MA : (Facultatif) Configurer l'auditing sur l'hôte Malware Analysis

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les fonctionnalités configurables du log d'audit Security Analytics Malware Analysis et les procédures de configuration des fonctionnalités. Security Analytics Malware Analysis est capable de générer des alertes d'audit basées sur des seuils de modules de notation configurés.  Une fois que le score d'analyse d'un fichier dans une session d'analyse atteint ou dépasse le ou les seuils configurés, une alerte d'audit est générée.  Le seuil permet aux sessions et aux fichiers qui atteignent un score suffisamment élevé d'être de potentiels programmes malveillants candidats pour générer automatiquement une alerte.  

Les alertes peuvent être configurées pour être formatées comme entrées SNMP, Syslog ou File.  La prise en charge de plusieurs formats d'audit fournit une méthode permettant aux systèmes externes d'acquérir des événements d'audit en fonction de leur capacité à analyser les formats pris en charge.

En plus des sessions d'analyse d'audit, les événements suivants déclencheront une alerte d'audit :

  • Réussites et échec de la connexion utilisateur
  • Modifications des paramètres de configuration système
  • Redémarrage du serveur
  • Mise à niveau ou installation de version du serveur

Les paramètres de configuration d'audit pour Security Analytics Malware Analysis se trouvent dans la vue Configuration des services > onglet Audit.

Configurer le seuil d'audit

L'unique but des seuils vise à spécifier les critères qui doivent être atteints avant qu'une alerte soit générée pour une session/un fichier analysé(e). Si l'audit est activé, chaque fichier/session noté(e) est examiné(e) afin de déterminer si le score dans chaque module de notation atteint ou dépasse le seuil d'audit configuré. Si c'est le cas, une alerte est générée à l'aide du format d'alerte d'audit configuré (par ex., SNMP, Syslog ou File). Par exemple, en configurant SNMP et en définissant le seuil de communauté sur 90, toutes les sessions/tous les fichiers qui obtiennent un score supérieur ou égal à 90 dans le module Score de communauté génère un trap SNMP. Si tous les seuils sont définis sur 90, alors aucune alerte n'est générée, sauf si une session/un fichier obtient un score supérieur ou égal à 90 dans les modules de notation Network, Static, Community et Sandbox.

Pour configurer le seuil d'audit :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis, puis sélectionnez  > Vue > Config.
  3. Dans la vue Configuration des services, sélectionnez sur l'onglet Audit.
  4. Dans la section Seuils d'audit :
    1. Définissez les Seuils Sandbox, Réseau, Statique et Communauté en utilisant une des méthodes suivantes pour chacun des modules de notation :
  • Dans le curseur, cliquez puis faites glisser la poignée dans un sens ou dans l'autre.
  • Dans le champ de valeur, saisissez un nombre compris entre 0 et 100 inclus.
  1. (Facultatif pour 10.3 SP2) Sélectionnez un ou plusieurs déclencheurs pour enregistrer un message et le livrer via toutes les méthodes d'audit activées.
  2. Cliquez sur Apply.
  • Le réglage du seuil prend effet immédiatement pour toutes les méthodes d'audit activées : SNMP, fichier et Syslog.
  • Les messages enregistrés sont envoyés vers toutes les méthodes d'audit activées : SNMP, fichier et Syslog.

Configurer Alerte de gestion des incidents

Lorsque la Gestion des incidents est activée, elle peut auditer des alertes Malware Analysis pour alimenter le workflow Gestion des incidents.

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis, puis sélectionnez  > Vue > Config.
  3. Dans la vue Configuration des services, sélectionnez l'onglet Audit.
  4. Dans la section Alerte de gestion des incidents, cochez la case Activée puis cliquez sur Appliquer. 
    L'alerte prend effet immédiatement.

