Investigation : Visualiser des métadonnées en tant que coordonnées parallèles

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux analystes comment utiliser la visualisation de coordonnées parallèles dans la vue Naviguer pour concentrer la procédure d'enquête sur des associations de clés et valeurs méta qui peuvent indiquer que des événements sont anormaux et méritent une procédure d'enquête.

Le graphique de coordonnées parallèles est une façon de visualiser le point actuel de recherche verticale dans Investigation afin d'examiner plus de deux clés méta de manière simultanée. Visualiser plusieurs clés méta simultanément peut aider à identifier les problèmes de sécurité associés aux modèles et comparaisons à plusieurs variantes, comme lorsque les valeurs et clés méta ne posent pas de problème de manière individuelle mais présentent une relation ou un modèle anormal lorsqu'elles sont combinées. 

Bonnes pratiques pour des graphiques de coordonnées parallèles efficaces

Pour créer des graphiques de coordonnées parallèles efficaces, suivez ces recommandations :

  • Commencez à partir d'un point de recherche verticale dans la vue Naviguer, plutôt que d'essayer de visualiser toutes les données. 
  • Limitez la période si nécessaire.
  • Choisissez l'ensemble utile de clés méta le plus réduit pour afficher en tant qu'axes. 
  • Spécifiez la séquence d'axes pour souligner les anomalies entre les valeurs méta alors que vous suivez une ligne dans le graphique.
  • Vous pouvez identifier un ensemble utile de clés méta et une séquence, et créer un groupe méta personnalisé à utiliser lors de procédures d'enquête futures. Par exemple, vous pouvez créer un groupe méta personnalisé pour le type de fichiers Exécutables Windows.
  • Importez des groupes méta personnalisés, distribués par RSA via la communauté RSA.
  • Réutilisez et partagez des groupes méta personnalisés en important et exportant des groupes en tant que fichiers .jsn.
  • Il s'avère utile de créer deux versions de chaque groupe méta personnalisé. Une version pour l'analyse des métavaleurs et une autre pour la création d'un graphique de coordonnées parallèles en s'attachant à un sous-ensemble de plus petite taille pour le même cas d'utilisation.

Remarque : Lors de l'importation de groupes méta dans Security Analytics Server, Security Analytics affiche un message d'erreur si l'un des groupes existe déjà dans Security Analytics.  Pour importer un groupe qui est un réplica, vous devez d'abord supprimer le groupe existant. Si vous souhaitez supprimer un groupe méta, il ne peut pas être utilisé par un profil.

Pour vous aider à élaborer des graphiques de coordonnées parallèles de meilleure qualité, Security Analytics 10.5 et versions supérieures comprend plusieurs optimisations.

  • Les analystes peuvent spécifier que le graphique n'illustre que les sessions contenant toutes les clés méta.
  • L'administrateur peut augmenter le nombre de métavaleurs affichées dans les Paramètres de coordonnées parallèles, dans la vue Système d'administration.

Groupes méta RSA pour des exemples d'utilisation de coordonnées parallèles

Un ensemble de groupes méta personnalisés est disponible via la communauté RSA en tant que fichier jsn : MetaGroups_ootb_w_query.jsn. Pour commencer à utiliser des groupes méta configurés par RSA pour mettre l'accent sur certaines activités, vous pouvez importer ce fichier .jsn file dans la boîte de dialogue Gérer les groupes méta. Voici certaines des activités ciblées se prêtant bien aux visualisations de coordonnées parallèles :

  • Balisage de botnets
  • Canaux de conversion
  • E-mail
  • Sessions chiffrées
  • Analyse de fichiers
  • Malware Analysis
  • Fichiers de requêtes
  • Hôtes de requêtes
  • IP de requêtes
  • E-mail de requêtes
  • Utilisateurs de requêtes
  • Web de requêtes
  • Attaques d'injection SQL
  • Analyse des menaces
  • Analyse Web

Afficher la visualisation des coordonnées parallèles

À partir d'une procédure d'enquête dans Investigation > vue Naviguer :

