MA : Configurer les paramètres généraux de Malware Analysis

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les paramètres de configuration de base pour le service Security Analytics Malware Analysis. Plusieurs paramètres de base sont nécessaires pour activer et calibrer la consommation des sessions, le téléchargement manuel des fichiers et les différents modules de score que Security Analytics Malware Analysis utilise pour analyser les données. Vous pouvez également configurer le partage de fichiers avec le référentiel d'entreprise.

Security Analytics Malware Analysis possède trois modes de consommation des sessions et fichiers. Vous pouvez utiliser n'importe quelle combinaison de ces trois modes pour lancer une analyse dans Malware Analysis. Ci-dessous les choix disponibles :

  • Rappel continu du service Security Analytics Core : Vous pouvez activer et configurer le rappel continu du service Security Analytics Core. Lorsqu'il est activé et configuré, Security Analytics Malware Analysis évalue en continu le service Security Analytics Core pour les sessions marquées pour l’analyse. Par défaut, le rappel continu est désactivé. Vous pouvez activer la protection contre les attaques par déni de service (DOS) durant le rappel continu. Vous pouvez tester la connexion au service Malware Analysis Service, qui est continuellement rappelé, à l'aide d'une option située sous l'onglet Intégration. 

Remarque : Lorsque vous ajoutez un service Core en tant que service de rappel continu sur Malware Analysis version 10.3.5 et les versions antérieures, utilisez le port REST. Par exemple, ajoutez un Concentrator à Malware analysis 10.3.5 à l'aide du port REST (50105) au lieu du port NexGen natif (50005).

  • Analyse à la demande du service Security Analytics Core : vous pouvez analyser les sessions à partir d'Investigation, lancé directement dans Security Analytics. Cette méthode permet de contrôler manuellement la consommation des sessions Security Analytics Core. De plus, elle permet de renforcer le contrôle du traitement des fichiers de ces sessions (via l'envoi pour traitement à un sandbox, par exemple). Vous pouvez contourner les restrictions par défaut de certains types de documents, et envoyer ces derniers pour traitement à la communauté ou à un sandbox, indépendamment du paramètre configuré. 
  • Téléchargement manuel des fichiers : vous pouvez télécharger manuellement un ou plusieurs fichiers à analyser en accédant à un dossier visible sur votre ordinateur, puis en sélectionnant les fichiers souhaités. Vous pouvez configurer la taille maximale des fichiers téléchargés.

Afficher les paramètres de base

Pour afficher les paramètres de base :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Malware Analysis, puis  > Vue > Configuration.
    La configuration du service s'ouvre sur l'onglet Général.

Configurer le rappel continu

Security Analytics Malware Analysis est plafonné à une certaine limite. Par conséquent, vous pouvez envoyer 1 000 fichiers par jour au Cloud ThreatGrid afin qu'ils soient traités dans un sandbox. Pour vous permettre d'optimiser l'utilisation du sandbox, la configuration de Malware Analysis propose plusieurs modes de consommation possibles pour Security Analytics Malware Analysis. Vous pouvez activer ou désactiver le rappel continu.

Les paramètres de prévention du déni de service (DOS) sont un point important à prendre en compte lors de la configuration du rappel continu. Par défaut, cette fonctionnalité est désactivée, car vous devez prendre soigneusement en compte les paramètres correspondant à votre environnement avant de l'activer.

Lorsque la prévention DOS est désactivée, Malware Analysis analyse les sessions en file d'attente dans l'ordre premier entré, premier sorti (FIFO, first-in, first-out).. Une attaque DOS peut remplir rapidement la file d'attente, si bien que Malware Analysis est occupé à traiter ces sessions en file d'attente alors qu'une attaque de malware se produit dans une session suivante. La session suivante subissant l'attaque réelle peut ne pas atteindre le début de la file d'attente et être analysée seulement après le début de l'attaque.

Lorsque la prévention DOS est activée, Malware Analysis traite trop de sessions issues d'une seule adresse IP comme une attaque DOS. Si une adresse IP dépasse le nombre de sessions par fenêtre de taux, Malware Analysis commence à ignorer les sessions issues de cette adresse jusqu'à ce que le délai de blocage de session soit atteint. Malware Analysis reprend ensuite l'analyse des sessions issues de cette adresse IP. Les sessions ignorées issues de cette adresse IP ne sont pas du tout analysées. Une attaque de malware peut donc échapper au contrôle pendant la période de blocage de session.

À l'aide du paramètre Intervalle de Garbage Collection DOS, Malware Analysis efface le stockage en mémoire d'une source IP au bout d'un nombre de secondes spécifié.. Les adresses IP qui connaissent peu d'activité pendant cet intervalle sont effacées de la mémoire. Si une adresse IP est active à une fréquence qui dépasse l'intervalle de Garbage Collection DOS, Malware Analysis risque de ne pas identifier une attaque DOS.

