Investigation : Associer des événements à partir de sessions partagées

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Les analystes peuvent identifier les sessions qui ont été fractionnées en raison de leur taille dans la vue Événements, et de combiner les sessions fragmentées de sorte que la session complète soit visible sous la forme d'un résultat de requête unique dans la vue Événements. Lorsque des sessions partagées sont rassemblées, une exportation de paquet de la session dans la vue Événements comprend tous les fragments de session.

La version 10.4 et les versions antérieures des composants Decoder sont configurées avec une taille de session par défaut de 32 Mo. Lorsqu'une session dépasse la limite de 32 Mo, le Decoder fragmente la session pour que tous les paquets suivants fassent partie d'une nouvelle session, ce qui fragmente réellement la session réseau en plusieurs sessions Decoder. Les sessions fractionnées sont analysées sans tenir compte du fait qu'il s'agit d'un fragment de la plus grande session réseau, entraînant parfois des fragments de session avec des adresses et des ports source et de destination inversés et avec des protocoles d'application non identifiés. L'autre conséquence des sessions fractionnées peut être la difficulté à afficher tous les fragments de session sous la forme d'un résultat de requête unique, ou de créer un export de paquet unique de tous les fragments de session.

Les améliorations apportées au Decoder dans Security Analytics 10.5 fournissent un meilleur traitement des sessions fragmentées :

  • Analyse contextuelle des fragments.
  • Mise en évidence des fragments de session.
  • Recherche des fragments de session.
  • Exportation de tous les paquets sous forme de fichier PCAP unique.

Analyse contextuelle des fragments

Dans Security Analytics version 10.5 et ultérieure, le Decoder effectue l'analyse de la session avant de la fractionner en fonction de la taille de session maximale configurée (32 Mo) ou du délai d'attente configuré (60 secondes). Une fois l'analyse terminée, les résultats obtenus indiquent la direction d'adresse et le protocole d'application appropriés, qui sont propagés à chaque fragment de session suivant pour assurer la cohérence avec la session de réseau logique qu'ils représentent. 

Remarque : Tous les paramètres de configuration correspondants du Decoder sont modifiés lors de la mise à niveau vers la version  10.5. Cependant, le paramètre Rechercher des fragments de session exige que les clés méta des ports source tcp et udp (tcp.srcport et udp.srcport) soient entièrement indexés, ce qui n'était pas la configuration par défaut dans les versions antérieures à SA 10.5. Cela limite de manière fonctionnelle la capacité à rechercher des fragments de session dans les sessions capturées après la mise à niveau du Decoder vers la version 10.5.

Mise en évidence des fragments de session

Chaque fragment de session dispose d'un méta supplémentaire, session.split. La valeur du méta session.split pour un fragment de session donné indique le nombre de fragments qui précèdent ce fragment. Lors de l'affichage des sessions dans la vue Événements, le méta session.split identifie clairement les sessions qui sont des fragments dans la vue Liste des événements et la vue Détails des événements.

Le fractionnement de la session se produit lorsque le Decoder configuré assembler.size.max ou assembler.timeout.session (latence entre les sessions) est atteint. Le premier fragment est la session 0 et les sessions avec un horodatage ultérieur sont numérotées de manière incrémentielle : 1, 2, 3, etc. Le méta session.split indique le nombre de fragments de sessions précédents ; cependant, cela ne signifie pas toujours qu'il y a des fragments de session ultérieurs, même avec une valeur 0. Il est également possible que le premier fragment de la session n'ait pas de méta session.split si la session est analysée avant de dépasser la taille maximale de session.

En affichant les fragments de session, vous pouvez déterminer la taille maximale de la session ou la temporisation de session nécessaire pour l'analyse en vue de combiner les sessions fractionnées en une seule session. Par exemple, si vous avez quatre fragments de 32 Mo, vous devez configurer votre Decoder de test (généralement une machine virtuelle configurée distincte du service de production principal) avec une taille maximale de session supérieure à 128 Mo. Les étapes sont les mêmes que pour la recherche des fragments basée sur un délai d'expiration de session. Les figures ci-dessous montrent la vue Liste des événements et la vue Détails des événements avec des informations de sessions fragmentées en surbrillance.

