Investigation - vue Malware Analysis

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Dans le module Investigation de Security Analytics, la vue Malware Analysis fournit l'interface utilisateur permettant d'effectuer une analyse des programmes malveillants. La vue Malware Analysis se présente sous la forme d'un tableau de bord personnalisable, dans lequel les dashlets par défaut de la vue initiale sont basés sur le rôle de l'utilisateur (administrateur ou analyste) et les personnalisations de l'utilisateur. Initialement, le dashlet Récapitulatif des événements s'affichait dans la vue Malware Analysis. D'autres dashlets présentent des visualisations différentes des événements en cours d'affichage, et chaque représentation est configurable pour affiner votre vue lorsque vous recherchez des indicateurs de compromission. Les dashlets Malware Analysis disponibles dans le tableau de bord Security Analytics sont également disponibles dans la vue Malware.

Pour accéder à cette vue :

  1. Dans le menu Security Analytics, sélectionnez Investigation> Malware Analysis.
    Si aucun service par défaut n'est sélectionné, la boîte de dialogue Sélectionner un service Malware Analysis.
  2. Sélectionnez un service, puis cliquez sur Afficher le mode continu.
    La vue Malware Analysis s'affiche.

MwSumVw.png

Fonctions

La vue Malware Analysis se compose du panneau Récapitulatif des événements et de quatre dashlets. Chacun des dashlets uniques contient des boîtes de dialogue d'options. Les dashlets Malware Analysis dans le tableau de bord Security Analytics sont également disponibles et sont décrits sousDashlets Security Analytics.

Panneau Récapitulatif des événements

Dans le panneau Récapitulatif des événements, vous pouvez sélectionner le service, le mode d'analyse et la période. De plus, vous pouvez sélectionner un point de données et afficher les événements associés à l'événement.

Le tableau suivant décrit toutes les fonctionnalités du panneau Récapitulatif des événements.

                                         
FonctionnalitéDescription :
ServIcon.png Sélectionne un service à afficher.
Mode d'analyseAffiche la liste déroulante des modes d'analyse disponibles.
PériodeAffiche la liste déroulante des périodes pour visualiser les événements.
Date de débutLorsque la période est définie sur Personnalisé, fournit un calendrier à partir duquel choisir la date de début de la période.
Date de finLorsque la période est définie sur Personnalisé, fournit un calendrier à partir duquel choisir la date de fin de la période.
Icône Ajouter Affiche la liste déroulante des dashlets que vous pouvez ajouter à la vue.
actions_button.png Affiche la liste déroulante des actions que vous pouvez effectuer dans cette vue :
  • Restaurer la configuration par défaut
  • Organiser les dashlets
  • Appliquer le filtre de seuil
Refresh_Icon.png Actualise la vue Malware Analysis.

Boîte de dialogue Options

La boîte de dialogue Options vous permet de personnaliser les résultats affichés dans le dashlet. Elle est accessible en cliquant sur l'icône properties icon.png située dans l'angle supérieur droit de chaque dashlet. Le tableau suivant décrit les fonctions de la boîte de dialogue Options.

                                
FonctionnalitéDescription :
TitleIndique si les données affichées sont limitées aux événements indiqués en tant que confiance élevée ou non. Si les données ne sont pas limitées, cette ligne ne s'affichera pas.
Influencé par la forte probabilité uniquementIndique si les données affichées sont limitées aux événements indiqués en tant que confiance élevée.
Statique, Réseau, Communauté, SandboxVous permet de filtrer les résultats en fonction des notes dans les modules de notation.
AnnulerFerme la boîte de dialogue sans enregistrer les modifications.
AppliquerApplique immédiatement les modifications au dashlet et ferme la boîte de dialogue.

Répartition des méta

Le dashlet Répartition des méta présente les événements sous la forme d'un graphique circulaire, avec chaque tranche représentant une métavaleur pour la clé méta spécifiée. Vous pouvez sélectionner la clé méta et le nombre de métavaleurs pour cette clé à afficher dans le graphique, en commençant par la valeur méta ayant le plus d'événements. Le pointage de la souris sur un événement permet d'en afficher le nombre.

MWAMetaBD.png

Le tableau suivant décrit les options du dashlet Répartition des méta.

                       
FonctionnalitéDescription :
Forte probabilité uniquementIndique si les données affichées sont limitées aux événements indiqués en tant que confiance élevée ou non. Si les données ne sont pas limitées, cette ligne ne s'affichera pas.
Clé méta Liste déroulante des clés méta disponibles.
CountListe déroulante indiquant combien de résultats supérieurs sont affichés. 

Compartimentage des méta

Compartimentage des méta présente les événements sous la forme d'une carte d'utilisation. Vous pouvez sélectionner la clé meta et le nombre de valeurs méta pour cette clé à afficher dans le graphique, en commençant par les métavaleurs ayant le plus d'événements. En outre, vous pouvez sélectionner le module qui a détecté la métavaleur dans les événements : statique, réseau, communauté ou sandbox.

MWAMetaTM.png

Le tableau suivant décrit les options du dashlet Compartimentage des méta.

                               
FonctionnalitéDescription :
Forte probabilité uniquementIndique si les résultats sont limités aux événements indiqués en tant que confiance élevée ou non. Si les résultats ne sont pas restreints, cette ligne ne s'affiche pas.
Clé métaListe déroulante des clés méta pouvant être sélectionnées en tant que filtre.
CountListe déroulante indiquant combien de résultats supérieurs sont affichés.
ModuleListe déroulante spécifiant les résultats du module qui seront extraits.
ValeurListe déroulante spécifiant les informations qui s'afficheront lorsque la souris est positionnée sur un résultat (par exemple, Score moyen).

Roue des scores

La roue des scores offre une vue des événements sous la forme d'anneaux concentriques avec des couleurs représentant les scores des événements basés sur les indicateurs de compromission et le module de notation. Vous pouvez organiser la position des anneaux à l'aide des flèches vers le haut et vers le bas pour obtenir une vue qui met en lumière les événements qui ont été détectés par un module de notation (rouge) et non détectés par les autres modules de notation.

MWAScrWhl.png

Le tableau suivant décrit les fonctionnalités du dashlet Roue des scores.

                   
FonctionnalitéDescription :
Forte probabilité uniquementIndique si les résultats sont limités aux événements indiqués en tant que confiance élevée ou non. Si les résultats ne sont pas restreints, cette ligne ne s'affiche pas.
Grille Ordre des modulesAffiche l'ordre des anneaux dans la roue des notes, l'anneau 1 étant l'anneau le plus à l'intérieur et l'anneau 4 étant l'anneau le plus à l'extérieur. Vous pouvez cliquer sur les boutons Haut et Bas pour réorganiser les modules. Cliquez ensuite sur Mettre à jour pour appliquer les modifications.

Chronologie d'événements

Chronologie d'événements offre une vue des événements organisés par heure d'apparition dans un graphique à barres. Cliquer et faire glisser une période dans le graphique permet de zoomer sur l'heure sélectionnée.

MWAEvTL.png

Le tableau suivant décrit les fonctionnalités du dashlet Chronologie d'événements.

                   
FonctionnalitéDescription :
Forte probabilité uniquementIndique si les résultats sont limités aux événements indiqués en tant que confiance élevée ou non. Si les résultats ne sont pas restreints, cette ligne ne s'affiche pas.
Affichage des événementsAffiche la vue Investigation > Événements.
Next Topic:Vue Naviguer
You are here
Table of Contents > Matériaux de référence de procédure d'enquête > Vue Analyse de malware

Attachments

    Outcomes