Investigation : Examiner les fichiers et événements d'analyse dans le formulaire de liste

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour l'affichage des fichiers associés à un événement dans la liste des fichiers de Security Analytics Malware Analysis.

Lors de l'affichage du récapitulatif des événements dans une analyse Security Analytics Malware Analysis, vous pouvez cliquer sur un nombre de fichiers ou un nombre d'événements pour afficher la liste des fichiers ou la liste des événements pour analyse (voir Lancer une procédure d'enquête de malware). Dans la liste des fichiers et la liste des événements, vous pouvez rechercher un fichier par nom de fichier ou hachage de fichier MD5, trier la liste en utilisant deux critères avec l'ordre croissant/décroissant, et télécharger des fichiers. Lorsque vous trouvez un événement ou un fichier intéressant dans la liste des événements ou la liste des fichiers, vous pouvez consulter de nombreux détails sur l'événement dans la vue Détails de l'événement.

104MwEventsList.png

Pour chaque événement de la liste des événements, Security Analytics fournit les informations suivantes :

  • Indiqué en tant qu'événement Forte probabilité, qui est considéré comme contenant probablement des Indicateurs de compromis.
  • Le score numérique de chaque module de note : Statique, Réseau, Communauté et Sandbox
  • Notes de fournisseur antivirus.
  • Balise Influencé par une règle personnalisée.
  • Date d'archivage de l'événement.
  • Durée de la session.
  • Filtre de hachage MD5.
  • Nombre de fichiers dans l'événement.
  • Adresse IP source de l’événement.
  • Identité.
  • Adresse IP de destination.
  • Pays de destination.
  • Nom de l’hôte de l'alias.
  • Type d'événement, par exemple, Réseau.
  • Service utilisé par l'événement.
  • Organisation de destination

104FilesList.png

Pour chaque fichier de la liste des fichiers, Security Analytics fournit les informations suivantes :

  • Indiqué en tant qu'événement Forte probabilité, qui est considéré comme contenant probablement des Indicateurs de compromis.
  • Le score numérique de chaque module de note : Statique, Réseau, Communauté et Sandbox
  • Notes de fournisseur antivirus.
  • Nom du fichier.
  • Type de fichier.
  • Filtre de hachage MD5.
  • Adresse IP source de l'événement contenant le fichier.
  • Adresse IP de destination.
  • Date de l'événement contenant le fichier archivé.
  • Taille du fichier.

Trier la liste des fichiers ou la liste des événements

Vous pouvez trier la liste des fichiers ou la liste des événements en fonction du nom de la colonne par ordre croissant ou décroissant. Vous pouvez choisir une ou deux colonnes.

Pour trier la liste :

  1. Dans la première liste déroulante Trier par, choisissez un nom de colonne et le sens du tri : SortDes.png par ordre décroissant ou 104SrtAsc.png par ordre croissant.
  2. (Facultatif) Dans la deuxième liste déroulante Trier par, choisissez un nom de colonne, le sens du tri, SortDes.png par ordre décroissant ou 104SrtAsc.png par ordre croissant.
    Les titres des colonnes reflètent l'ordre de tri sélectionné. Dans l'exemple suivant, la colonne de hachage est triée par ordre croissant et la colonne Taille est triée par ordre décroissant.
    104FilesLstSorted.png

Filtrer la liste en fonction du nom de fichier ou du hachage de fichier MD5

Vous pouvez filtrer la liste des fichiers et la liste des événements par nom de fichier ou hachage de fichier. Avec cette fonctionnalité, vous pouvez spécifier un sous-ensemble limité des données d'origine sur la base des critères de recherche.

Remarque : Lorsque vous effectuez une recherche, la recherche porte sur l'analyse en cours d'affichage et non sur toutes les analyses.

  1. Cliquez sur ic-filtbutton.png.
    La boîte de dialogue Filtrer s'affiche.
  2. Saisissez une valeur dans les champs Nom du fichier ou Hachage MD5, puis cliquez sur Filtrer. Les champs Nom du fichier et Hachage ne tiennent pas compte de la casse. Les caractères génériques ou expressions régulières ne sont pas pris en charge. Le filtre est basé sur des correspondances exactes. Vous pouvez sélectionner un nom de fichier ou de hachage dans la liste des fichiers ou la liste des événements, puis le copier-coller dans la boîte de dialogue.
    104MWHashPaste.png
  3. Cliquez sur Filtre.
    Malware Analysis filtre la liste pour n'afficher que les fichiers ou événements avec le hachage sélectionné
  4. Pour rétablir la liste non filtrée, cliquez sur 104FilterIcon.png. Lorsque la boîte de dialogue Filtrer s'affiche, cliquez sur Réinitialiser.

Télécharger les fichiers à partir de la liste des fichiers

Security Analytics vous permet de sélectionner et de télécharger des fichiers à partir de la liste des fichiers ou de la liste des événements.

Attention : Soyez prudent(e) lors du téléchargement des fichiers à partir de Malware Analysis car certains fichiers peuvent contenir un code malveillant. Le téléchargement de fichier est une autorisation spécifique qui peut être configurée, reportez-vous à la section « Définir les rôles et autorisations pour les analystes » dans le Guide de configuration de Malware Analysis pour plus de détails.

Pour télécharger les fichiers à partir de la liste des fichiers ou la liste des événements :

  1. Dans Liste de fichiers ou Liste d'événements, activez la case à cocher en regard d'une ou de plusieurs lignes.
  2. Dans la barre d'outils, sélectionnez 104DnLdFilesIcon.png.
    La boîte de dialogue Téléchargement de fichier de malware s'affiche.
  3. Exécutez l'une des opérations suivantes :
    1. Si vous décidez de ne pas télécharger le fichier, cliquez sur Annuler.
    2. Si vous souhaitez télécharger le fichier, cliquez sur le bouton Télécharger.
      Le ou les fichiers sélectionnés sont téléchargés dans une archive zip avec le nom Malware_Files.zip

Supprimer des événements de l'analyse

Dans la liste des événements, sélectionnez un ou plusieurs événements et supprimez-les de l'analyse. Cela est utile pour la suppression des événements qui ne sont pas intéressants.

Pour supprimer un événement de l'analyse en cours de consultation :

  1. Dans Liste d'événements, sélectionnez un ou plusieurs événements.
  2. Dans la barre d’outils, cliquez sur ic-dltevnts.png.
    Security Analytics vous demande de confirmer que vous souhaitez supprimer les événements.
  3. Dans la fenêtre de confirmation, cliquez sur Oui.
    Les événements sélectionnés sont supprimés.

Revenir à la vue Récapitulatif des événements

Pour quitter la liste des fichiers ou la liste des événements pour revenir à la vue Récapitulatif des événements, cliquez sur Retour au récapitulatif.

Ouvrir l'analyse détaillée d'un événement

Lorsque vous examinez les événements ou les fichiers dans la liste des fichiers ou des événements, vous pouvez double-cliquer sur un événement ou un fichier pour ouvrir une analyse détaillée de l'événement de la liste d'événements ou de l'événement auquel le fichier de la liste des fichiers est associé (voir Afficher l'analyse détaillée de malware d'un événement).

You are here
Table of Contents > Mener une analyse de malware > Examiner les fichiers et événements d'analyse dans le formulaire de liste

Attachments

    Outcomes