Configuration de l'audit SNMP

Le SNMP est un protocole standard Internet pour la gestion des services sur des réseaux IP. Lorsque l'audit SNMP est activé, Security Analytics Malware Analysis peut envoyer un événement d'audit comme trap SNMP à l'hôte du trap SNMP configuré. En plus du score et de l'ID d'événement, l'alerte inclut tous les métas de sessions ainsi que les métadonnées générées. Cela est utile pour les utilisateurs qui souhaitent fournir des données d'événements à des systèmes tiers.

Pour configurer l'audit SNMP :

  1. Dans le menuSecurity Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis, puis sélectionnez  > Vue > Config.
  3. Dans la vue Configuration des services, sélectionnez l'onglet Audit.
  4. Dans la section Audit SNMP, cochez la case pour activer l'audit SNMP.
  5. Configurez le port et le nom de serveur SNMP.
  6. Configurez la version SNMP et OID de trap pour l'envoie de traps.
  7. Configurez la communauté Security Analytics Malware Analysis, puis réessayez l'expiration du délai des paramètres lors de l'envoi de traps.
  8. Cliquez sur Apply.
    Les paramètres d'audit SNMP prennent effet immédiatement.

Configurer Paramètres d'audit des fichiers

Lorsque l'audit des fichiers est activé, le fichier log d'audit est conservé dans le Répertoire personnel Security Analytics Malware Analysis. L'emplacement par défaut pour ce fichier log est /var/lib/netwitness/spectrum/logs/audit/audit.log. Chaque log, lorsqu'il atteint la taille de fichier maximum, est archivé et un nouveau log est créé. La taille de ces logs d'audit et leur nombre sont deux paramètres configurables.

Attention : Évitez de définir la taille de fichier max et le nombre de fichier d'archive sur des valeurs trop élevées. En effet, cela peut avoir un effet négatif sur l'espace disque disponible sur l'appliance Security Analytics Malware Analysis.

Pour configurer les paramètres d'audit de fichier :

  1. Dans le menuSecurity Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis, puis sélectionnez  > Vue > Config.
  3. Dans la vue Configuration des services, sélectionnez l'onglet Audit.
  4. Dans la section Audit de fichiers, cochez la case pour activer l'audit de fichiers.
  5. (Facultatif) Définissez Nombre de fichiers d'archive et Taille max. de fichier.
  6. Cliquez sur Apply.
    Les paramètres d'audit de fichier prennent effet immédiatement.

Configurer Paramètres d'audit Syslog

En cas d'activation, Syslog propose l'audit via l'utilisation du protocole syslog RFC 5424. Les réglementations, telles que SOX, PCI DSS, HIPAA, et bien d'autres contraignent les organisations à mettre en œuvre des mesures de sécurité globales, qui incluent souvent la collecte et l'analyse de logs provenant de nombreuses sources différentes. Le format Syslog a fait la preuve de son efficacité pour consolider les logs car il existe de nombreux outils open source et propriétaires pour le reporting et l'analyse.

En plus du score et de l'ID d'événement, le syslog inclut tous les métas de sessions ainsi que les métadonnées générées. Cela est utile pour les utilisateurs qui souhaitent fournir des données d'événements à des systèmes tiers.

Pour configurer les paramètres d'audit de syslog :

  1. Dans le menuSecurity Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Malware Analysis, puis sélectionnez  > Vue > Config.
  3. Dans la vue Configuration des services, sélectionnez l'onglet Audit.
  4. Dans la section Audit Syslog, cochez la case pour activer l'audit de syslog.
  5. Configurez l'hôte où s'exécute le processus syslog cible puis le port sur l'hôte où le processus syslog est à l'écoute.
  6. Configurez la fonction, l'encodage, le format, la longueur max et l'horodatage pour les messages syslog sortants.

Remarque : (Facultatif) Configurez Identifier la chaîne pour l'ajouter au début des alertes syslog.
Pour le format CEF, veuillez consulter Créer une alerte personnalisée au format CEF pour davantage de considérations.

  1. Cliquez sur Apply.
    Les paramètres d'audit syslog prennent effet immédiatement.
You are here
Table of Contents > Configuration basique > (Facultatif Configurer l'auditing sur l'hôte Malware Analysis

Attachments

    Outcomes