ATD : Détection automatisée des menaces avec NetWitness Suite

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness® Suite La détection automatisée des menaces utilise des modules ESA Analytics préconfigurés pour identifier des types de menaces spécifiques. Un module ESA Analytics est un pipeline composé d'objets d'activité qui enrichissent un événement avec des informations supplémentaires via des calculs mathématiques. Les modules ESA Analytics résident dans les services ESA Analytics. Les services ESA Analytics utilisent l’agrégation basée sur la requête (QBA) pour collecter des événements filtrés pour les modules à partir des Concentrators. Seules les données requises par un module sont transférées entre le service Concentrator et le système ESA Analytics.

Il existe deux services ESA pouvant s’exécuter sur un hôte ESA :

  • Event Stream Analysis (règles de corrélation ESA)
  • Event Stream Analytics Server (ESA Analytics)

Le premier service est le service Event Stream Analysis qui crée des alertes à partir de règles ESA, également appelé ESA Correlation Rules, que vous créez manuellement ou téléchargez à partir de Live. Le deuxième service est le service ESA Analytics, qui est utilisé pour la détection automatisée des menaces. Étant donné que le service ESA Analytics utilise des modules préconfigurés pour la détection automatisée des menaces, vous n’avez pas besoin de créer ou de télécharger des règles pour utiliser la détection automatisée des menaces.

La détection automatisée des menaces NetWitness Suite dispose actuellement de deux modules Domaines suspects, Commande et contrôle (C2) pour les paquets et C2 pour les logs.

Étant donné que chaque module ESA Analytics possède différentes exigences de données, vérifiez que toutes les exigences spécifiques au module sont remplies avant de déployer un module pour la détection automatisée des menaces.

Détection automatique des menaces pour les domaines suspects

Le module Domaines suspects examine votre trafic HTTP pour détecter les domaines susceptibles d'être des serveurs de commande et contrôle de malware se connectant à votre environnement. Une fois que la détection automatisée des menaces NetWitness Suite examine votre trafic HTTP, il génère des scores basés sur différents aspects du comportement de votre trafic (comme la fréquence et la régularité à laquelle un domaine donné est contacté). Si ces scores atteignent un seuil précis, une alerte ESA est générée. Cette alerte ESA est dirigée vers la vue Répondre. L'alerte dans la vue Répondre est complétée par des données qui vous aident à interpréter les scores afin de déterminer quelles étapes prendre pour la correction. 

Les modules de Domaine suspect de la détection automatisée des menaces proposent des scores pour détecter les communications de commande et contrôle. Les communications de commande et contrôle se produisent lorsque du malware a compromis un système et renvoie des données à une source. Souvent, le malware de commande et contrôle peut être détecté grâce à un comportement de balisage. Le balisage se produit lorsque le malware envoie des communications régulières au serveur de commande et contrôle afin de le notifier qu'une machine a été compromise et qu'il attend de nouvelles instructions. La capacité à intercepter le malware à ce moment de la compromission peut empêcher tout dommage supplémentaire sur la machine compromise, et elle est considérée comme une étape critique dans le processus d'éradication.  

La détection automatisée des menaces NetWitness Suite résout plusieurs problèmes qui se produisent lors de la recherche des programmes malveillants :

  • Capacité à utiliser des algorithmes plutôt que des signatures. Parce que de nombreux créateurs de malware ont commencé à utiliser des segments de code polymorphique ou chiffré dont la signature est très difficile à créer, il est possible que cette approche ne détecte pas le malware. Parce que la détection automatisée des menaces NetWitness Suite utilise un algorithme basé sur le comportement, elle est capable de détecter le malware plus rapidement et plus efficacement.
  • Capacité à automatiser la chasse aux données. La recherche manuelle dans les données est une méthode efficace mais extrêmement chronophage de trouver du malware. L'automatisation de ce processus permet à un analyste d'utiliser son temps plus efficacement. 
  • Capacité à trouver rapidement une attaque. Au lieu de regrouper les données par lot puis de les analyser, la détection automatisée des menaces analyse les données au moment de leur ingestion dans NetWitness Suite, ce qui permet une détection des attaques en temps presque réel. 