Pour configurer le rappel continu de Security Analytics Malware Analysis, dans la section Configuration de l'analyse continue, procédez comme suit :

  1. Pour activer le rappel continu, cliquez sur Activer.
  2. (Facultatif) Si vous souhaitez changer les valeurs par défaut de l'interrogation, saisissez de nouvelles valeurs pour les options Expiration de la requête, Intervalle de requête, Limite des métavaleurs et Limite temporelle.
  3. Pour configurer l’appliance Malware Analysis que Security Analytique Malware Analysis interroge pour récupérer les données d’analyse, spécifiez l'Hôte source et le Port source.
  4. (Facultatif) Si vous souhaitez changer les informations d'identification de connexion par défaut pour l'appliance Malware Analysis, indiquez le Nom d'utilisateur et le Mot de passe utilisateur.
  5. Si vous souhaitez utiliser SSL pour la communication entre l'appliance Malware Analysis et le service Security Analytics Core, activez le SSL.
  6. (Facultatif) Si vous souhaitez configurer la protection contre les attaques par déni de service (DOS) :
    • Activez le paramètre Prévention du déni de service (DOS Denial of Service).
    • Configurez les limites relatives aux sessions avec protection contre les attaques DOS :
      • Dans le champ Longueur de la fenêtre des taux de session DOS, spécifiez le nombre de secondes de la période pendant laquelle Malware Analysis compte les sessions pour une seule adresse IP. La fenêtre s'appelle une fenêtre de taux et un compteur est activé lorsque la première session est reçue de cette IP source. La valeur par défaut est 60 secondes.
      • Spécifiez le nombre de sessions autorisées par fenêtre des taux via le paramètre Nombre de sessions DOS par fenêtre de taux. La valeur par défaut est 200 sessions. Lorsque le nombre de sessions est atteint dans la fenêtre de taux, Malware Analysis commence par ignorer les sessions issues de l'adresse IP et les sessions ignorées issues de cette adresse IP ne sont pas du tout analysées. Malware Analysis continue d'ignorer les sessions jusqu'à ce que le délai de blocage soit atteint.
      • Spécifiez la durée du délai de blocage (pendant lequel les sessions issues de l'adresse IP sont ignorées et non analysées) dans le champ Délai de blocage de la session DOS (secondes). La valeur par défaut est 60 secondes. Lorsque le délai de blocage est dépassé, Malware Analysis reprend l'analyse des sessions issues de cette adresse IP.
      • Dans le champ Intervalle de Garbage Collection DOS (secondes), spécifiez l'intervalle d'inactivité d'une adresse IP avant que Security Analytics ne supprime l'objet en mémoire pour la source IP. La valeur par défaut est 120 secondes.
  7. Cliquez sur Apply.
    Les modifications prennent effet immédiatement lorsque Security Analytics Malware Analysis reçoit de nouveaux paquets.
  8. Testez la connexion du service Malware Analysis Service au service Core sélectionné sous l'onglet Intégration en cliquant sur le bouton Tester la connexion dans la section Test de connexion à l'analyse continue. 

Configurer les paramètres de téléchargement manuel des fichiers

Pour configurer la taille maximale de fichier autorisée lors du téléchargement manuel des fichiers :

  1. Dans la section Divers, saisissez la taille de fichier maximale autorisée, en mégaoctets, pour les fichiers téléchargés manuellement dans le cadre de l'analyse Malware Analysis.
  2. Cliquez sur Apply.
    Les modifications prennent effet immédiatement.

Configurer le référentiel d'entreprise

Security Analytics Malware Analysis peut stocker un nombre limité de fichiers sur l’appliance. La configuration du référentiel d'entreprise propose une période de rétention du système de fichiers de 60 jours. Ce paramètre détermine la durée pendant laquelle les fichiers sont conservés dans l’appliance Security Analytics Malware Analysis. Une fois supprimés, les anciens fichiers ne peuvent pas être restaurés. Chaque jour, Malware Analysis supprime les fichiers qui dépassent la période de rétention du système de fichiers pour éviter tout gaspillage de l'espace disque.

Le paramètre de la période de rétention du système de fichiers est le seul élément qui détermine le moment où les fichiers sont supprimés. Les fichiers ne sont pas supprimés en fonction de la quantité d'espace disque utilisée. Si le paramètre doit être changé, l'administrateur doit configurer la période de rétention en fonction de l'utilisation d'espace prévue pendant le nombre de jours de rétention spécifié.

Les paramètres visibles du référentiel d'entreprise dans l'interface utilisateur de Security Analytics sont :

  • L'emplacement du référentiel d'entreprise : /var/lib/netwitness/spectrum. Ne modifiez pas cette valeur.
  • Le protocole de partage de fichiers, qui permet via l'un des protocoles de partage de fichiers de copier des fichiers à partir du service Malware Analysis.
  • La période de rétention des fichiers en nombre de jours.

