MA : Configurer les Indicateurs de compromission

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente la configuration des indicateurs de compromission (IOC) pour les modules de score Security Analytics Malware Analysis. Chaque module de score Security Analytics Malware Analysis (Network, Static, Community, Sandbox et YARA) dispose d'un ensemble d'indicateurs de compromission (IOC) par défaut, qu'il utilise pour évaluer les données de fichier et de session afin de déterminer la probabilité de présence d'un malware.  Chaque IOC se voit attribuer une pondération de score numérique comprise entre 100 (bon) et 100 (médiocre).  Lorsqu'un IOC se déclenche, la pondération de score numérique est prise en compte dans le score total de la session ou du fichier en cours d'analyse. Les pondérations de score individuelles de tous les IOC correspondants sont agrégées pour produire le score résultant de chaque session ou fichier. Le score agrégé est modifié de telle sorte qu'il ne dépasse pas la plage de score valide (comprise entre 100 et 100).

Remarque : La pondération de score attribuée à un IOC ne correspond pas toujours à la valeur de score explicite agrégée : il ne s'agit pas d'une simple addition des pondérations de score de chaque IOC qui se déclenche.  En réalité, le score de l'IOC est une pondération ou un indicateur d'importance pris en compte dans le calcul d'un score global.

Les paramètres de configuration des indicateurs de compromission (IOC) de Security Analytics Malware Analysis se trouvent dans la vue Configuration des services > onglet Indicateurs de compromission. Voici un exemple de l'onglet.

Si vous prenez l'IOC Community  Hachage de fichier : Fichier signalé par l'antivirus (fournisseur principal) comme exemple, la pondération de score de l'IOC peut être définie à 100.  Toutefois, Security Analytics Malware Analysis dilue cette valeur en fonction du pourcentage des principaux fournisseurs antivirus qui considèrent l'échantillon comme malveillant. Plus le nombre de fournisseurs qui estiment que l'échantillon est malveillant est proche de 100 %, plus la probabilité est grande que la totalité des 100 points soit utilisée pour agréger un score. Au fur et à mesure que le pourcentage se rapproche de 0 %, l'utilisation de la totalité des 100 points dans le score agrégé chute en proportion.  

Les indicateurs de compromission principaux utilisent une logique mise en œuvre nativement dans Security Analytics Malware Analysis. Vous ne pouvez pas modifier cette logique. Vous pouvez seulement modifier l'IOC pour augmenter ou réduire son impact sur le score, pour indiquer un paramètre de confiance, ou encore pour l'activer ou le désactiver. Le scénario classique consiste à modifier un ensemble limité de valeurs de pondération de score d'IOC à la baisse pour les IOC qui font augmenter le score final et qui provoquent des résultats d'analyse faussement positifs. Il existe une solution extrême en matière de réglage : elle consiste à désactiver les IOC entièrement s'ils contribuent régulièrement à fournir des résultats faussement positifs. Par ailleurs, vous pouvez désactiver tous les IOC et choisir d'activer seulement un petit nombre d'entre eux. Par exemple, vous pouvez désactiver tous les IOC à l'exception de ceux qui détectent les correspondances des antivirus. À l’aide de Security Analytics Malware Analysis dans cette configuration extrêmement limitée, vous pouvez réduire les résultats de Security Analytics Malware Analysis de sorte que seules les correspondances A/V connues génèrent des résultats.

Vous pouvez configurer cette fonctionnalité de plusieurs façons :

  • Désactivez les IOC afin qu'ils ne soient pas évalués dans le cadre du module de score auquel ils sont attribués.
  • Modifiez la pondération de score d'un IOC afin d'augmenter ou de réduire son impact sur le score agrégé.
  • Marquez les IOC qui vous semblent de bons indicateurs de malware, et affichez une balise de forte probabilité sur les sessions qui ont déclenché ces IOC dans les résultats de Malware Analysis.
  • Personnalisez les paramètres de score et de probabilité de manière unique pour le type de fichiers analysé. Un type de fichiers est préattribué à chaque IOC auquel il est appliqué. Les valeurs possibles sont TOUS, PDF, Microsoft Office et Windows PE.  L'IOC ayant le type de fichiers le plus approprié est utilisé durant l'analyse des fichiers. Par exemple, si un fichier PDF est analysé, un IOC dont le type de fichiers est PDF est choisi à la place du même IOC dont le type de fichiers est TOUS. En l'absence de correspondance avec un type de fichiers spécifique, l'IOC dont le type de fichiers est TOUS est sélectionné.
  • Recherchez les règles à afficher dans la grille en fonction d'une correspondance avec la description de la règle.

