ATD : Configurer la détection automatisée des menaces pour les domaines suspects

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique présente aux administrateurs et analystes la procédure à suivre pour configurer un module de domaines suspects dédié à la fonction de détection automatisée des menaces de NetWitness Suite. La fonction de détection automatisée des menaces vous permet d’analyser les données qui résident sur un ou plusieurs services Concentrator en utilisant des modules ESA Analytics préconfigurés. Par exemple, en utilisant un module de domaines suspects, un service ESA Analytics peut examiner votre trafic HTTP pour déterminer la probabilité que des activités malveillantes se produisent dans votre environnement.

Deux types de modules de domaines suspects préconfigurés sont disponibles dans NetWitness Suite : Commande et Contrôle (C2) pour les paquets et C2 pour les logs. Le module de domaines suspects définit un sous-ensemble d'événements et les activités exécutées sur ces événements pour identifier les domaines C2 suspects.

Avant de déployer un module ESA Analytics pour la fonction de détection automatisée des menaces, il importe de noter que de nombreuses configurations d’installation potentielles peuvent être installées sur le service ESA, notamment : ESA Analytics, les règles de corrélation ESA et Context Hub. Chacune de ces configurations utilise des ressources et il importe donc de penser à effectuer un dimensionnement avant de déployer la fonction de détection automatisée des menaces sur votre service ESA.

Conditions préalables

  • Si vous utilisez des données de paquet, vous devez avoir configuré un service Decoder pour les données de paquet HTTP. En outre, vous devez avoir configuré un parser HTTP Lua ou Flex.
  • Si vous utilisez des données de fichiers logs de proxy Web, vous devez avoir configuré le service Log Decoder approprié avec le parser correct pour votre proxy Web.
  • Si vous utilisez des données de fichiers logs de proxy Web, vous devez avoir effectué une mise à jour vers les parsers de logs les plus récents. Les parsers suivants sont pris en charge : Blue Coat Cache Flow (cacheflowelff), Cisco IronPort WSA (ciscoiportwsa) et Zscaler (zscalernss).
  • Si vous utilisez des données de fichiers logs de proxy Web et que vous souhaitez obtenir de meilleurs résultats, vous devez configurer tous les proxys Web de la même manière (les définir sur le même fuseau horaire, utiliser la même méthode de collecte (syslog ou de traitement par lots). Pour la méthode de traitement par lots, vous devez utiliser la même cadence de traitement par lots).
  • Une connexion entre l’hôte ESA et le service Whois (même emplacement que RSA Live cms:netwitness.com:443) doit être ouverte sur le port 443. Vérifiez auprès de votre administrateur système que cette opération est terminée.
  • Pour ajouter un domaine à la liste blanche, vous devez activer le service Context Hub.

Important : La fonction de détection automatisée des menaces nécessite une période de préparation qui acclimate l’algorithme au trafic sur votre réseau. Vous devez prévoir de configurer la fonction de détection automatisée des menaces de telle manière que la période de préparation puisse s’exécuter pendant le trafic normal. Par exemple, le fait de démarrer la fonction de détection automatisée des menaces un mardi à 8 h 00 dans le fuseau horaire qui contient la majorité de vos utilisateurs permet au module d’analyser avec précision une journée de trafic normal.

Configurer la fonction de détection automatisée des menaces pour les domaines suspects

Cette procédure fournit les étapes nécessaires à la configuration d’un module de domaines suspects ESA Analytics pour la fonction de détection automatisée des menaces. Les modules ESA Analytics, tels que les modules de domaines suspects, sont considérés comme préconfigurés, car vous n’êtes pas obligé de créer manuellement des règles ESA pour eux.

Les étapes de base nécessaires sont les suivantes :

  1. Configurer les paramètres de log (pour les logs uniquement). Pour utiliser la fonction de détection automatisée des menaces, vous devez définir quelques paramètres. Ignorez cette étape si vous prévoyez d’utiliser cette fonction pour les paquets.
  2. Créez une liste blanche (facultatif) à l'aide du service Context Hub. En créant une liste blanche, vous vous assurez que les sites couramment visités sont exclus de l'évaluation effectuée par la fonction de détection automatisée des menaces.
  3. Configurez le service de recherche Whois. Le service de recherche Whois vous permet d'obtenir des données précises sur les domaines auxquels vous vous connectez. Afin de garantir une évaluation efficace, il importe de configurer ce service. Vérifiez que le service Whois est accessible à partir de votre environnement.
  4. Mappez des sources de données aux modules ESA Analytics. Vous pouvez définir la manière dont la fonction de détection automatisée des menaces de NetWitness Suite doit détecter automatiquement les menaces avancées en mappant un module ESA Analytics préconfiguré à plusieurs sources de données, telles que les services Concentrator et un service ESA Analytics.
  5. Vérifiez que la règle d’incident C2 est activée et surveillez-la pour repérer l’activité. Après le mappage de votre module de domaines suspects, un laps de temps est requis pour que l’algorithme de notation se mette en route. Après la période de préparation, vérifiez que la règle C2 est activée dans les règles de l’incident et surveillez si elle se déclenche. 
  6. Vérifiez que les règles de l’incident sont correctement configurées. Lorsque vous affichez les incidents dans la vue Répondre, il est judicieux de les regrouper par C&C suspect.