Pour configurer le partage de fichiers, dans la section Référentiel d'entreprise, procédez comme suit :

  1. Cliquez sur Protocole de partage de fichiers pour sélectionner FTP ou SAMBA.
  2. Sélectionnez le nombre de jours de conservation des fichiers dans le référentiel d'entreprise avant leur suppression.
  3. Cliquez sur Appliquer.

Les modifications prennent effet immédiatement.

Calibrer les modules de score

La section de configuration des Modules propose une fonction de configuration de Security Analytics Malware Analysis pour :

  • Désactiver complètement une partie ou l'ensemble des trois modules de score (Static, Community et Sandbox). Avant de désactiver ou d'activer un module de score, assurezvous de bien comprendre ce qu'il détecte.
  • Security Analytics Malware Analysis marque les sessions contenant des fichiers Microsoft Office, Windows PE et PDF pour utilisation par le service Malware Analysis. Vous pouvez configurer Malware Analysis afin qu'il ignore complètement les documents Windows PE, Microsoft Office et PDF. Si tel est le cas, une meilleure option consiste à modifier vos paramètres Security Analytics Core pour ignorer ces fichiers afin qu’ils ne soient pas marqués pour une consommation par Security Analytics Malware Analysis.

Voici un exemple d'application du calibrage du module de score : lors de la création de groupes de règles, ou de l'analyse des performances système, vous pouvez tester différents scénarios dans lesquels les documents PDF ne sont pas analysés, contrairement aux documents Microsoft Office et Windows PE. Vous pouvez tester le scénario dans chacun des trois modules de score. Si vous constatez une amélioration notable des performances système, vous pouvez appliquer cette observation à une plus grande échelle.

Configurer le score d'analyse Static

Pour configurer le score d'analyse Static, dans la section Configuration des modules :

  1. Par défaut, le module Static est activé. Pour activer ou désactiver complètement l'analyse Static, activez la case à cocher Activé.
  2. Pour configurer la gestion des fichiers PDF, Microsoft Office et Windows PE dans une session, activez l'une des cases à cocher Ignorer les fichiers PDF, Ignorer les fichiers Office et Ignorer les fichiers exécutables.
  3. Pour configurer votre préférence de validation Authenticode des fichiers Windows PE signés numériquement, activez la case à cocher Valider les paramètres d'authentification de Windows PE via le Cloud. Pour empêcher les fichiers Windows PE signés numériquement d'être transmis au service RSA Cloud à des fins de validation, désactivez la case à cocher.
    Une fois cette option désactivée, toutes les analyses du module Static sont effectuées localement (en ignorant la validation Authenticode). Quel que soit ce paramètre, les documents PDF et Microsoft Office ne sont pas soumis à la validation Authenticode, et ne sont pas transmis sur le réseau durant l'analyse Static.
  4. Cliquez sur Appliquer.
    Les modifications prennent effet immédiatement lorsque Security Analytics Malware Analysis reçoit de nouveaux paquets.

Configurer le score d'analyse des pairs 

Une fois le module Community activé, la communauté de sécurité analyse tous les documents dont le traitement n'est pas bloqué. Cela est rendu possible par l'envoi d'attributs de fichier et de session réseau pour traitement au service RSA Cloud. Le service RSA Cloud peut ensuite établir une connexion externe aux partenaires de la communauté de sécurité pour traiter les informations. 

Le contenu du fichier n'est jamais envoyé à la communauté pour analyse. En revanche, le hachage MD5/SHA-1 du fichier est envoyé à des fins de détection antivirus et de comparaison aux listes noires. De même, les métadonnées de session sont collectées et analysées dans le cadre de ce processus. Les éléments de métadonnées tels que les URL et les noms de domaine sont examinés et transmis au service RSA Cloud pour permettre l'identification des URL/domaines ayant une réputation douteuse.

Vous pouvez activer l'analyse des pairs et limiter les types de documents traités. Le contenu du fichier ne risque pas (à l'exception du hachage) d'être envoyé à l'extérieur de votre réseau.

Remarque : Pour accéder au service RSA Cloud où a lieu le traitement, vous devez inscrire votre service Malware Analysis Service auprès du Support Clients RSA. Vous disposez de deux méthodes possibles : inscrire le service via les options de l'onglet Intégration ou contacter le Support Clients RSA.