Filtrer les IOC affichés par module

Vous pouvez filtrer les IOC affichés par module de score : l'un des quatre modules intégrés ou YARA. Les IOC YARA sont imbriqués dans les IOC natifs de chaque catégorie. Bien que les IOC YARA ne soient pas identifiés comme tels dans les autres affichages, vous pouvez sélectionner YARA dans la liste de sélection Module pour voir la liste des règles YARA.

Pour visualiser les IOC de l'un des quatre modules de score, ou de YARA :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis.
  3. Dans la ligne, sélectionnez  > Vue > Configuration.
  4. Cliquez sur l'onglet Indicateurs de compromission.
  5. Dans la liste de sélection Module, sélectionnez Tous, NextGen, Static, Community, Sandbox ou Yara.
    Les règles et paramètres configurés pour le module sont affichés. 

Filtrer les modules affichés pour montrer uniquement les modules modifiés

L'onglet Indicateurs de compromission identifie visuellement les IOC modifiés localement. Lorsqu'un IOC est modifié, par exemple, la pondération de score change. En outre, le nom est affiché en rouge et comprend un indicateur de modification ajouté au nom de l'IOC.  L'indicateur de modification est ++ et peut être utilisé comme mécanisme de filtrage durant la recherche d'IOC.  

Pour limiter l'affichage aux IOC modifiés localement :

  1. Dans le champ Description, saisissez ++.
  2. Cliquez sur Search.
    La vue est filtrée pour afficher uniquement les IOC modifiés.

Activer et désactiver les IOC d'un module de score

Lorsqu'un IOC est désactivé, il n'a plus d'impact sur le score d'agrégation du module de score auquel il appartient. Si l'IOC a des instances multiples (différenciées uniquement par le type de fichiers), la désactivation d'un IOC spécifique d'un type de fichiers entraîne l'utilisation d'une version de l'IOC indépendante du type de fichiers pour l'attribution du score.

Par exemple, s'il existe un même IOC avec le type de fichiers TOUS et le type de fichiers Windows PE, la désactivation de l'instance Windows PE de l'IOC entraîne l'utilisation de la version TOUS pour l'attribution du score. Pour désactiver complètement l'IOC pour Windows PE, tout en laissant l'IOC activé pour d'autres types de fichiers, définissez la pondération de score de l'instance Windows PE de l'IOC à la valeur zéro, comme indiqué cidessous. Ainsi, l'IOC reste activé pour les fichiers Windows PE (bien que sa pondération soit égale à zéro et qu'il soit supprimé de l'affichage des résultats d'analyse), sans affecter les autres types de fichiers. Les types de fichiers restants continuent d'utiliser l'instance TOUS de l'IOC.

 

Pour activer ou désactiver un IOC afin qu'il ne soit plus pris en compte dans un module de score : 

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis, puis sélectionnez  > Vue > Config.
  3. Cliquez sur l'onglet Indicateurs de compromission.
  4. Dans la liste de sélection Module, sélectionnez un module de score : Tous, Community, Network, Sandbox, Static ou Yara.
    Les règles et paramètres configurés pour le module sont affichés.
  5. Exécutez l'une des opérations suivantes :
    1. Activez la case à cocher Activé dans la colonne située en regard de la règle que vous souhaitez activer.
    2. Sélectionnez une ou plusieurs règles, puis cliquez dans la barre d'outils sur Activer ou Désactiver.
    3. Pour basculer entre Activé et Désactivé pour toutes les règles affichées sur la page, activez la case à cocher Activé dans le titre de la colonne.
    4. Pour activer ou désactiver toutes les règles du module de score, cliquez dans la barre d'outils sur Activer tout ou Désactiver tout.
  6. Pour enregistrer les modifications de la page, cliquez sur Enregistrer dans la barre d'outils.

Remarque : Les règles dont les paramètres sont modifiés sont affichées avec un angle rouge. Si vous naviguez vers une autre page avant d'enregistrer, toutes les modifications de cette page seront perdues.

Modifier la pondération de score d'un IOC

La modification de la pondération de score d'un IOC augmente ou réduit l'impact global de l'IOC sur le score d'agrégation du module dans lequel il est configuré. Pour augmenter ou réduire l'impact global de l'IOC, réduisez la valeur actuelle en définissant un nouveau paramètre.  