  1. Si le panneau Visualisation, au-dessus du panneau Valeurs, est fermé, sélectionnez Visualisation.
  2. Dans la barre d'outils, sélectionnez Utiliser le groupe méta > Analyse de fichiers.
  3. Dans le panneau Valeurs, dans la clé méta Empreinte approfondie, cliquez sur windows_executable, puis sur javascript pour lire le fil d'Ariane filetype = 'windows_executable' | filetype = 'javascript'.
    PCprocValues.png
  4. La visualisation par défaut pour le point actuel de recherche verticale s'affiche sous forme de chronologie.
    PCVisDef.png
  5. Dans le panneau Visualisation, sélectionnez Options.
    La boîte de dialogue Options de visualisation s'affiche.
  6. Dans la liste déroulante Visualisation, sélectionnez Coordonnées et cliquez sur Appliquer.
    VisOptDga.png
    La visualisation est chargée. Dans cet exemple, 249 événements sont trouvés et 199 chemins uniques sont visualisés.
    PCVisanykeys.png

Sélectionner des clés méta pour la visualisation de coordonnées parallèles

Lorsque la visualisation de coordonnées parallèles est ouverte, procédez comme suit :

  1. Dans le panneau Visualisation, sélectionnez Options.
    La boîte de dialogue Options de visualisation s'affiche. Dans la barre d'outils, cliquez sur ic-info2.png pour afficher le nombre d'axes recommandé afin que la visualisation soit lisible. Lorsque le nombre recommandé de clés s'affiche, le nombre change en fonction de la taille de la fenêtre du navigateur. Si vous élargissez la fenêtre du navigateur, le nombre recommandé augmente.
    VisOptDgInfo.png
  2. Si vous souhaitez modifier la séquence des clés méta, faites glisser les clés méta vers le haut ou vers le bas, selon la séquence souhaitée. 
  3. Si vous souhaitez supprimer des clés méta, cliquez dans la zone de sélection, puis cliquez sur icon-remove.png.
    Les clés méta sont supprimées, mais le changement n'est pas appliqué.
  4. Si vous souhaitez revenir à l'état précédent, cliquez sur icon-revert.png.
    Toutes les clés méta que vous avez supprimées sont restaurées et tous les changements que vous avez réalisés sont supprimés.
  5. Pour sélectionner différentes clés méta, cliquez sur icon-add.png, sélectionnez À partir des clés méta par défaut, et, dans la liste déroulante, sélectionnez les clés méta.
    AddPCKeys.png
    Les clés sélectionnées sont répertoriées.
    AddKeysPCDg2.png
  6. Si vous souhaitez ajouter toutes les clés au groupe méta, vous ne pouvez pas ajouter de clés méta individuelles. Sélectionnez À partir des groupes méta, et sélectionnez un groupe dans la liste déroulante.
    AddPCGrps.png
    Les groupes méta sélectionnés sont répertoriés dans le champ.
  7. Sélectionnez la méthode pour l'ajout de clés ou groupes: Vous pouvez utiliser les options Remplacer la liste de clés actuelle, Ajouter à la liste actuelle de clés (à la fin) ou Insérer au début de la liste de clés actuelle.
    AddMeth.png
  8. Pour terminer la procédure, cliquez sur Ajouter.
    La boîte de dialogue Options de visualisation s'affiche avec les clés méta ou groupes que vous avez sélectionnés.
  9. Pour afficher le nouveau graphique de visualisation, cliquez sur Appliquer.
    PCVisanykeys.png