Pour configurer le score d'analyse des pairs, dans la section Configuration des modules, procédez comme suit :

  1. Pour activer ou désactiver complètement l'analyse des pairs, activez la case à cocher Activé. La valeur par défaut est Désactivé.
  2. Pour configurer la gestion des fichiers PDF, Microsoft Office et Windows PE dans une session, cochez l'une des cases Ignorer les fichiers PDF, Ignorer les fichiers Office, Ignorer les fichiers exécutables.
  3. Cliquez sur Appliquer pour enregistrer les modifications et les appliquer dès que Security Analytics Malware Analysis reçoit de nouveaux paquets.

Configurer le score d'analyse Sandbox

Par défaut, le module Sandbox est désactivé et les fichiers MS Office et PDF ne sont pas traités. Le but est de définir les paramètres les plus restrictifs possibles pour forcer l'utilisateur à spécifier si les données potentiellement sensibles peuvent être envoyées ou non hors du réseau à des fins de traitement. Si le traitement d'un type de documents n'est pas bloqué, le fichier entier (et pas seulement le hachage) est envoyé au serveur sandbox de destination.

En outre, vous pouvez choisir de conserver le nom de fichier d'origine lors de l'analyse Sandbox.

Remarque : Si vous ne spécifiez pas le paramètre d'origine Conserver le nom de fichier d'origine lors de l'exécution de l'analyse Sandbox, Security Analytics hache les fichiers.

Lorsque vous activez le module Sandbox, vous devez spécifier si le traitement est effectué à l'aide d'un sandbox GFI local, un sandbox ThreatGrid ou une version Cloud du sandbox ThreatGrid. La version Cloud du sandbox ThreatGrid est fournie directement par ThreatGrid. Elle nécessite une clé d'activation que vous devez vous procurer auprès de ThreatGrid et configurer sous l'onglet ThreatGRID.

Paramètres de GFI Sandbox

Pour utiliser un sandbox GFI installé localement, vous devez activer GFI, puis fournir le nom et le port du serveur de sandbox GFI. Les paramètres Période maximale d'interrogation et Intervalle de rappel déterminent le temps de traitement d'un échantillon soumis, ainsi que la fréquence de vérification de son état (en secondes). L'option Ignorer les paramètres proxy Web vous permet d'indiquer à Security Analytics Malware Analysis que vous souhaitez contourner un proxy web lors de l'établissement de la connexion. Si aucun Proxy Web n’a été configuré dans Security Analytics Malware Analysis, le paramètre est ignoré.

Paramètres de ThreatGrid Sandbox

Remarque : Avant d'activer le score ThreatGrid, vous devez configurer une clé de service fournie par ThreatGrid afin que ce dernier puisse reconnaître la légitimité des échantillons soumis à partir de ce site. Utilisez Security Analytics pour vous inscrire et obtenir une clé API ThreatGrid. Vous pourrez ensuite activer et configurer un sandbox ThreatGrid installé localement, ou la version Cloud du sandbox ThreatGrid. Consultez la tâche détaillée suivante : Inscrivezvous pour recevoir une clé API ThreatGrid.

L'option Ignorer les paramètres proxy Web vous permet d'indiquer à Security Analytics {{MWA}} que vous souhaitez contourner un proxy web lors de l'établissement de la connexion. Si aucun Proxy Web n’a été configuré dans Security Analytics Malware Analysis, le paramètre est ignoré.

Pour configurer le score Sandbox, dans la section Configuration des modules, procédez comme suit :

  1. Pour activer ou désactiver complètement l'analyse Sandbox, activez la case à cocher Activé. La valeur par défaut est Désactivé.
  2. Pour configurer la gestion des fichiers PDF, Microsoft Office et Windows PE dans une session, cochez l'une des cases Ignorer les fichiers PDF, Ignorer les fichiers Office, Ignorer les fichiers exécutables.
  3. Configurez le fournisseur de sandbox actif. Vous disposez de trois options :
    1. Pour utiliser une instance installée localement du sandbox GFI, fournissez le nom et le port du serveur de sandbox GFI, renseignez les paramètres Période maximale d'interrogation et Intervalle d'interrogation, puis activez éventuellement la case à cocher Ignorer les paramètres proxy Web.
    2. Pour utiliser une instance de ThreatGrid installée localement, activez le score ThreatGrid, fournissez la clé de service ThreatGrid, puis activez éventuellement la case à cocher Ignorer les paramètres proxy Web.
    3. Pour utiliser le Cloud ThreatGrid, vous devez d'abord vous inscrire et obtenir une clé API ThreatGrid. Activez ensuite le score ThreatGrid, fournissez la clé de service ThreatGrid, saisissez l'URL du serveur ThreatGrid (https://panacea.threatgrid.com), puis activez éventuellement la case à cocher Ignorer les paramètres proxy Web.
  4. Cliquez sur Apply.
    Les modifications prennent effet immédiatement.
You are here
Table of Contents > Configuration basique > Configurer les paramètres généraux de Malware Analysis

Attachments

    Outcomes