  • Les valeurs comprises entre 100 et 1 indiquent que la session ou le fichier en cours d'analyse n'est pas susceptible d'être un malware (100 étant la probabilité la plus faible).
  • Les valeurs comprises entre 1 et 100 indiquent qu'il est probable que le fichier ou la session en cours d'analyse soit un malware (100 étant la probabilité la plus forte).  
  • Si vous définissez la valeur à zéro, l'IOC reste activé mais n'a plus d'impact sur le score d'agrégation. En outre, l'IOC est supprimé de l'affichage des résultats d'analyse. Définir la valeur à zéro est une méthode qui permet de désactiver l'instance spécifique d'un type de fichiers d'un IOC tout en gardant intacte l'instance indépendante du type de fichiers d'origine de la règle pour l'attribution d'un score aux types de fichiers restants.

Pour modifier la pondération de score :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis.
  3. Dans la barre d'outils, sélectionnez Vue > Configuration.
  4. Cliquez sur l'onglet Indicateurs de compromission.
  5. Dans la liste de sélection Module, sélectionnez un module de score : Tous, Network, Static, Community, Sandbox ou Yara.
    Les règles et paramètres configurés pour le module sont affichés.
  6. Exécutez l'une des opérations suivantes :
    1. Faites glisser le curseur de score vers la gauche ou vers la droite pour augmenter ou réduire la pondération de score.
    2. Cliquez directement sur la pondération de score affichée, puis saisissez une pondération de score.
  7. Pour enregistrer les modifications de la page, cliquez sur Enregistrer dans la barre d'outils.

Remarque : Les règles dont les paramètres sont modifiés sont affichées avec un angle rouge. Si vous naviguez vers une autre page avant d'enregistrer, toutes les modifications de cette page seront perdues.

Définirl'indicateur de forte probabilité d'un IOC

Le paramètre Forte probabilité permet de baliser des IOC spécifiques en tant qu'indicateurs de présence d'un malware avec un haut degré de probabilité. Par exemple, l'IOC Community  Hachage de fichier : Fichier signalé par l'antivirus (fournisseur principal) présente une faible probabilité de faux positif, ainsi qu'une forte probabilité de malware. En balisant cet IOC (et d'autres) en tant qu'indicateur de forte probabilité, vous pouvez utiliser un filtre dans les résultats de Security Analytics Malware Analysis pour limiter l'affichage aux sessions qui incluent une ou plusieurs règles de forte probabilité. Ainsi, l'affichage est limité à un sousensemble de résultats dont la pertinence est associée à un degré de probabilité plus important. L'affichage de résultats qui ne se limitent pas aux IOC à forte probabilité vous permet tout de même de vérifier les résultats incertains. Cela aboutit à des résultats moins susceptibles d'être de faux négatifs. Le filtrage ou non des résultats en fonction du degré de probabilité correspond à un exemple d'utilisation valide dans le workflow Security Analytics.

Pour définirl'indicateur de forte probabilité :

  1. Sous l'onglet Indicateurs de compromission, sélectionnez un module de score dans la liste de sélection Module : Tous, Network, Static, Community, Sandbox ou Yara.
    Les règles et paramètres configurés pour le module sont affichés.
  2. Activez la case à cocher Forte probabilité dans la colonne située en regard d'une règle que vous souhaitez baliser ou non comme étant hautement susceptible d'indiquer la présence de malware dans une session en cas de concordance.
  3. Pour enregistrer les modifications de la page, cliquez sur Enregistrer dans la barre d'outils.

Remarque : Les règles dont les paramètres sont modifiés sont affichées avec un angle rouge. Si vous naviguez vers une autre page avant d'enregistrer, toutes les modifications de cette page seront perdues.

Réinitialiser les paramètres par défaut des IOC

  1. Sous l'onglet Indicateurs de compromission, sélectionnez un module de score dans la liste de sélection Module : Tous, Network, Static, Community, Sandbox ou Yara.
    Les règles et paramètres configurés pour le module sont affichés.
  2. Si vous souhaitez rétablir les paramètres par défaut de toutes les règles de la page active, cliquez dans la barre d'outils sur Réinitialiser.
  3. Si vous souhaitez rétablir les paramètres par défaut de toutes les règles du module de score sélectionné, cliquez dans la barre d'outils sur Réinitialiser tout.
  4. Pour enregistrer les modifications de la page, cliquez sur Enregistrer dans la barre d'outils.
You are here
Table of Contents > Configuration basique > Configurer les Indicateurs de compromission

Attachments

    Outcomes