Étape 1 : (Pour les logs uniquement) Configurer les paramètres de log

Pour configurer la fonction de détection automatisée des menaces pour les logs, vous devez effectuer quelques étapes de configuration supplémentaires :

  • Vérifiez que les parsers pris en charge sont activés pour votre service Log Decoder.
  • Obtenez les dernières versions du parser de proxy Web approprié à partir de RSA Live.
  • Mettez à jour le mappage dans le fichier de configuration Envision. Ce fichier est nécessaire pour mettre à jour le service Log Decoder afin qu’il fonctionne avec les nouvelles métadonnées disponibles via les parsers.
  • Vérifiez que le fichier table-map.xml a été mis à jour correctement.
  • Vérifiez que les index ont été mis à jour correctement.

Pour vérifier que vos parsers sont en cours d’exécution sur votre service Log Decoder :

  1. Accédez à ADMIN Services.
  2. Sélectionnez votre Log Decoder, puis Actions icon > Vue > Config
    La section Configuration des analyseurs de service affiche la liste des parsers activés.
  3. Vérifiez que le parser de proxy Web approprié est activé.

Log Decoder Configuration for Parsers

Pour obtenir les derniers parsers à partir de RSA Live :

  1. Accédez à CONFIGURER > Live Content.
  2. Saisissez un terme de recherche pour l’un des parsers de proxy Web pris en charge.
  3. Sélectionnez le parser de proxy Web approprié [par exemple, le parser Blue Coat ELFF (cacheflowelff)].
  4. Remarque : Vous devez avoir suivi les étapes de configuration de la consignation de manière à ce qu’elle s’effectue correctement sur votre parser de proxy Web.

  5. Cliquez sur Déployer.
    L’assistant de déploiement s’ouvre.
    Deployment Wizard
  6. Sous Services, sélectionnez le service Log Decoder.
  7. Cliquez sur Déployer pour déployer le parser sur votre Log Decoder.

Pour obtenir le dernier fichier de configuration Envision, procédez comme suit :

  1. Accédez à CONFIGURERLive Content.

  2. Saisissez envision comme mot clé pour effectuer la recherche.
  3. Sélectionnez le dernier fichier de configuration Envision, puis cliquez sur Déployer.
    Live showing Envision Configuration File
  4. Dans l’assistant de déploiement, sous Services, sélectionnez votre service Log Decoder.
  5. Cliquez sur Déployer pour déployer le fichier de configuration Envision vers le Log Decoder.

Pour vérifier que le fichier de configuration Envision a été mis à jour correctement :

  1. Accédez à ADMIN > Services, sélectionnez le service Log Decoder, puis l’onglet Actions icon > Vue > Config > Fichiers.
    Le fichier table-map.xml est visible. Ce fichier est modifié lorsque vous mettez à jour le fichier de configuration Envision.
  2. Recherchez le terme event.time. Le champ doit désormais afficher "event.time" flags ="None". Cela signifie que la métadonnée event.time est désormais incluse dans le mappage. De même, l’indicateur de nom de domaine complet doit être défini sur « None ».

Pour vérifier que les index du fichier index-concentrator.xml ont été mis à jour :

Vous devez vérifier que le fichier index-concentrator.xml comprend la métadonnée event.time et celle de nom de domaine complet.

  1. Accédez à ADMINServices, sélectionnez votre service Concentrator, puis sélectionnez Actions icon > Vue > Config
  2. Sous l’onglet Fichiers, recherchez le fichier index-concentrator.xml.
  3. Vérifiez que l’entrée suivante existe dans le fichier index-concentrator.xml. Si ce n’est pas le cas, vous devez vérifier que votre Concentrator a été mis à niveau vers la version correcte :

<key description="FQDN" level="IndexValues" name="fqdn" format="Text" valueMax="100000" defaultAction="Open"/><key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="0" />

Custom Index

Étape 2 : Créer une liste blanche Domaines (facultatif)

Cette procédure est appliquée lors de l'utilisation de la fonction de détection automatisée des menaces afin de garantir que certains domaines ne déclenchent pas d'indice de menace. Parfois, un domaine auquel vous accédez régulièrement peut déclencher un score de détection automatisée des menaces. Par exemple, un service météorologique peut avoir un comportement de beaconing similaire à celui d'une communication de commande et contrôle et déclencher alors un indice négatif non garanti. Dans ce cas, il s'agit d'un faux positif. Pour empêcher le déclenchement d'un faux positif avec un domaine spécifique, vous pouvez ajouter ce domaine à une liste blanche. La plupart des domaines n'ont pas besoin d'être ajoutés à une liste blanche, car la solution n'émet d’alertes que pour les comportements très suspects. Les domaines que vous pouvez ajouter à une liste blanche sont des services automatisés valides qui possèdent peu de connexions hôtes.

