Warehouse Analytics : Présentation

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit comment les analystes de données peuvent analyser et identifier l'indicateur de compromission, en exploitant les données de RSA Analytics Warehouse. Vous pouvez analyser des données de sessions et de logs dans Warehouse en utilisant des techniques de science des données. En tant qu'analystes Intel des cybermenaces, vous pouvez afficher les rapports des premiers indicateurs de compromission. Les modèles Warehouse Analytics suivants sont pris en charge pour les données de paquets :

  • Domaines suspects
  • Activité DNS suspecte 
  • Profil hôte 

Tâches d'extraction, de transformation et de chargement (ETL)

La tâche ETL exécute un processus back-end sur Warehouse et pré-traite les données, que les modèles peuvent utiliser. Elle s'exécute automatiquement tous les jours à l'heure prescrite sur les données des paquets. Dans cette version, le module gère les données des paquets. La sortie de la tâche ETL est utilisée comme entrée pour les modèles de domaines suspects, d'activité de DNS suspecte et de profils d'hôtes. Vous devez importer les dernières tâches de tous les modèles à partir de Live.

Lorsque la tâche ETL est exécutée pour la première fois, elle traite les données provenant des 14 derniers jours (dans le fuseau horaire UTC), puis celles du jour précédent (dans le fuseau horaire UTC). Si vous souhaitez exécuter des tâches ETL pour une autre période, vous pouvez utiliser l'option Tester la tâche.

Remarque : Vous ne pouvez pas utiliser les tâches ETL pour générer des rapports visibles. Si la tâche ETL échoue pour la première fois, vous pouvez utiliser l'option Tester la tâche pour retraiter les données correspondant à cette plage de temps.

Domaines suspects 

Le modèle Domaines suspects identifie les domaines malveillants ou suspects sur la base de leur comportement de communication. Il utilise une approche automatique axée sur les données qui est réactive et conçue pour identifier l'activité risquée, susceptible de ne pas être détectée par d'autres solutions basées sur les signatures. Ce modèle génère des profils qui décrivent les comportements des domaines et applique une méthode d'évaluation de la probabilité des risques de ces profils pour identifier les domaines les plus suspects. À l'aide de ces scores, vous pouvez trouver les domaines qui sont les plus susceptibles d'être utilisés à des fins malveillantes au sein de votre réseau.

Vous pouvez afficher un rapport contenant les informations suivantes :

  • Une liste des domaines de destination à haut risque et un classement de tous les domaines observés en fonction du niveau d'anomalie
  • Un rapport complet expliquant pourquoi chaque domaine est à haut risque
  • Une notation des risques pour chaque domaine
  • Un score de risque unifié du domaine par rapport à tous les domaines et sur la base de l'analyse multidimensionnelle des fonctions concernant la connexion.

Sur la base de ces informations, vous pouvez effectuer une enquête plus approfondie, bloquer et recommander des changements aux politiques de sécurité pour éviter de prochaines occurrences de ces connexions. Vous pouvez également générer vos propres listes noires de domaine local et les utiliser dans la procédure d'enquête de l'incident ou définir une nouvelle politique de sécurité qui empêche vos ressources de se connecter à des domaines malveillants similaires à l'avenir. 

Activité DNS suspecte

Le modèle Activité DNS suspecte peut identifier des domaines malveillants basés sur un modèle de communication DNS particulier, commun aux botnets. Ce module utilise une méthode automatique d'identification des domaines présentant un modèle d'hébergement, dans lequel l'adresse IP des domaines malveillants est en constante évolution. Ce modèle se retrouve dans les botnets, les hôtes à charge équilibrée et les réseaux de distribution de contenu. Il peut les différencier entre eux et détecter uniquement les domaines malveillants. Une fois que le domaine est identifié, vous pouvez isoler l'hôte en effectuant des requêtes et en bloquant l'accès au réseau.

Vous pouvez afficher un rapport contenant les informations suivantes :

  • Une liste des domaines montrant les DNS de flux rapides suspects avec un score de risque associé.
  • Graphique de la communication CDN associée à un résultat indiquant si le domaine affiche le modèle fast-flux ou non.

Profil hôte

Le modèle Profil hôte collecte et récapitule toute l'activité HTTP, HTTPS et DNS de chaque hôte interne dans les données du réseau. Le module permet de réaliser une enquête rapide dans les différents types de modèles d'utilisation par l'hôte et permet à l'analyste d'obtenir des réponses aux questions qui peuvent survenir au cours d'une enquête qui nécessite des requêtes multiples ou des comparaisons manuelles.

Vous pouvez afficher un rapport avec des cartes d'utilisation à code couleur pour identifier le risque de trafic balisé par l'hôte. Vous pouvez également afficher des graphiques qui fournissent des détails sur le trafic.

Une fois que le rapport est généré, vous pouvez effectuer les tâches suivantes :

  • Utiliser une liste noire pour les alertes et une liste blanche pour ignorer les adresse IP ou les domaines qui sont sans danger.
  • Créer des incidents de sécurité exploitables à partir des alertes entrantes.

    • Intégrer les incidents à un service d'assistance technique tiers pour suivre le processus de correction.
    • Intégrer à RSA Archer eGRC pour la gestion et la correction des incidents.
  • Utiliser le module Investigation pour identifier les causes premières.
You are here
Table of Contents > Présentation de Warehouse Analytics

Attachments

    Outcomes