Investigation : Lancer une procédure d'enquête de malware

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour enquêter sur les données analysées par Malware Analysis dans Security Analytics Investigation.

Vous pouvez enquêter sur les données analysées, balisées et évaluées par Security Analytics Malware Analytics en tant que données présentant des indicateurs de compromission. Cela inclut tous les types d'analyses Malware Analysis : rappel continu, rappel à la demande et fichiers téléchargés à la demande. Le rappel continu doit être activé lorsque l'administrateur configure les paramètres de base du service Malware Analysis.

Security Analytics offre plusieurs méthodes pour lancer une procédure d'enquête Malware Analysis.

Le plus rapide : Lancement instantané à partir des dashlets Malware Analysis

La façon la plus rapide de commencer une procédure d'enquête Malware Analysis est d'effectuer un lancement instantané à partir du tableau de bord Security Analytics via l'un des dashlets Malware Analysis qui répertorient les événements ou les fichiers susceptibles de contenir des malware. À partir de l'un de ces dashlets, vous pouvez accéder directement aux résultats d'analyse d'un événement spécifique répertorié en tant qu'événement devant faire l'objet d'une procédure d'enquête :

  • Liste des principaux malwares fortement suspects
  • Liste des principaux malwares de type Zero Day
  • Dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés

Rappel à la demande à partir d'une valeur méta dans la vue Naviguer

Pour lancer un rappel à la demande à partir d'une procédure d'enquête, cliquez avec le bouton droit de la souris sur une valeur méta dans la vue Naviguer, puis choisissez une option dans le menu contextuel. Lorsque l'interrogation est terminée, les données analysées sont disponibles pour l'analyse de malware (voir Lancer une analyse Malware Analysis à partir de la vue Naviguer).

Enquêter sur un service RSA spécifique

Vous pouvez également commencer une procédure d'enquête Malware Analysis basée sur un service dans Investigation > vue Malware Analysis. Pour toute procédure d'enquête Malware Analysis basée sur un service, ce dernier doit être spécifié dans Investigation > vue Malware Analysis :

  1. Security Analytics ouvre la vue Malware Analysis avec le service par défaut spécifié par l'utilisateur sélectionné.
  2. Si aucun service par défaut n'est spécifié, Security Analytics affiche une boîte de dialogue qui permet à l'utilisateur de sélectionner le service Malware Analysis devant faire l'objet d'une procédure d'enquête.
  3. Lorsqu'un service est sélectionné manuellement ou par défaut dans la vue Malware Analysis, Security Analytics ouvre la vue Récapitulatif des événements correspondante, et analyse en continu les données du service.

Cette rubrique fournit des instructions sur toutes les méthodes de lancement d'une procédure d'enquête Malware Analysis.

Lancer une procédure d'enquête sur les malware à partir d'un dashlet Malware Analysis

Il existe une condition préalable à respecter pour cette procédure : l'un des dashlets suivants doit être visible dans le tableau de bord unifié ou dans la vue Malware Analysis. De plus, il doit comporter des événements ou des fichiers répertoriés. Si vous ne voyez pas de dashlets, ajoutezles et configurezles.

  • Liste des principaux malwares fortement suspects
  • Liste des principaux malwares de type Zero Day
  • Dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés

Pour lancer une procédure d'enquête sur les malware à partir d'un dashlet Malware Analysis :

  1. Connectez-vous à Security Analytics, puis recherchez l'un des dashlets ci-dessus dans le tableau de bord principal ou dans la vue Malware Analysis. Vous trouverez cidessous un exemple du dashlet Liste des principaux malwares de type Zero Day configuré pour afficher des fichiers.

    MwaTopZeroDayFls.png
  2. Dans le dashlet, doublecliquez sur un événement ou un fichier pour obtenir une analyse plus approfondie. Une analyse détaillée de l'événement dans la liste d'événements, ou l'événement auquel est associé le fichier dans la liste de fichiers, s'affiche dans la vue Malware Analysis.
    MWAnaRes.png

Pour en savoir plus sur la configuration des dashlets Malware Analysis dans le tableau de bord unifié, reportez-vous à « Dashlets » dans le Guide de mise en route de Security Analytics.

Pour en savoir plus sur les façons dont vous pouvez configurer et filtrer les informations dans les dashlets de la vue Malware Analysis, reportez-vous à la section Filtrer les données de dashlet dans la vue Récapitulatif des événements.

Pour en savoir plus sur les actions que vous pouvez effectuer dans les résultats d'analyse, reportez-vous à Afficher l'analyse détaillée de malware d'un événement.

