MA : (Facultatif) Configurer le filtre de hachage

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les filtres de hachage, qui offrent une méthode pour identifier comme malveillants ou sûrs des fichiers stockés dans Security Analytics Malware Analysis. Le filtrage de hachage permet d'établir la liste des fichiers identifiés comme étant malveillants ou sûrs. Sous l’onglet Hachage, vous pouvez régler l'analyse des événements Security Analytics Malware Analysis en fonction des hachages de fichier. Lorsqu'un hachage de fichier est identifié comme correct, Malware Analysis n'analyse pas le fichier lorsqu'il réapparaît. Lorsqu'un hachage de fichier est identifié comme incorrect, Malware Analysis ajoute automatiquement un grand nombre de points au score de la communauté. Malware Analysis analyse tout de même le fichier pour déterminer si de nouvelles informations sont disponibles.

Remarque : Si un événement contient un seul fichier considéré comme correct, Malware Analysis filtre l'événement entier mais ne l'affiche pas dans les résultats Malware Analysis.

Pour ajouter des filtres de hachage à la liste, suivez l'une ou l'autre de ces méthodes manuelles :

  1. Menu contextuel dans la vue Détails des événements : Cliquez avec le bouton droit de la souris sur un fichier. Le menu contextuel qui s'ouvre permet de marquer le hachage du fichier sélectionné comme correct (normal) ou incorrect (malveillant).
  2. Barre d'outils de l'onglet Hachage : Cliquez sur le bouton Ajouter sous l'onglet Hachage pour ajouter un hachage de fichier et une taille de fichier. Vous pouvez éventuellement marquer le hachage comme fiable.

Une méthode automatisée s'offre à vous pour ajouter des filtres de hachage dans Security Analytics Malware Analysis, qui consiste à importer une liste de hachage en bloc à partir du dossier surveillé. Les hachages importés par l'intermédiaire du dossier surveillé ne figurent pas dans la liste de hachage. Si l'importation en bloc et le répertoire de suivi (/var/lib/rsamalware/spectrum/hashWatch) sont configurés sur le serveur Malware Analysis, copiez une liste de hachage dans le dossier surveillé pour qu'elle soit importée automatiquement sur le système. Les hachages importés en bloc en appliquant cette méthode remplacent ceux qui avaient précédemment été importés à partir du dossier surveillé.

Afficher la liste de hachage

Pour afficher la liste de hachage :

  1. Dans le menuSecurity Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Malware Analysis, puis   >Vue > Configuration.
  3. Cliquez sur l'onglet Hachage.
    La liste de hachage s'affiche sous l'onglet Hachage. Seuls les hachages de fichier ajoutés en appliquant une des méthodes mentionnées y figurent.

Ajouter un hachage de fichier au filtre de hachage

Pour ajouter un hachage de fichier au filtre de hachage :

  1. Sous l'onglet Hachage, cliquez sur Ajouter dans la barre d'outils.
    La boîte de dialogue Ajouter un hachage s'ouvre.
  2. Si le hachage est digne de confiance, sélectionnez Fiable.
  3. Indiquez l'algorithme MD5 ainsi que la taille de fichier (en octets).
  4. Cliquez sur Save.
    Le hachage de fichier est ajouté aux hachages et utilisé pour procéder au filtrage de hachage dans Security Analytics Malware Analysis.

Marquer un hachage comme fiable ou non fiable

Pour marquer un hachage comme fiable ou non fiable :

  1. Sous l'onglet Hachage, cliquez dans la colonne Fiable du hachage concerné pour lui associer l'option Fiable ou Non fiable.
  2. Dans la barre d’outils, cliquez sur Enregistrer la modification.

Supprimer un hachage du filtre de hachage

Pour supprimer un hachage du filtre de hachage :

  1. Sous l'onglet Hachage, sélectionnez un ou plusieurs hachages à supprimer du filtre.
  2. Dans la barre d'outils, cliquez sur Supprimer.
    Une boîte de dialogue s'ouvre pour confirmer l'opération et permet de l'annuler, le cas échéant.
  3. Pour confirmer la suppression, cliquez sur Oui.
    Le hachage de fichier est supprimé de la grille et n'est plus utilisé pour procéder au filtrage de hachage dans Security Analytics Malware Analysis.

Rechercher un hachage de fichier

Sous l'onglet Hachage, vous pouvez rechercher un hachage de fichier figurant dans la grille.  Dans le champ MD5, entrez le hachage de fichier pour lequel vous effectuez une recherche, puis cliquez sur Recherche. La liste des fichiers qui contiennent la valeur de hachage s’affiche dans la grille. 

Importer une liste de hachage à l'aide du dossier surveillé

Pour importer une liste de hachage à partir d'un répertoire surveillé, la liste de hachage doit être au format spécifié et doit être triée selon md5. Vous pouvez faire glisser un fichier au format décrit ci-après dans un dossier (/var/lib/rsamalware/spectrum/hashWatch) stocké sur l'appliance Malware Analysis pour qu'il soit importé automatiquement dans la base de données de hachage locale. C'est la seule façon d'importer des hachages de fichier dans Security Analytics. Autrement, il faut autoriser un administrateur système à exposer le répertoire de suivi à un processus permettant d'y copier un fichier. Il s'agit d'une méthode d'importation en bloc destinée à gérer un volume élevé de hachages.

