MA : Vue Configuration des services - onglet Général

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les paramètres de configuration disponibles dans la vue Configuration des services > onglet Général pour Security Analytics Malware Analysis, qui a des paramètres propres au service Malware Analysis. Dans cet onglet, vous configurez :

  • Les paramètres de traitement pour les services Core qui capturent des données.
  • Le référentiel pour les données capturées.
  • Les catégories de notation statique, communauté et Sandbox utilisées pour analyser des données.

La tâche suivante fournit des procédures détaillées : Configurer les paramètres généraux de Malware Analysis.

Voici un exemple de l'onglet Général.

Fonctions

Cet onglet présente quatre sections : Configuration de l'analyse continue, Configuration du référentiel, Divers et Configuration des modules.

Section Configuration de l'analyse continue

Ce tableau décrit les fonctions de la section Configuration de l'analyse continue.

                                                                         
ParamètreDescription :
EnabledActivez ou désactivez complètement le rappel continu du service Security Analytics Core. Par défaut, cette option n'est pas sélectionnée (désactivée).
QueryPendant son analyse du trafic réseau, Decoder crée un contenu appelé de champ de métadonnées avec une valeur de spectrum.consume dans des sessions qui sont supposées contenir un programme malveillant. Par défaut, Security Analytics Malware Analysis ne réalise des analyses que sur les événements qui ont cette métavaleur spécifique. En modifiant cette requête, Malware Analysis peut être configuré pour analyser différents types d'événements.
Le fait de trop élargir cette requête peut forcer Malware Analysis à analyser trop d'événements, ce qui entraîne du retard ou une performance médiocre.
La requête par défaut est select * where content='spectrum.consume'
Expiration de la requêteLorsque le Malware Analysis recherche les métadonnées sur le service Security Analytics Core, il obtient un résultat en quelques secondes. S'il y a un problème, de connectivité réseau par exemple, Malware Analysis abandonne la requête après cette période configurée.
La valeur par défaut est de 3 600 secondes.
Intervalle de requêteFréquence, en minutes, d'interrogation pour les nouveaux fichiers et les nouvelles métadonnées de sessions.
Limite des métavaleursChaque fois que le service Malware Analysis interroge le service Security Analytics Core, il extrait un volume de métadonnées, jusqu'à cette limite de métadonnées. En utilisant ce paramètre, conjointement avec l'intervalle de requête, vous pouvez régler la performance du Malware Analysis dans l'infrastructure Security Analytics Core.
La valeur par défaut est 25 000.
Limite temporelleMalware Analysis analyse des sessions qui se sont produites après la Limite temporelle. Ce paramètre est spécialement important lors de l'installation d'une nouvelle appliance Malware Analysis, car il détermine à quel moment dans le passé débuter l'analyse. Un réglage horaire trop éloigné dans le passé de la limite peut entraîner une analyse par Malware Analysis d'un trop grand nombre d'événements passés, causant un important retard avant que vous ne voyiez un trafic se produisant en temps réel.
La valeur par défaut est de 24 heures.
Hôte sourceNom d'hôte de l'appliance Security Analytics Malware Analysis.
Il s'agit de l'adresse IP, ou du nom d'hôte, du service que Malware Analysis interroge pour récupérer ses données pour analyse. N'utilisez pas localhost comme hôte source.
Selon le modèle de l'appliance et la configuration de l'infrastructure Security Analytics, cet hôte source peut varier.
Port sourceMalware Analysis communique avec l'infrastructure Security Analytics en utilisant le service REST à l'écoute sur ce port. Ce numéro de port est spécifique au type du Security Analytics Core qui est utilisé comme hôte source. Cela correspond aux connexions sortantes pour votre service Security Analytics Core.
UsernameNom d'utilisateur. La valeur par défaut est admin.
Malware Analysis doit s'authentifier sur l'hôte source chaque fois qu'il cherche des données. Dans la plupart des cas, le compte utilisé par Malware Analysis est le même que celui utilisé pour accéder au service Core via Security Analytics. Toutefois, il est recommandé de créer un nouveau compte sur le service Security Analytics Core dédié à Malware Analysis.
Mot de passe d’utilisateurMot de passe d’utilisateur. La valeur par défaut est netwitness.
SSLUtilisez SSL lors de la communication avec Security Analytics Core. Si Malware Analysis utilise une connexion SSL pour communiquer avec un service Core, cochez cette option.