Remarque : Une taille de session de 12 Mo maximum a été configurée au moment de la création des captures d'écran ci-dessous.

listview-highlight.png

detailsview-highlight.png

Les métadonnées session.split sont toujours affichées immédiatement après les métadonnées d'adresse et de port dans la vue Détails. Elles ne sont jamais masquées en tant que métadonnées supplémentaires.

Ces améliorations permettent d'effectuer les opérations suivantes rapidement :

  1. Identifier les sessions qui sont des fragments de sessions réseau.
  2. Afficher tous les fragments de session d'une session réseau avec un fragment de session unique.
  3. Exporter les paquets de toute la session réseau sous forme de fichier PCAP unique.

Rechercher et associer des fragments

Dans la vue Événements, vous pouvez rechercher les fragments d'une session à l'aide de l'option du menu contextuel Recentrer > Rechercher des fragments de session. Security Analytics crée une requête en utilisant les adresses et les ports source et de destination de la session sélectionnée pour afficher toutes les sessions qui correspondent à cette requête pour la période en cours. 

Pour rechercher des fragments de session :

  1. Dans la vue Investigation > Événements, cliquez avec le bouton droit sur l'une des valeurs d'adresses et de ports source et de destination : ip.src, ip.dst, ipv6.src, ipv6.dst, tcp.srcport, tcp.dstport, udp.srcport et udp.dstport), ainsi que les valeurs session.split.
    Le menu contextuel s'affiche.
    findfragments.png
  2. Sélectionnez Recentrer > Rechercher des fragments de session ou Recentrer le nouvel onglet > Rechercher des fragments de session.
    Security Analytics renseigne la liste des événements avec des fragments de session pour une session unique pour la période en cours. En fonction de l'option sélectionnée, le recentrage remplace l'affichage en cours ou s'ouvre dans un nouvel onglet. (Toutes les données sont utilisées dans ces exemples, mais elles ne sont pas recommandées sur les systèmes de production).
    EvListVwCropped.png
  3. Si nécessaire, ajustez la période pour inclure des fragments de session qui peuvent précéder ou suivre la période en cours. Vous pouvez définir que la période doit être étendue si les fragments se produisent à la limite du temps imparti, surtout si le premier fragment visible n'a pas la valeur de fraction 0 (aucune). Autrement, l'inspection des paquets de la dernière session visible peut vous amener à croire que la session continue. Voici un exemple :
    1. Si vous êtes à la recherche de fragments qui ne sont évidemment pas le premier fragment, par exemple, 1, 2, 3 et 4 entre 10:30 et 10:35, il devrait y avoir un fragment 0. Vous pouvez augmenter la période pour commencer plus tôt (dans ce cas, 10:25) pour trouver le fragment supplémentaire.
    2. Si la taille de la session du dernier fragment est proche de la taille maximale de session (12 Mo dans cet exemple), recherchez les fragments supplémentaires en augmentant la période en vue de repousser l'heure (dans cet exemple, 10:40).
      Lorsque tous les fragments de session d'une session réseau sont inclus dans une liste d'événements unique, la liste peut s'étendre sur plusieurs pages.
  4. (Facultatif) Pour exporter les paquets de chaque fragment de session sous forme de fichier PCAP unique, sélectionnez Actions > Exporter tous les PCAP.
    Un message vous informe que le PCAP est en cours de téléchargement. Lorsque le téléchargement est terminé, le fichier PCAP comprend toute la session réseau qui a été fragmentée.
You are here
Table of Contents > Mener une procédure d'enquête > Examiner des événements > Associer des événements à partir de sessions partagées

Attachments

    Outcomes