Le fichier doit être au format csv ; les données de chaque ligne ne sont pas séparées par des espaces. On part du principe que la liste de hachage n'inclut pas de doublons. Les valeurs en double sont ignorées au cours du traitement. Si des hachages en double sont rencontrés, le fichier log affiche le message suivant pour indiquer le nombre de hachages dupliqués figurant dans le fichier :

2013-08-09 09:46:00,674 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing - /var/lib/rsamalware/hashWatch/test.csv
2013-08-09 09:47:56,619 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.services.file.hash.HashServiceImpl - Skipped 21 Duplicate Hashes Already on File
2013-08-09 09:48:06,638 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed - /
var/lib/rsamalware/hashWatch/test.csv

Voici un exemple de liste de hachage dans le format de fichier par défaut.


[BeginFileExample]
392126E756571EBF112CB1C1cdEDF926,98865,True
0E53C14A3E48D94FF596A2824307B492,2226,True
176308F27DD52890F013A3FD80F92E51,42748,False
9B3702B0E788C6D62996392FE3C9786A,32768,False
937ADE76A75712B7FF339403B4FCB5A6,4821,False
B47139415F735A98069ACE824A114399,1723,False
E6CAF205E602CFA9A65663DB1A087874,704,False
680CA0BCE1FC7BC4136ADF4E210869C5,2075,False
[EndFileExample]


Un fichier de configuration Security Analytics (/var/lib/rsamalware/spectrum/conf/hashFileWatchConfig.xml) spécifie le format et les options d'importation d'une liste de hachage. Voici un extrait du fichier de configuration.

<config>
<enabled>true</enabled>
<distributedCacheEnabled>true</distributedCacheEnabled>
<watchDirectory>/
/var/lib/rsamalware/hashWatch</watchDirectory>
<processedDirectory>/
var/lib/rsamalware/hashWatch/processed</processedDirectory>
<erroredDirectory>/
var/lib/rsamalware/hashWatch/error</erroredDirectory>
<md5Col>0</md5Col>
<fileSizeCol>-1</fileSizeCol>
<isTrustedCol>1</isTrustedCol>
<isTrust>false</isTrust>
<ignoreFirstLine>false</ignoreFirstLine>
<frequencyInMinutes>1</frequencyInMinutes>
<isGzipCompressed>false</isGzipCompressed>
</config>
                                    
LigneDescription :
<md5Col>0</md5Col>Emplacement du hachage md5 dans chaque entrée. La valeur par défaut est la position 0, soit la première place.
<fileSizeCol>1</fileSizeCol>Emplacement de la taille du hachage dans chaque entrée. La valeur par défaut est la position 1, soit la deuxième place. Si la taille du hachage ne figure pas dans le fichier csv, il faut définir la valeur -1.
<isTrustedCol>2</isTrustedCol>Emplacement de la colonne Fiable dans chaque entrée. La valeur par défaut est la position 2. Si le paramètre Fiable ne figure pas dans le fichier csv, il faut définir la valeur -1.
<isTrust>false</isTrust>La supposition par défaut pour le paramètre Fiable est false pour chaque entrée.
<ignoreFirstLine>false</ignoreFirstLine>Présence ou absence d'en-tête dans le hachage. La valeur par défaut est false. Si le hachage contient un en-tête, il faut définir la valeur true.
<frequencyInMinutes>1</frequencyInMinutes>Intervalle entre deux vérifications du répertoire de suivi par Security Analytics. La valeur par défaut est 1 minute.
<isGzipCompressed>false</isGzipCompressed>Compression du hachage à l'aide de Gzip. La valeur par défaut est false. Si le hachage est compressé à l'aide de Gzip, il faut définir la valeur true.

Après l'importation de la liste de hachage, le log système affiche des entrées similaires aux suivantes :

2013-04-11 03:22:00,597 [jobExecutor-9(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
2013-04-11 03:22:00,600 [jobExecutor-9(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv

En cas de problème lors du chargement du fichier, le log système affiche des entrées similaires aux suivantes :

2013-04-11 03:17:00,597 [jobExecutor-4(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
... Verbose log
2013-04-11 03:17:00,632 [jobExecutor-4(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Error Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv


Pour importer une liste de hachage à l'aide de la méthode du dossier surveillé :

  1. Copiez les listes de hachage que vous souhaitez importer dans le répertoire /var/lib/rsamalware/spectrum/hashWatch.
    Security Analytics Malware Analysis surveille automatiquement ce dossier et traite les fichiers qui y sont placés.
    Security Analytics Malware Analysis ajoute chaque hachage trouvé dans les listes de hachage au filtre de hachage.
    S’il existe des erreurs de traitement, elles sont connectées à /var/lib/rsamalware/spectrum/hashWatch/error
    Les fichiers traités sont catalogués dans /var/lib/rsamalware/spectrum/hashWatch/processed
    Les fichiers traités ne sont pas supprimés du répertoire hashWatch.
  2. Après l'importation du hachage en bloc, l'administrateur système peut utiliser cronjob pour nettoyer les fichiers traités précédemment.
You are here
Table of Contents > Configuration basique > (Facultatif Configurer le filtre de hachage

Attachments

    Outcomes