Par défaut, l'option est désactivée.
Prévention du déni de service (DOS - Denial of Service)La Prévention du déni de service (DOS - Denial of Service) fournit des protections contre les programmes malveillants qui génèrent intentionnellement des volumes élevés de connexions réseau entre deux points de terminaison incluant du contenu Windows PE. La génération d'un volume élevé de connexions gonfle artificiellement le volume de trafic que les services de sécurité surveillant le réseau doivent consommer et analyser, ce qui entraîne un déni de service. Cette fonctionnalité contribue à l'identification de ces sessions afin que le traitement d'analyse les ignore.
Par défaut, l'option est désactivée.
Longueur de la fenêtre des taux de session DOS (secondes)Malware Analysis utilise ce paramètre avec les paramètres Nombre de sessions DOS par fenêtre de taux et Heure de blocage de la session DOS (secondes) pour identifier une attaque par déni de service et déterminer pendant combien de temps ignorer les sessions issues d'une seule adresse IP.
Pour identifier une attaque par déni de service, Malware Analysis surveille le nombre de sessions établies par une seule adresse IP au cours d'une période spécifique. Le Longueur de la fenêtre des taux de session DOS (secondes) définit cette période. Si le nombre de sessions dépasse le paramètre Nombre de sessions DOS par fenêtre de taux dans le nombre de secondes défini dans le Délai de la fenêtre d'évaluation de session DOS, Malware Analysis identifie l'activité comme une tentative de déni de service. Dans ce cas, le trafic provenant de l'adresse IP est ignoré pour la période indiquée dans le Temps de verrouillage de session DOS (secondes).
La valeur par défaut est 60 secondes.
Nombre de sessions DOS par fenêtre de taux Malware Analysis utilise ce paramètre avec les paramètres Longueur de la fenêtre des taux de session DOS (secondes) et Heure de blocage de la session DOS (secondes) pour identifier une attaque par déni de service et déterminer pendant combien de temps ignorer les sessions issues d'une seule adresse IP.
Pour identifier une attaque par déni de service, Malware Analysis surveille le nombre de sessions établies par une seule source IP au cours d'une période spécifique. Le Longueur de la fenêtre des taux de session DOS (secondes) définit cette période. Si le nombre de sessions dépasse le paramètre Nombre de sessions DOS par fenêtre de taux dans le nombre de secondes défini dans le Délai de la fenêtre d'évaluation de session DOS, Malware Analysis identifie l'activité comme une tentative de déni de service. Dans ce cas, le trafic est ignoré pour la période indiquée dans le Temps de verrouillage de session DOS (secondes).
La valeur par défaut est 200 sessions.
Heure de blocage de la session DOS (secondes)Malware Analysis utilise ce paramètre avec les paramètres Longueur de la fenêtre des taux de session DOS (secondes) et Nombre de sessions DOS par fenêtre de taux pour identifier une attaque par déni de service et déterminer pendant combien de temps ignorer une telle attaque.
Pour identifier une attaque par déni de service, Malware Analysis surveille le nombre de sessions établies par une seule adresse IP au cours d'une période spécifique. Le Longueur de la fenêtre des taux de session DOS (secondes) définit cette période. Si le nombre de sessions dépasse le paramètre Nombre de sessions DOS par fenêtre de taux dans le nombre de secondes défini dans le Délai de la fenêtre d'évaluation de session DOS, Malware Analysis identifie l'activité comme une tentative de déni de service. Dans ce cas, le trafic est ignoré pour la période indiquée dans le Temps de verrouillage de session DOS (secondes).
La valeur par défaut est 60 secondes.
Intervalle de Garbage Collection DOS (secondes)Procédez à l'intervalle de Garbage Collection sur la structure de mémoire interne utilisée pour suivre les tentatives de Déni de service.
Si l'utilisation de la mémoire est anormalement élevée, vous pouvez diminuer ce paramètre pour libérer de la mémoire non utilisée plus souvent. Si l'utilisation de l'UC est anormalement élevée, vous pouvez accroître la valeur de ce paramètre pour éliminer le temps système de traitement (aux dépens de l'utilisation de la mémoire).
La valeur par défaut est de 120 secondes.

Section Configuration du référentiel

Security Analytics Malware Analysis stocke tous les fichiers qui sont analysés pour une utilisation future. Ces fichiers peuvent être téléchargés via l'interface utilisateur ou ouverts via un des protocoles de partage de fichiers.

Ce tableau décrit les fonctions de la section Configuration du référentiel.