Workflow du module Domaines suspects

La détection automatisée des menaces NetWitness Suite fonctionne comme un système de filtrage. Elle vérifie si certains comportements se produisent (ou si certaines conditions existent), et si ce comportement ou cette condition se produit, elle passe à l'étape suivante du processus. Cela améliore l'efficacité du système et libère des ressources de façon à ce que les événements qui ne s'avèrent pas dangereux ne soient pas retenus dans la mémoire. Le diagramme suivant propose une version simplifiée du workflow du module Domaines suspects. 

Workflow C2

1.) Les paquets ou logs sont acheminés vers ESA. Les paquets ou logs HTTP sont analysés par le Decoder ou le Log Decoder et envoyés vers l’hôte ESA.

2.) La liste blanche est vérifiée. Si vous avez créé une liste blanche via le Context Hub, ESA vérifie la liste pour éliminer des domaines. Si le domaine d'un événement est répertorié sur la liste blanche, l'événement est ignoré.

3.) Le profil du domaine est vérifié. La détection automatisée des menaces vérifie pour savoir si le domaine est nouveau (environ trois jours), s'il dispose de peu de connections IP source, de nombreuses connexions sans référent ou de connexions avec un agent utilisateur rare.  Si une ou plusieurs de ces conditions sont vraies, le domaine est ensuite vérifié par des balisages périodiques.

4.) Le domaine est vérifié par un balisage périodique. Le balisage se produit lorsque le malware envoie des communications régulières au serveur de commande et contrôle afin de le notifier qu'une machine a été compromise et qu'il attend de nouvelles instructions. Si le site présente un comportement de balisage, les informations d'enregistrement du domaine sont vérifiées. 

5.) Les informations d'enregistrement sont vérifiées. Le service Whois est utilisé pour savoir si le domaine a été enregistré récemment ou s'il est sur le point d'expirer. La durée de vie très courte d'un domaine est caractéristique du malware. 

6.) Scores d'agrégation de commande et contrôle (C2). Chacun de ces facteurs génère un score individuel qui est pondéré pour indiquer différents niveaux d'importance. Les scores pondérés déterminent si une alerte doit être générée. Si une alerte est générée, les alertes agrégées apparaissent dans la vue Répondre et peuvent ensuite être examinées plus en détail. Lorsque les alertes commencent à apparaître dans la vue Répondre, elles continuent à s'agréger sous l'incident associé. Cela facilite le triage de nombreuses alertes qui peuvent être générées lors d'un incident de commande et contrôle. 

Les analystes peuvent afficher les alertes dans la vue Répondre.

Détection automatisée des menaces de domaines suspects sur des paquets ou logs de proxy Web

RSA NetWitness Suite vous offre la possibilité d’effectuer la détection automatisée des menaces pour les domaines suspects à l’aide de deux paquets ou de logs de proxy Web. Alors que les données de paquets peuvent être transmises directement à partir du réseau dans l’installation NetWitness Suite et analysées directement, si vous avez la possibilité d’utiliser un proxy Web dans votre installation, cela peut être bénéfique. Certaines installations utilisant la traduction de réseau ou le chiffrement SSL, l’IP source réel d’une connexion sortante peut être masqué si vous l’observez au niveau du paquet. En utilisant un proxy Web, vous pouvez bénéficier de sa capacité à accélérer et à déchiffrer le trafic SSL, ainsi que de sa capacité à analyser les adresses IP source réelles du trafic qu’il surveille.

Les deux domaines suspects pour les paquets (C2 pour les paquets) et les domaines suspects pour les logs (C2 pour les logs) doivent produire les mêmes résultats. Du point de vue des résultats, l’utilisation de l’un plutôt que de l’autre n’apporte aucun avantage réel.

You are here
Table of Contents > Détection automatisée des menaces avec NetWitness Suite

Attachments

    Outcomes