Investigation : Fonctionnement de la procédure d'enquête

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Le module Investigation offre aux analystes la possibilité d'analyser des données dans Security Analytics et d'identifier d'éventuelles menaces internes ou externes à la sécurité et à l'infrastructure IP.

Données et métadonnées de la procédure d'enquête

Security Analytics audite et surveille l'ensemble du trafic sur un réseau. Dans le réseau RSA, les modules Decoder reçoivent, analysent et stockent les paquets et les logs traversant le réseau. Les modules Concentrator stockent les métadonnées qui sont générées par les analyseurs et les feeds car les modules Decoder reçoivent les paquets et les logs. Dans la majorité des environnements, toutes les requêtes de procédure d'enquête, Event Stream Analysis (ESA), Malware Analysis (MA) et Reporting Engine (RE) sont traitées dans le module Concentrator. La première interaction de l'analyste concerne les métadonnées. Le module Concentrator gère la plupart des requêtes, en accédant uniquement à Decoder lorsqu'une reconstruction complète des sessions ou des logs bruts est nécessaire. ESA, Malware Analysis et Reporting Engine interrogent également le Concentrator, sur lequel ils peuvent obtenir rapidement toutes les métadonnées pertinentes associées à un événement et générer des informations à ce sujet sans avoir à accéder à chaque Decoder.

Remarque : Bien qu'une appliance hybride peut effectuer la fonction de Concentrator, une appliance Concentrator distincte est nécessaire pour tous les environnements volumineux qui nécessitent davantage de bande passante ou d'événements par seconde (EPS). L'appliance Concentrator dispose d'une organisation de stockage qui utilise des disques SSD pour l'index, ce qui augmente les performances de lecture.

Méthodes d'analyse

Les analystes peuvent enquêter sur les données capturées, ouvrir des résultats de requête provenant d'autres modules Security Analytics dans une procédure d'enquête, et importer des données en provenance d'autres sources de collecte. Au cours d'une procédure d'enquête, les analystes peuvent se déplacer de manière transparente entre les trois vues de la procédure d'enquête : Les vues Naviguer, Évènements et Malware Analysis.

Remarque : Des rôles d'utilisateurs et des autorisations spécifiques sont requis pour qu'un utilisateur puisse mener des procédures d'enquêtes et des analyses de programmes malveillants dans Security Analytics. Si vous ne pouvez pas réaliser de tâche d'analyse ou afficher une vue, il se peut que l'administrateur doive ajuster les rôles et autorisations configurés pour vous.

Les analystes utilisent des procédures d'enquêtes pour chercher des incidents en vue de diriger leur workflow ou pour réaliser une analyse stratégique après la génération d'un événement par un autre outil. Dans les deux cas, les analystes examinent les métadonnées ou les font pivoter pour filtrer le nombre de logs et de paquets et voir ainsi les événements suspects, tout en se concentrant sur certaines combinaisons de métadonnées qui mènent à l'incident.

Vue Naviguer

La vue Naviguer offre la possibilité d'examiner des données et d'effectuer des requêtes dans un service Security Analytics. Chaque situation est unique en termes de types d'informations que l'analyste tente de rechercher. La procédure d'enquête présente le contenu des paquets ou des logs capturés comme une collection dans la vue de navigation. Les clés méta définies sont interrogées, et les valeurs sont retournées avec le nombre de sessions. Cliquer sur une valeur à un niveau donné révèle les résultats en détail.

Par exemple, en cas de souci concernant un trafic suspect avec des pays étrangers, la clé méta du pays de destination révèle toutes les destinations et la fréquence du contact. Naviguer dans ces valeurs permet d'obtenir les détails du trafic, tels que l'adresse IP de l'expéditeur et le destinataire. La vérification d'autres métadonnées peut exposer la nature des pièces jointes échangées entre les deux adresses IP. La reconstruction de l'événement peut révéler le contenu des conversations.

Vue Événements

La vue Événements fournit une vue des événements sous forme de liste afin que vous puissiez les afficher et les reconstituer en toute sécurité. Vous pouvez ouvrir la vue Événements pour une valeur méta dans un point d'extraction actuel de la vue de navigation. Pour les analystes sans privilèges suffisants pour naviguer dans un service, la vue Événements est une vue de procédure d'enquête autonome dans laquelle les analystes peuvent accéder à une liste de réseaux et consigner des événements à partir d'un service Security Analytics Core sans avoir à effectuer d'abord une recherche verticale à travers la méta.

La vue Événements présente des informations concernant l'événement sous trois formes standards : une simple liste restrictive d'utilisation de grille d'événements, une liste restrictive d'utilisation détaillée des événements et une vue du log. En plus des formulaires standard, vous pouvez créer un groupe de colonnes personnalisé de clés méta sélectionnées, puis attribuer le groupe de colonnes personnalisé à un profil personnalisé pour afficher la liste des événements. Une fois créés, les groupes de colonnes et les profils personnalisés peuvent être sélectionnés depuis une liste déroulante.

Dans la vue Événements, vous pouvez :

  • Reconstruire un événement à partir de la liste des événements.
  • Utiliser les profils des procédures d'enquête pour associer les différents paramètres de ces dernières en ensembles sélectionnables, importer et exporter des métagroupes d'enquêteur, importer et exporter des groupes de colonnes d'enquêteur.
  • Exporter des événements et des fichiers associés.

Vue Analyse de malware

La vue Malware Analysis fournit un moyen d'analyser certains types d'objets de fichiers (par exemple, Windows PE, PDF et Microsoft Office) pour évaluer la probabilité qu'un fichier est malveillant. L'analyste de malware peut valoriser les modules d'évaluation à plusieurs niveaux pour hiérarchiser le nombre massif de fichiers capturés afin de concentrer les efforts d'analyse sur les fichiers qui sont plus susceptibles d'être malveillants.

You are here
Table of Contents > Fonctionnement de la procédure d'enquête

Attachments

    Outcomes