Remarque : Pour les migrations à partir de la version 10.6.x, si votre liste blanche précédente de détection automatisée des menaces (domaines sur liste blanche) s’affiche sous l’onglet Listes, vous pouvez la renommer domains_whitelist pour l’utiliser avec les modules de domaines suspects.

  1. Créer une liste blanche de domaines dans Context Hub nommée domains_whitelist:
    1. Accédez àADMIN > Services, sélectionnez le service Context Hub Server, puis Vue > Config > Listes.
      L’onglet Listes affiche les listes actuelles présentes dans le service Context Hub.
      Context Hub Server service View > Config > Lists tab
    2. Dans le panneau Listes, cliquez sur Add icon pour ajouter une liste. Dans le champ Nom de la liste, saisissez domains_whitelist. Vous devez utiliser ce nom pour que le module puisse identifier la liste.
      List tab showing domains_whitelist created
  2. Ajoutez manuellement des domaines à la liste ou importez un fichier .CSV contenant une liste de domaines.
    Vous pouvez saisir des domaines complets, ou vous pouvez utiliser un caractère générique pour inclure tous les sous-domaines d’un domaine donné. Par exemple, vous pouvez saisir *.gov pour ajouter à la liste blanche toutes les adresses IP de l’administration. Toutefois, vous ne pouvez pas utiliser d’autres fonctions de regex, par exemple [a-z]*.gov. En effet, si vous utilisez *.gov, la chaîne entière, par exemple www.irs.gov, est remplacée.
    1. Pour ajouter des domaines manuellement, dans la section Valeurs de la liste , cliquez sur Add icon pour ajouter des domaines.
    2. Pour supprimer un domaine, sélectionnez-le et cliquez sur Delete icon.
    3. Pour importer un fichier .CSV, dans la section Valeurs de la liste, cliquez sur Import icon et, dans la boîte de dialogue Importer les valeurs de la liste, accédez au fichier .CSV. Choisissez parmi les séparateurs suivants : Virgule, Saut de ligne et Retour chariot en fonction du séparateur que vous avez choisi pour séparer les valeurs. Cliquez sur Télécharger
  3. Cliquez sur Enregistrer.
    La liste domains_whitelist s’affiche dans le panneau Listes. Les analystes peuvent ajouter des éléments à cette liste dans la vue Répondre et d’autres parties de la procédure d’enquête. Le Guide de configuration de Context Hub fournit des informations supplémentaires.

Étape 3 : Configurer le service de recherche Whois

Consultez la rubrique « Configurer le service de recherche Whois » dans le Guide de configuration ESA.

Étape 4 : Mapper des sources de données à des modules ESA Analytics

Consultez la rubrique « Mappage des sources de données ESA aux modules Analytics » dans le Guide de configuration ESA.

Étape 5 : Vérifier que la règle Commande et contrôle suspect par domaine est activée et surveiller la règle

Vérifiez la règle Commande et contrôle suspect par domaine dans les règles de l’incident.

  1. Accédez à CONFIGURER > Règles de l’incident > Règles d’agrégation.
  2. Sélectionnez la règle Communication de commande et contrôle suspect par domaine, et double-cliquez dessus pour l'ouvrir. 
    Enable Incident Rule
  1. Vérifiez que Activé est sélectionné.

Une fois que la règle est activée, elle est repérée par un bouton Activé vert.

Résultat

Une fois que vous avez déployé le mappage du module ESA Analytics de domaines suspects pour la fonction de détection automatisée des menaces, votre service ESA commence à effectuer l’analytique sur le trafic HTTP. Vous pouvez afficher des informations détaillées sur chaque incident dans la vue Répondre.

Étape 6 : Vérifier que l’incident est regroupé par C&C suspect

Pour regrouper des incidents correctement dans la vue Répondre, définissez la condition Regrouper par sur Domaine.

  1. Accédez à CONFIGURER > Règles de l’incident > Règles d’agrégation.
  2. Sélectionnez la règle Communication de commande et contrôle suspect par domaine, et double-cliquez dessus pour l'ouvrir. 
  3. Vérifiez que le champ Regrouper par est défini sur Domaine.

    Cette option permet de regrouper les alertes et de créer des incidents pour « C&C suspect ».

Étapes suivantes

Surveiller la vue Répondre pour voir si la règle se déclenche. Le Guide d’utilisation de NetWitness Respond fournit des informations supplémentaires.

You are here
Table of Contents > Configurer la détection automatique des menaces pour les domaines suspects

Attachments

    Outcomes