Lancer une procédure d'enquête Malware Analysis (aucun service par défaut)

Pour commencer une procédure d'enquête sans service par défaut :

  1. Dans le menu Security Analytics, sélectionnez Procédure d'enquête > Malware Analysis.
    La boîte de dialogue Sélectionner un service Malware Analysis s'affiche en présentant les hôtes et services Malware Analysis disponibles pour l'utilisateur actuel dans le volet de gauche, et les tâches d'analyse disponibles dans le volet de droite. Ce volet des tâches d'analyse contient les mêmes colonnes que le dashlet Liste de tâches d'analyse des malware dans le tableau de bord unifié. En outre, il comporte une barre d'outils et des options d'affichage, qui sont décrites dans Investigation - boîte de dialogue Sélectionner un service Malware Analysis.
    SlctMWASrvc.png
  2. Dans la liste des hôtes Malware Analysis, sélectionnez un hôte pour afficher la liste des tâches d'analyse correspondantes dans le volet de droite.
  3. Pour débuter une analyse, procédez de l'une des façons suivantes :
    1. Sélectionnez une analyse, puis cliquez sur Afficher l'analyse.
    2. Cliquez sur Afficher le mode continu.
      La vue Récapitulatif des événements correspondant à l'analyse sélectionnée s'affiche avec les dashlets par défaut ouverts. Chaque utilisateur peut ajouter, modifier et supprimer des dashlets par défaut, qui persistent à travers différentes procédures d'enquête. Les utilisateurs peuvent également restaurer les dashlets par défaut, comme décrit dans Filtrer les données de dashlet dans la vue Récapitulatif des événements.
      MWAVw.png

Définir ou effacer le service par défaut

Vous pouvez définir ou effacer le service par défaut dans la boîte de dialogue Sélectionner un service Malware Analysis.

Pour définir un service par défaut :

  1. Cliquez sur le nom du service dans la barre d'outils de la vue Récapitulatif des événements.
    La boîte de dialogue Sélectionner un service Malware Analysis s'affiche.
    SlctMWASrvc.png
  2. Sélectionnez un service dans la liste des services Malware disponibles, puis cliquez sur DefServ.png.
    Le service devient le service par défaut (indiqué par DefServChk.png devant le nom d'hôte).
  3. Pour effacer le service par défaut, sélectionnezle dans la grille, puis cliquez sur DefServ.png.
    Aucun service par défaut n'est défini.

Télécharger et analyser des fichiers

Un analyste de malware possédant l'autorisation Lancer une analyse Malware Analysis peut télécharger des fichiers à numériser à l'aide de l'option Analyser des fichiers dans la boîte de dialogue Sélectionner un service Malware Analysis (voir Télécharger des fichiers pour l'analyse Malware Analysis. Un administrateur peut télécharger des fichiers de capture de paquets pour Malware Analysis dans la vue Système de services comme décrit dans « Télécharger le fichier de capture de paquets » dans le Guide de configuration de Decoder et Log Decoder.

Commencer une procédure d'enquête (service par défaut spécifié)

Pour commencer une procédure d'enquête avec un service par défaut :

  1. Dans le menu Security Analytics, sélectionnez Procédure d'enquête > Malware Analysis.
    La vue Récapitulatif des événements correspondant à l'analyse continue du service sélectionné s'affiche avec les dashlets par défaut ouverts. Chaque utilisateur peut ajouter, modifier et supprimer des dashlets par défaut, qui persistent à travers différentes procédures d'enquête. Les utilisateurs peuvent également restaurer les dashlets par défaut, comme décrit dans Filtrer les données de dashlet dans la vue Récapitulatif des événements.
    MWAVw.png

Appliquer un filtre basé sur des paramètres de durée aux résultats

Vous pouvez appliquer un filtre de seuil pour actualiser les résultats des dashlets choisis.

  1. Pour sélectionner une autre période, sélectionnez Mode continu ou une autre analyse dans la barre d'outils.
    ContMode.png
    Le Récapitulatif des événements de malware pour l'analyse sélectionnée s'affiche.
  2. Pour sélectionner une nouvelle période d'analyse, cliquez sur la liste de sélection de période, dans la barre d'outils. Les périodes disponibles sont les suivantes : 5 dernières minutes, 10 dernières minutes, 15 dernières minutes, 30 dernières minutes, Dernière heure, 3 dernières heures, 6 dernières heures, 12 dernières heures, 24 dernières heures, 2 derniers jours, 5 derniers jours, Début de matinée, Matin, Aprèsmidi, Soir, Toute la journée, Hier, Cette semaine, La semaine dernière ou Personnalisé. 
    TimeRange.png
    Les résultats sont mis à jour immédiatement.
  3. Pour actualiser une analyse en mode continu avec de nouvelles données, cliquez sur IconRefresh.png.

