Investigation : Afficher l'analyse détaillée de malware d'un événement

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions relatives à l'affichage des détails d'un événement dans la grille Événements de Security Analytics Malware Analysis.

Lors de l'affichage de la liste des événements individuels dans une analyse Security Analytics Malware Analysis au sein de la grille Malware Analysis Événements, vous pouvez double-cliquer sur un événement pour afficher les résultats d'analyse détaillée de l'événement.

Afficher les détails de l'analyse de malware pour un événement

  1. Démarrez une procédure d'enquête sous l'onglet Procédure d'enquête> Malware Analysis.
    Le Récapitulatif des événements de Malware s'affiche et contient quatre graphiques, y compris le graphique Chronologie d'événements.
  2. Exécutez l'une des opérations suivantes :
    1. Pour afficher tous les événements dans la Chronologie d'événements, cliquez sur le bouton Afficher les événementsthe Viewthe
    2. Double-cliquez sur les données dans Répartition des méta, Compartimentage des méta ou Roue des scores.
      La liste Événements s'affiche.
  3. Double-cliquez sur un événement.
    Les résultats d'analyse de l'événement s'affichent.
    MWAnaRes.png
  4. (Facultatif) Si vous souhaitez supprimer un événement, sélectionnez Actions > Supprimer un événement.
  5. Pour afficher une reconstruction de la session réseau, sélectionnez Actions > Afficher la session réseau.
    La session s'ouvre dans la vue Naviguer > Reconstruction d'événement.

Pivotage des résultats de l'analyse réseau

Vous pouvez faire pivoter les résultats de l'analyse réseau de différentes manières :

  1. Faites défiler l'écran vers les résultats de l'analyse réseau.
    NetAnaRes.png
  2. Placez le pointeur sur une valeur méta, puis cliquez dessus avec le bouton gauche de la souris.
    Le menu contextuel s'affiche.
    ServMetConMenu.png
  3. Pour afficher la valeur méta sélectionnée dans la vue Naviguer, sélectionnez Démarrer Investigation et une option d'heure.
  4. Pour afficher la valeur méta sélectionnée dans un navigateur, sélectionnez Ouvrir dans un navigateur Web > Ouvrir dans Google.

Utiliser les actions de fichier dans les résultats de l'analyse statique

  1. Faites défiler l'écran vers les résultats de l'analyse statique.
    StatAnaRes.png
  2. Pour télécharger un fichier, sélectionnez le nom du fichier et soit Télécharger le fichier (compressé), soit Télécharger le fichier (mode natif) dans le menu déroulant. Il est plus sûr de télécharger un fichier en format compressé.
    MWAResStatcFlDD.png
  3. Si vous souhaitez marquer le fichier comme sûr ou non dans la liste de hachage, sélectionnez Hachage de fichier de filtre et Marquer le hachage comme correct ou Marquer le hachage comme incorrect.

Afficher les détails des résultats de l'analyse des pairs

Résultats de l'analyse de la communauté résume les résultats de la communauté, identifiant les indicateurs de compromis qui ont été marqués comme risqués ou identifiés comme corrects.

En outre, cette vue répertorie les résultats des fournisseurs AV installés et des fournisseurs d'antivirus non installés. Vous pouvez comparer les résultats des fournisseurs AV installés qui ont été configurés pour le service Malware Analysis actuel par rapport aux résultats de la Communauté. Vous pouvez également visualiser les résultats de la liste des fournisseurs AV qui ne sont pas configurés comme installés pour le service Malware Analysis actuel.

Chaque ligne de résultats des fournisseurs AV inclut une icône de bouclier pour indiquer si le IOC a été découvert par un fournisseur principal (104PrimaryAVIcon.jpg) ou un fournisseur secondaire (104AVSecIcon.jpg) de la communauté. Elle indique également le nom du fournisseur installé ou non installé, ainsi que le nom du logiciel malveillant ou le risque détecté par la communauté et le fournisseur AV. Si le fournisseur AV n'a pas détecté de risque, -- Non détecté -- s'affiche à la place du nom du risque.

La section Fournisseurs d'antivirus non installés est extensible pour afficher toutes les entrées, mais est réduite par défaut pour minimiser le besoin de faire défiler l'écran. Cliquer sur le signe + permet de développer la liste.

Si aucun fournisseur AV installé n'a été configuré pour le service Malware Analysis actuel, le message suivant s'affiche : Aucun fournisseur d'antivirus n'est signalé comme étant installé. Accédez à la page de configuration du service Malware Analysis pour identifier les fournisseurs AV installés.


104AVResults.png

Afficher les résultats de l'analyse sandbox dans l'interface utilisateur ThreatGrid

Si vous vous êtes inscrit(e) à ThreatGrid, vous pouvez consulter les résultats sandbox directement dans ThreatGrid.

  1. Faites défiler l'écran vers les résultats de l'analyse sandbox.
    MWSandboxResSample.png
  2. Placez le pointeur sur l'ID de l'analyse, puis cliquez dessus avec le bouton droit de la souris.
    MWSBAnalysisResOpeninTG.png
  3. Sélectionnez Ouvrir dans ThreatGrid.
    Le rapport d'analyse ThreatGrid s'affiche.
    TGGui.png
You are here
Table of Contents > Mener une analyse de malware > Afficher l'analyse détaillée de malware d'un événement

Attachments

    Outcomes