Live : Security Analytics Feedback et Data Sharing

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les fonctionnalités Feedback et Data Sharing de Security Analytics.

Les paramètres de ces fonctionnalités sont disponibles sous Administration > Système > Vue Services Live, dans la section Services Live supplémentaires.

Services Live supplémentaires

La participation aux Services Live supplémentaires est configurée sous Administration > Système > vue Services Live.

Live Feedback

Live Feedback a été conçu pour améliorer RSA Security Analytics.

Dès qu'un compte Live est configuré, les données d'utilisation sont partagées avec RSA. Les données sont protégées conformément au contrat de licence applicable. Les données d'utilisation client, notamment les metrics d'utilisation et la version actuelle des hôtes Security Analytics, sont automatiquement partagées avec RSA lors de la connexion du système à Internet.

Avant que les données soient envoyées à RSA, toutes les informations personnellement identifiables sont supprimées. De ce fait, seules les données d'utilisation anonymes sont transférées à RSA.

Live Connect Threat Data Sharing (bêta)

RSA Live Threat Data Sharing est un service de collecte de données automatisé. Son objectif est de partager des données de renseignements sur les menaces pouvant toucher le service de Cloud RSA Live Connect à des fins d'analyse. N'importe quel type de métadonnées peut être collecté en fonction du déploiement, de la configuration, de l'activité réseau et de l'interaction des analystes avec Security Analytics.

Le paramètre par défaut de ce service est activé. Pour modifier le paramètre, accédez à Administration > Système > Vue Services Live (ou contactez le Support Clients pour le désactiver).

Les métadonnées sont capturées localement par Security Analytics pour être envoyées de manière sécurisée et anonyme au service de Cloud RSA Live. Ce service stocke ces informations avec les données collectées auprès de toute la communauté RSA Security Analytics afin d'améliorer les services de renseignement sur les menaces RSA Live.

Remarque : Toutes les données collectées localement sont désidentifiées et obfusquées, puis envoyées de manière sécurisée et anonyme au service de Cloud RSA Live Connect où elles sont stockées dans un environnement sécurisé.

Description

Live Connect Threat Data Sharing a été développé sous forme d'une plate-forme de renseignements sur les menaces communautaires liées à Live Connect.

Ce service présente les caractéristiques et objectifs suivants :

  • Crowdsourcing : la Communauté RSA contribue à la collecte intégrale des renseignements
  • Collecter et analyser les données de façon centralisée depuis la communauté RSA
  • Réduire la durée de cycle des renseignements de plusieurs jours à quelques minutes

Voici certains détails à prendre en compte :

  • Nous tirons profit de l'activité de procédure d'enquête des analystes
  • Nous collectons les métadonnées telles que les adresses IP et les noms de domaine
  • Nous effectuons une analyse approfondie des données : tendances, corrélation, détection des anomalies
  • N'oubliez pas que cette fonctionnalité est actuellement en version bêta.

Participation

La participation du client est facultative. Lors de la première installation de Security Analytics 10.6 ou de la mise à niveau vers Security Analytics 10.6, un écran de confirmation s'affiche. Le programme s'ouvre par défaut, mais vous pouvez refuser son ouverture.

Authentification du Cloud

L'authentification d'accès au programme est effectuée dans l'interface utilisateur Security Analytics dans laquelle vous configurez le compte Live dans la section Services Live.

Configuration

Pour afficher ou modifier les paramètres de Live Connect Threat Data Sharing, ouvrez le menu Security Analytics et sélectionnez Administration > Système > Services Live. Activez ou désactivez la case à cocher Activer pour participer ou arrêter de participer au programme.

Collecte des données

Les données sont collectées comme suit :

  • Attribution de données Anonyme
  • Source de données Sous-ensemble de clés méta et de valeurs méta des vues de la page d'un analyste Security Analytics à partir des logs de requêtes Security Analytics Core.
  • Processus de récolte des logs de requêtes :

    • Calendrier : Mode de traitement par lots toutes les 24 heures (de 4:00 à 6:00 UTC)
    • Collecte des logs : Le serveur Security Analytics collecte les entrées des périphériques SA Core pour les 24 heures passées
    • Entrées de log : Seuls les appels d'API de requête SDK qui contiennent une clause where sont collectés
    • Analyse des attributs de log : Chaque entrée doit contenir l'un des indicateurs de clés méta suivants : ip.src, ip.dst, ip.addr, device.ip, alias.ip, alias.host, paddr, sessionid, domain.dst ou domain.src. Si tel est le cas, les clés méta et les valeurs méta issues de l'entrée seront collectées.

    Remarque : Lorsque les critères ci-dessus sont remplis, Security Analytics n'envoie pas seulement les indicateurs des clés méta, mais toutes les clés méta et les valeurs méta de la requête au Cloud.

Le rapport de log est envoyé au format JSON via le protocole SSL. Il contient :

  • Horodatages
  • Nom d'utilisateur Live CMS (sha256)
  • ID de serveur de licences Security Analytics (sha256)
  • Liste des ID de point de terminaison (sha256)
  • Valeurs méta collectées (MD5 et SHA256 hachés)

Exemple 

Cette section répertorie les entrées d'un log, puis la section correspondante des données extrapolées.

Section d'un fichier log :

User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“

Extrapolation des données avec hachage :

Résolution des problèmes

Cette section présente brièvement comment résoudre les problèmes liés à Live Connect Threat Data Sharing.

Exemple de récupération de log de requête

Pour récupérer un échantillon de données de renseignements sur les menaces envoyé à Live Connect, construisez une URL en définissant les paramètres suivants :

  • sendReport : la valeur est true ou false : true pour envoyer ce rapport au serveur Live Connect. False pour se contenter de créer le rapport et de le consulter. La valeur par défaut est false.
  • hashValues : la valeur est true ou false : true pour hacher les valeurs en md5/sha256. False pour afficher les valeurs en texte clair : n'utiliser que pour l'affichage manuel. La valeur par défaut est false.
  • startDate / endDate : Dates des limites temporelles des entrées de log. Format : AAAA-MM-JJ HH:mm:ss

Voici un exemple de l'URL à utiliser pour récupérer les logs de requête :

https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true

Consignation système : Déboguer

Vous pouvez accéder à certaines informations de débogage en procédant comme suit.

  1. Dans le menu Security Analytics, sélectionnez Administration > Système > Consignation système.
  2. Cliquez sur l'onglet Paramètres.
  3. Dans la section Configuration des packages, sélectionnez com > netwitness > plate-forme > serveur > liveconnect > service (DEBUG).

You are here
Table of Contents > Références > Security Analytics Feedback et Data Sharing

Attachments

    Outcomes