                       
ParamètreDescription :
Directory PathTous les fichiers sont stockés dans le répertoire suivant sur l'appliance Security Analytics Malware Analysis :
/var/lib/netwitness/spectrum
Protocole de partage de fichiersDes valeurs possibles pour le protocole de partage de fichiers sont les suivantes : FTP, SAMBA et Aucun. Vous pouvez activer l'accès au FTP et le partage des fichiers SAMBA pour permettre à un utilisateur d'accéder aux fichiers stockés sur l'appliance Security Analytics Malware Analysis à partir d'un site distant. Aucune information d'identification n'est requise pour accéder à ces fichiers. Le port requis pour l'accès FTP est TCP/21. Le protocole de partage de fichiers par défaut est Aucun.
Conservation (en jours)Security Analytics Malware Analysis conserve des fichiers stockés dans le référentiel pendant un nombre de jours spécifié. Vous pouvez définir le nombre de jours de conservation des fichiers avant leur suppression. La valeur par défaut est 60 jours.

Section Configuration diverse (10.3 SP2 et versions supérieures)

Ce tableau décrit les fonctions de la section Configuration diverse.

               
ParamètreDescription :
Taille de fichier maximaleLimite la taille de chaque fichier que vous pouvez analyser manuellement. Ce paramètre s'applique à la fonction décrite dans « Télécharger des fichiers pour l'analyse de malware » dans le Guide sur Investigation et Malware Analysis La valeur par défaut est 64 Mo.
Si la limite de la taille de fichier est dépassée, Security Analytics vous empêche d'analyser le fichier.

Section Configuration des modules

La section Configuration des modules permet la configuration des catégories de notation statique, communauté et Sandbox.

Configuration de l'analyse statique

Le module statique est la seule catégorie de notation qui soit activé par défaut. Ce tableau décrit les paramètres de configuration de l'analyse statique.

                               
FonctionnalitéDescription :
EnabledDésactiver ou activer complètement l'analyse statique. Par défaut, cette option est sélectionnée (activée).
Ignorer les fichiers PDFDésactive l'analyse des documents PDF. Par défaut, cette option n'est pas sélectionnée, tous les fichiers PDF sont soumis à une analyse statique.
Ignorer les fichiers OfficeDésactive l'analyse des documents Office. Par défaut, cette option n'est pas sélectionnée, tous les fichiers Microsoft Office sont soumis à une analyse statique.
Ignorer les fichiers exécutablesDésactive l'analyse des documents Windows PE. Par défaut, cette option n'est pas sélectionnée, tous les fichiers Windows PE sont soumis à une analyse statique.
Valider les paramètres d'authentification de Windows PE via le Cloud

Spécifiez si des fichiers Windows PE sont envoyés, ou non, au Cloud RSA-Netwitness pour validation Authenticode. La valeur par défaut est sélectionnée.

  • Lorsqu'elle est sélectionnée, tout fichier Windows PE qui est signé numériquement est transmis sur le réseau (intégralement) au Cloud RSA-Netwitness pour validation. Si l'intention n'est pas d'empêcher les fichiers Windows PE de quitter le réseau client, vous devez désactiver cette option.
  • Lorsqu'elle n'est pas sélectionnée, TOUTES les analyses statiques sont effectuées localement (en ignorant la validation Authenticode). En dépit de ce paramètre, les documents PDF et Microsoft Office ne sont pas soumis à la validation Authenticode et ne sont pas transmis sur le réseau pendant l'analyse statique.

Configuration de l'analyse de la communauté

Par défaut, le module de la communauté est désactivé et les options sont sélectionnées pour empêcher le traitement des fichiers PDF et Microsoft Office. L'objectif est de régler par défaut les paramètres sur les choix les plus restrictifs afin qu'aucun document sensible ne quitte le réseau, sauf si l'utilisateur en fait le choix. Ce tableau décrit les paramètres de configuration de l'analyse de la communauté.

                           
FonctionnalitéDescription :
EnabledDésactiver ou activer complètement l'analyse statique. Par défaut, cette option n'est pas sélectionnée (désactivée).
Ignorer les fichiers PDFDésactive l'analyse des documents PDF. Par défaut, cette option est sélectionnée et les fichiers PDF ne sont pas traités.
Ignorer les fichiers OfficeDésactive l'analyse des documents Office. Par défaut, cette option est sélectionnée et les fichiers Microsoft Office ne sont pas traités.
Ignorer les fichiers exécutablesDésactive l'analyse des documents Windows PE. Par défaut, cette option est sélectionnée et les documents Windows PE ne sont pas traités

Configuration de l'analyse Sandbox

Par défaut, le module Sandbox est désactivé et les fichiers Microsoft Office et PDF ne sont pas traités. L'objectif est de définir les paramètres les plus restrictifs possibles pour forcer l'utilisateur à spécifier si les données potentiellement sensibles peuvent être envoyées ou non hors du réseau à des fins de traitement. Si le traitement du type de document n'est pas empêché, le fichier est envoyé au serveur Sandbox de destination dans son intégralité (non limité à un hachage du contenu des fichiers). 