Optimiser la visualisation des coordonnées parallèles

  1. Pour optimiser la visualisation en supprimant des événements pour lesquels toutes les clés méta n'existent pas, sélectionnez Options.
    105PcOpt.png
  2. La boîte de dialogue Options de visualisation, sélectionnez Toutes les clés méta doivent exister dans un événement. Cliquez sur Appliquer.
    Le graphique qui en résulte est plus lisible et utile, et il contient généralement moins de chemins uniques.
    PCVisAllKeys.png
  3. Si vous souhaitez mettre en surbrillance un petit ensemble de points pour afficher le chemin de la ligne, de droite à gauche, cliquez sur un axe. Le curseur se change en réticule, que vous pouvez faire glisser pour sélectionner une ou plusieurs valeurs. Lorsque vous relâchez la souris, les lignes sont mises en surbrillance. Dans l'exemple ci-dessous, le type de service SLL est mis en surbrillance grâce à la zone grise.
    PCVisHighl.png
  4. Si vous souhaitez agrandir la visualisation, faites glisser le bord inférieur du panneau vers le bas, et agrandissez la fenêtre du navigateur en faisant glisser le bord droit.

Exemple de cas d'utilisation

Voici un exemple de visualisation des coordonnées parallèles des clés méta représentant des métadonnées de fichier dans une session. Il existe trois clés méta ou axes, de gauche à droite : Extensions, Empreinte approfondie et Nom de fichier avec des valeurs répertoriées le long de chaque axe. Les valeurs de l'axe Extension affichent l'extension du fichier et les valeurs de l'axe Empreinte approfondie sont des exécutables Windows. Généralement, le type de fichier correspond à l'empreinte approfondie attendue. Toutefois, il n'est pas normal qu'un fichier de type gif soit combiné à une empreinte exécutable Windows. Le type de fichier gif est sélectionné pour souligner les corrélations entre ce type de fichiers (x86pe) et deux noms de fichiers dans le troisième axe, de façon à ce que l'analyste puisse identifier rapidement les fichiers devant faire l'objet d'une procédure d'enquête.

Pour atteindre cette vue :

  1. Classer par valeur et Trier par ordre croissant.
  2. Appliquez deux filtres (file type = 'windows executable' and extension = 'gif') dans la vue Naviguer pour limiter la quantité de données.
  3. Configurez un graphique de coordonnées parallèles en choisissant trois axes : extension de fichier, empreinte approfondie et nom de fichier.
    invsamp.png

Exemple de visualisation d'un ensemble étendu de données

Cet exemple de visualisation de coordonnées parallèles, appliqué à un ensemble plus important de données, illustre plusieurs messages pouvant aider l'analyste à comprendre la représentation du graphique.

  • Pour créer un graphique, Security Analytics commence par analyser les métavaleurs et renvoyer des résultats. Une période type peut contenir jusqu'à 10 000 000 métavaleurs. Lorsque le nombre de métavaleurs renvoyées atteint la Limite de résultat de valeurs méta, le graphique est généré même si Security Analytics n'a pas analysé un nombre de métavaleurs équivalent à la Limite d'analyse de valeurs méta. 
  • Il existe une limite fixe pour la quantité de données qui peut être affichée sous la forme d'un graphique de coordonnées parallèles. Dans Security Analytics 10.4 et versions antérieures, la limite se base sur le nombre d'axes, multiplié par les valeurs des données :1 000 x le nombre d'axes pour protéger les performances, mais dans Security Analytics 10.5 et versions supérieures, l'administrateur configure les limites de coordonnées parallèles dans les paramètres d'Investigation, sous Administration > vue Système.

PCVisanykeys.png

Avec un ensemble important de données, le traitement du graphique de coordonnées parallèles est plus long que l'ensemble réduit de données et clés méta. Pour préserver les performances, Security Analytics génère les métavaleurs à partir du panneau Valeurs ci-dessous jusqu'à ce que les limites fixées par l'administrateur soient atteintes. Un message d'information indique : Seul un sous-ensemble d'événements s'affiche.

Sur toutes les données visualisées pour 249 événements, il n'y a eu que 199 chemins de coordonnées parallèles uniques. Certains événements sont inclus bien qu'ils ne contiennent pas certaines clés méta. Le libellé Inexistant indique que les méta n'existent pas dans cet événement.

You are here
Table of Contents > Mener une procédure d'enquête > Filtrer les informations dans la vue Naviguer > Visualiser des métadonnées en tant que coordonnées parallèles

Attachments

    Outcomes