Appliquer un filtre de seuil aux résultats d'analyse en mode continu

Vous pouvez appliquer un nouveau filtre de seuil à une instance des dashlets Malware à forte probabilité d'indicateur de compromission et scores élevés, Compartimentage des méta, Roue des scores et Chronologie d'événements.

Pour personnaliser les scores appliqués à l'analyse, dans la barre d'outils, procédez comme suit :

  1. Sélectionnez Paramètres > Appliquer le filtre de seuil.
    La boîte de dialogue Appliquer le filtre de seuil s'affiche.
    AppThrsFiltDg.png
  2. Pour limiter les événements affichés à ceux dont le score est supérieur à une certaine valeur, procédez comme suit :
    1. Faites glisser le curseur sur les barres de défilement des modules Static, Network, Community et Sandbox.
    2. Pour sélectionner les dashlets où les seuils s'appliquent, activez les cases à cocher appropriées.
    3. Cliquez sur Apply.

Supprimer ou resoumettre une analyse à la demande avec de nouveaux paramètres de contournement

Vous pouvez supprimer ou resoumettre une analyse à la demande avec d'autres paramètres de contournement que ceux spécifiés dans la vue Configuration des services pour un service Malware Analysis.

Pour supprimer une analyse lorsque vous visualisez une analyse à la demande, procédez comme suit :

  1. Sélectionnez Actions > Supprimer l'analyse.
    Security Analytics vous demande de confirmer que vous souhaitez supprimer l'analyse.
  2. Cliquez sur Yes.
    L'analyse sélectionnée est supprimée.

Pour appliquer d'autres paramètres de contournement à l'analyse actuelle :

  1. Sélectionnez Actions > Renvoyer l'analyse.
    La boîte de dialogue Analyser les malwares s'affiche.
    ScnfrMlwr.png
  2. Sélectionnez les paramètres de contournement à utiliser pour la nouvelle analyse, puis cliquez sur Analyser.
    Malware Analysis réinitialise le cache et resoumet le fichier pour une nouvelle analyse. Security Analytics ajoute ensuite l'analyse à la file d'attente des tâches.
  3. Une fois la tâche terminée, faites défiler l'affichage vers la gauche et sélectionnez Afficher.
    Le Récapitulatif des événements de malware pour l'analyse sélectionnée s'affiche.

Afficher la liste des fichiers

Vous pouvez afficher la liste des fichiers d'un événement à partir de la vue Malware Analysis Récapitulatif des événements et à partir de chacun des graphiques de visualisation : Chronologie d'événements, Répartition des méta, Compartimentage des méta et Roue des scores.

Pour afficher la liste des fichiers, procédez de l'une des façons suivantes :

  • Dans la vue Récapitulatif des événements, cliquez sur le nombre de fichiers dans la ligne Total ou la ligne Forte probabilité sous Fichiers traités, Fichiers PE, Fichiers Office ou Fichiers PDF. La liste de fichiers s'affiche.
  • Dans un dashlet de visualisation, cliquez sur le numéro situé en regard du champ Fichiers, dans le coin supérieur droit du dashlet.
    MWAScrWhl.png
    La liste de fichiers du point d'extraction sélectionné s'affiche.
    Files List.png

Dans la liste de fichiers, vous pouvez rechercher un fichier par son nom ou son hachage de fichier MD5. Vous pouvez également trier la liste à l'aide de deux critères, dans l'ordre croissant ou décroissant, et vous pouvez télécharger les fichiers comme indiqué dans Examiner les fichiers et événements d'analyse dans le formulaire de liste.

Pour revenir à la vue Récapitulatif des événements, cliquez sur Retour au récapitulatif.

Afficher la liste d'événements

Dans la vue Malware Analysis Récapitulatif des événements et à partir de chacun des graphiques de visualisation (Chronologie d'événements, Répartition des méta, Compartimentage des méta et Roue des scores), vous pouvez sélectionner des événements à afficher dans la grille des événements.

Pour afficher la liste d'événements, procédez de l'une des façons suivantes : 

  • Dans la vue Récapitulatif des événements, cliquez sur le nombre d'événements créés dans la ligne Total ou la ligne Forte probabilité. La liste Événements s'affiche.
  • Dans un dashlet de visualisation, cliquez sur le numéro situé en regard du champ Événements, dans le coin supérieur droit du dashlet.
    MWAScrWhl.png
    La liste d'événements correspondant à la période sélectionnée s'affiche.
    MWAEventLst.png
You are here
Table of Contents > Mener une analyse de malware > Lancer une procédure d'enquête de malware

Attachments

    Outcomes