MA : Modules de scores

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analytics Malware Analysis analyse et donne des scores aux sessions et fichiers intégrés à ces sessions selon quatre catégories d'évaluation : Réseau, Analyse statique, Communauté et Sandbox. Chaque catégorie comprend de nombreuses règles et vérifications individuelles qui sont utilisées pour calculer un score entre 1 et 100. Plus le score est élevé, plus la session est susceptible d'être malveillante et devrait faire l'objet d'une investigation de suivi plus approfondie.

Security Analytics Malware Analysis peut faciliter l'investigation sur l'historique des événements qui ont abouti à une alarme ou un incident réseau. Si vous savez qu'un certain type d'activité se produit sur votre réseau, vous pouvez sélectionner uniquement les rapports présentant un intérêt afin de passer en revue le contenu des collections de données. Vous pouvez également modifier le comportement de chaque catégorie d'évaluation en fonction de la catégorie ou du type de fichiers (Windows PE, PDF et Microsoft Office).

Une fois familiarisé avec les méthodes de navigation au sein des données, vous pouvez explorer les données de manière plus exhaustive via :

  • La recherche de types spécifiques d'informations
  • L'examen détaillé de contenu spécifique

Les scores des catégories Réseau, Analyse statique, Communauté et Sandbox font l'objet d'une maintenance et d'un reporting de manière indépendante. Lorsque les événements sont affichés en fonction des scores indépendants et qu'une catégorie détecte des malware, cela apparaît dans la section Analyse.

Réseau

La première catégorie examine chaque session de réseau principal Security Analytics Core afin de déterminer si la livraison des candidats malveillants était suspecte. Par exemple, le téléchargement d'un logiciel bénin depuis un site sécurisé et connu, à l'aide des ports et protocoles adéquats, est considéré comme moins suspect que le téléchargement d'un logiciel connu pour être malveillant, à partir d'un site de téléchargement douteux. Les facteurs d'échantillon utilisés pour l'évaluation de cet ensemble de critères peuvent comprendre des sessions qui :

  • contiennent des informations sur la source de menace ;
  • se connectent à des sites malveillants connus ;
  • se connectent à des domaines/pays à haut risque (par exemple, un domaine .cc) ;
  • utilisent des protocoles connus sur des ports non standard ;
  • contiennent du JavaScript obscurci.

Analyse statique

La seconde catégorie analyse chaque fichier de la session à la recherche de signes s'obscurcissement afin de prédire la probabilité qu'un fichier se comporte de manière malveillante s'il est exécuté. Par exemple, un logiciel lié à des bibliothèques réseau est plus susceptible de présenter une activité réseau suspecte. Les facteurs d'échantillon utilisés pour l'évaluation de cet ensemble de critères peuvent comprendre :

  • des fichiers qui s'avèrent chiffrés XOR ;
  • des fichiers qui s'avèrent intégrés dans des formats autres que EXE (par exemple, un fichier PE intégré dans un format GIF) ;
  • des fichiers liés à des bibliothèques d'importation à plus hauts risques ;
  • des fichiers s'inspirant fortement du format PE.

Communauté

La troisième catégorie évalue la session et les fichiers basés sur les connaissances collectives de la communauté de la sécurité. Par exemple, l'évaluation peut se baser sur la réputation de fichiers dont l'empreinte et le hachage sont déjà connus par des fournisseurs respectés d'antivirus. L'évaluation des fichiers se base aussi sur la connaissance de la communauté de la sécurité sur le site d'origine du fichier.

L'évaluation de la communauté indique aussi si l'antivirus de votre réseau a signalé les fichiers comme malveillants. Elle n'indique pas si le produit antivirus local a pris des mesures pour protéger votre système.

Sandbox

La quatrième catégorie s'attache au comportement du logiciel en l'exécutant dans un environnement sandbox. Lors de l'exécution du logiciel pour analyser son comportement, le score est calculé en identifiant une activité malveillante connue. Par exemple, un logiciel qui se configure pour se lancer automatiquement à chaque redémarrage et établir des connexions IRC présentera un score plus élevé qu'un fichier sans comportement malveillant.

You are here
Table of Contents > Comment fonctionne Malware Analysis > Modules de scores

Attachments

    Outcomes