Ce tableau décrit les paramètres de configuration de l'analyse Sandbox.

                               
FonctionnalitéDescription :
EnabledDésactiver ou activer complètement l'analyse Sandbox. Par défaut, cette option n'est pas sélectionnée (désactivée).
Ignorer les fichiers PDFDésactive l'analyse des documents PDF. Par défaut, cette option est sélectionnée et les fichiers PDF ne sont pas traités. Lorsqu'elle n'est pas sélectionnée, tous les fichiers PDF sont soumis intégralement au Sandbox pour analyse.
Ignorer les fichiers OfficeDésactive l'analyse des documents Office. Par défaut, cette option est sélectionnée et les fichiers Microsoft Office ne sont pas traités. Lorsqu'elle n'est pas sélectionnée, tous les fichiers Microsoft Office sont soumis intégralement au Sandbox pour analyse.
Ignorer les fichiers exécutablesDésactive l'analyse des documents Windows PE. Par défaut, cette option est sélectionnée et les documents Windows PE ne sont pas traités. Lorsqu'elle n'est pas sélectionnée, tous les documents Windows PE sont soumis intégralement au Sandbox pour analyse.
Conserver le nom de fichier d'origine lors de l'exécution de l'analyse Sandbox

Dans 10.3 SP2 et versions supérieures, activez la capacité de hachage pour les noms de fichiers lorsqu'ils sont envoyés à un Sandbox local. Par défaut, cette option n’est pas activée.

Remarque : Si vous ne sélectionnez pas ce paramètre, Security Analytics hache les fichiers.

Paramètres de GFI Sandbox

Dans la section GFI Sandbox, vous pouvez activer le traitement sandbox par GFI et configurer le GFI Sandbox installé localement. Le tableau décrit les paramètres de configuration du GFI Sandbox.

                               
FonctionnalitéDescription :
EnabledLorsqu'elle est activée, le traitement Sandbox est réalisé par une copie locale de GFI. La valeur par défaut est désactivé. Si vous activez GFI, vous devez configurer les paramètres restants.
Nom du serveurLe nom de serveur GFI Sandbox. Aucune valeur par défaut
Port de serveurLe port de serveur GFI Sandbox. La valeur par défaut est 80.
Période maximale d'interrogationDétermine le délai d'attente d'un échantillon soumis pour terminer le traitement. La valeur par défaut est 600 secondes.
Ignorer les paramètres proxy WebIndique à Security Analytics Malware Analysis d'ignorer le proxy Web, si celui-ci est configuré, lors de l'établissement de la connexion. Si aucun Proxy Web n'a été configuré dans Security Analytics Malware Analysis, le paramètre est ignoré.

Paramètres de ThreatGrid Sandbox

Dans la section Sandbox ThreatGrid, vous pouvez activer le traitement Sandbox par ThreatGrid et choisir si vous voulez utiliser le ThreatGrid installé localement ou le ThreatGrid Cloud pour analyse Sandbox.

  • Si vous avez une copie locale de ThreatGrid, configurez le traitement Sandbox pour utiliser la copie locale.
  • Si aucune instance locale de ThreatGrid n'a été achetée et installée, configurez le ThreatGrid Cloud.

Le tableau décrit les paramètres de configuration de ThreatGrid Sandbox.

Remarque : Avant d'activer ce service, vous devez configurer une clé de service fournie par ThreatGrid.  La clé de service permet à ThreatGrid de reconnaître que les échantillons envoyés par ce site sont légitimes.

                           
FonctionnalitéDescription :
EnabledLorsque cette option est activée, le traitement Sandbox est effectué par ThreatGrid, soit une copie locale, soit le ThreatGrid Cloud. La valeur par défaut est désactivé.
Clé de serviceAvant d'activer le module Sandbox, une clé de service fournie par ThreatGrid doit être configurée. La clé de service permet à ThreatGrid de reconnaître que les échantillons envoyés par ce site sont légitimes.
URLL'URL pour le serveur ThreatGrid à utiliser (si vous n'utilisez pas un ThreatGrid installé localement). Le ThreatGrid Cloud est accessible via https://panacea.threatgrid.com
Ignorer les paramètres proxy WebIndique à Security Analytics Malware Analysis d'ignorer le proxy Web, si celui-ci est configuré, lors de l'établissement de la connexion. Si aucun Proxy Web n'a été configuré dans Security Analytics Malware Analysis, le paramètre est ignoré.
You are here
Table of Contents > Références de Malware Analysis > Vue Configuration des services - onglet Général

Attachments

    Outcomes