partie droite des vues Procédure d'enquête. Il affiche les informations contextuelles issues des sources configurées liées aux valeurs méta. Pour obtenir des informations supplémentaires sur le contexte, cliquez sur les liens correspondants sur les résultats de recherche affichés dans le panneau Recherche contextuelle. Pour plus d'informations, consultez la section Afficher un contexte supplémentaire pour un point de données dans le Guide Investigation et Malware Analysis.

Les analystes peuvent ajouter ou supprimer une valeur méta à une liste nouvelle ou existante en cliquant avec le bouton droit de la souris sur la même valeur méta, puis en sélectionnant l'option Ajouter à la liste / Supprimer de la liste.

Rôles et autorisations de l'utilisateur

Les analystes qui utilisent Security Analytics Investigation doivent avoir les autorisations appropriées pour effectuer la recherche contextuelle et utiliser les listes personnalisées. 

Deux nouvelles autorisations Context Lookup et Manage List from Investigation  sont ajoutées pour Investigation dans Security Analytics 10.6. Elles sont ajoutées aux rôles Analyste, Responsables du SOC et Analystes Malware par défaut. Cependant, lors de la mise à niveau vers Security Analytics 10.6 à partir de versions précédentes, l'administrateur doit configurer ces autorisations. Pour plus d'informations sur les rôles et les autorisations, reportez-vous à Autorisations du rôle et Gérer les utilisateurs avec des rôles et des autorisations dans le Guide de la sécurité du système et de la gestion des utilisateurs.

L'analyste doté de l'autorisation Context Lookup peut effectuer une recherche contextuelle dans les vues Procédure d'enquête. Pour plus d'informations, consultez la section Afficher un contexte supplémentaire pour un point de données dans le Guide Investigation et Malware Analysis.

L'analyste doté de l'autorisation Manage List from Investigation peut gérer des listes et des valeurs de liste dans les vues Procédure d'enquête. Pour plus d'informations, consultez la section Gérer les listes et les valeurs de listes dans Investigation dans le Guide Investigation et Malware Analysis.

Exemple 

Les cas d'utilisation suivants expliquent certains scénarios où le service Context Hub est utilisé avec des sources de données comme Incident Management, ECAT et les listes personnalisées.

Cas d'utilisation d'Incident Management dans le service Context Hub

Lorsqu'un analyste de niveau 2 explore les valeurs méta pour trouver de nouveaux indicateurs de compromis, les commentaires fournis par la source d'enrichissement de contexte Incident Management sont très utiles. L'analyste peut constater la présence d'une alerte ou d'un incident existant lié à la valeur méta sélectionnée. Cette possibilité permet aux analystes d'ignorer les valeurs méta pour lesquelles il existe déjà des incidents et de se concentrer sur la recherche de nouveaux indicateurs de compromis spécifiques.

Les informations deviennent disponibles dans la même vue Investigation > Naviguer. L'accessibilité de ces informations est efficace, car l'analyste peut accéder aux données d'enrichissement sans naviguer d'une vue à l'autre ou recourir à un outil différent.

Cas d'utilisation d'ECAT dans le service Context Hub

Lorsqu'un analyste de niveau 2 affiche les résultats de recherche dans les vues Procédure d'enquête, il peut afficher les adresses IP, les hôtes et l'adresse MAC qui exécutent les agents ECAT. Cela facilite plus que jamais les compromis éventuels, directement dans les vues de Security Analytics Investigation. Les détails de la recherche contextuelle comportent des informations générales liées au point d'extrémité qui exécute l'agent ECAT, ce qui permet à l'analyste de comprendre si le système est compromis ou non. Si l'analyste a besoin de davantage d'informations sur le risque et qu'IIOC effectue une évaluation à cet égard, il peut afficher l'état et les remarques documentés dans ECAT, ainsi que les modules principaux par valeur IOC. Si d'autres détails sont nécessaires, l'analyste peut cliquer sur les détails fournis dans le panneau de recherche contextuelle pour accéder directement à l'interface utilisateur ECAT. Il peut ensuite utiliser les machines indiquées comme points de pivot pour ses enquêtes afin de voir les autres machines avec lesquelles le système a communiqué pour rechercher les autres hôtes compromis.

Cas d'utilisation de liste dans le service Context Hub

Cas d'utilisation 1

Un analyste de niveau 3 explore Incident Management pour rechercher le contexte des adresses IP et des domaines associés aux sessions suspectes. Si n'existe aucun incident ou aucune alerte associée et que l'adresse IP et le domaine soumis à l'enquête doivent être surveillés afin de détecter un comportement anormal.

L'analyste peut inclure ces valeurs méta dans une liste. Par exemple, pour améliorer la visibilité des adresses IP suspectes, l'analyste peut ajouter les mêmes valeurs méta à deux listes. La première liste concerne les domaines suspectés d'être liés aux connexions de commande et contrôle, et l'autre liste concerne les adresses IP liées aux connexions de chevaux de Troie autorisant un accès à distance.

Or, un analyste de niveau 2 peut utiliser cette liste de contextes pour repérer les indicateurs de compromis. L'analyste peut aussi exporter les listes au format CSV et les envoyer à l'analyste de niveau 1 pour créer des incidents en vue de leur suivi et de leur analyse.

Exemple d’utilisation n° 2 

Comme l'analyste de niveau 3 a créé un contenu personnalisé pour détecter certains indicateurs de compromis, il souhaite fournir d'autres détails sur ce nouveau contenu pour guider les autres analystes lorsqu'ils rencontrent les nouvelles valeurs méta générées. Il peut créer trois nouvelles listes (liste critique personnalisée, liste suspecte personnalisée et consultative personnalisée) dans lesquelles sont classées les nouvelles valeurs méta qu'un analyste verra éventuellement lorsque le nouveau contenu aura été déclenché. La description fournie par l'analyste pour chaque liste apporte un historique aux autres analystes concernant ce que les valeurs méta illustrent et l'action nécessaire à entreprendre lorsqu'elles sont repérées dans la procédure d'enquête. Elle ne remplace pas la création d'un incident ou d'une alerte, mais constitue le moyen de fournir d'autres détails à l'analyste lorsqu'il voit ces nouvelles valeurs méta dans la procédure d'enquête pour la première fois.

 
You are here
Table of Contents > Context Hub

Attachments

    Outcomes