Enquêter : Visualiser des métadonnées en tant que coordonnées parallèles

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Les analystes peuvent utiliser la visualisation de coordonnées parallèles dans la vue Naviguer pour concentrer la procédure d'enquête sur des associations de clés et valeurs méta qui peuvent indiquer que des événements sont anormaux et méritent une procédure d'enquête.

Remarque : Dans la version 11.1 ou supérieure, chaque fois que les clés méta sont utilisées, vous pouvez également utiliser des entités méta configurées.

Le graphique de coordonnées parallèles est une façon de visualiser le point actuel de recherche verticale dans Investigation afin d'examiner plus de deux clés méta de manière simultanée. Visualiser plusieurs clés méta simultanément peut aider à identifier les problèmes de sécurité associés aux modèles et comparaisons à plusieurs variantes, comme lorsque les valeurs et clés méta ne posent pas de problème de manière individuelle mais présentent une relation ou un modèle anormal lorsqu'elles sont combinées. Les groupes méta (reportez-vous à la section Gérer les groupes méta) peuvent être utilisés efficacement pour définir une collection de clés méta que vous souhaitez visualiser en tant que coordonnées parallèles.

Bonnes pratiques pour des graphiques de coordonnées parallèles efficaces

Pour créer des graphiques de coordonnées parallèles efficaces, suivez ces recommandations :

  • Commencez à partir d'un point de recherche verticale dans la vue Naviguer, plutôt que d'essayer de visualiser toutes les données.
  • Limitez la période si nécessaire.
  • Choisissez l'ensemble utile de clés méta le plus réduit pour afficher en tant qu'axes.
  • Spécifiez la séquence d'axes pour souligner les anomalies entre les valeurs méta alors que vous suivez une ligne dans le graphique.
  • Vous pouvez identifier un ensemble utile de clés méta et une séquence, et créer un groupe méta personnalisé à utiliser lors de procédures d'enquête futures. Par exemple, vous pouvez créer un groupe méta personnalisé pour le type de fichiers Exécutables Windows.
  • Utilisez les groupes méta prêts à l'emploi RSA qui sont inclus dans une nouvelle installation.
  • Réutilisez et partagez des groupes méta personnalisés en important et exportant des groupes en tant que fichiers .jsn.
  • Il s'avère utile de créer deux versions de chaque groupe méta personnalisé. Une version pour l'analyse des métavaleurs et une autre pour la création d'un graphique de coordonnées parallèles en s'attachant à un sous-ensemble de plus petite taille pour le même cas d'utilisation.

Remarque : Lors de l'importation de groupes méta, un message d'erreur s'affiche si l'un des groupes existe déjà. Pour importer un groupe qui est un réplica, vous devez d'abord supprimer le groupe existant. Si vous souhaitez supprimer un groupe méta, il ne peut pas être utilisé par un profil.

Pour vous aider à élaborer des graphiques de coordonnées parallèles de meilleure qualité, NetWitness Suite et versions supérieures comprend plusieurs optimisations.

  • Les analystes peuvent spécifier que le graphique n'illustre que les sessions contenant toutes les clés méta.
  • L'administrateur peut augmenter le nombre de métavaleurs affichées dans les Paramètres de coordonnées parallèles, dans la vue Système d'administration.

Groupes méta RSA pour des exemples d'utilisation de coordonnées parallèles

Un ensemble de groupes méta prédéfinis est inclus avec NetWitness Suite. Si vous souhaitez obtenir la dernière version, vous pouvez importer le fichier de groupes méta, MetaGroups_ootb_w_query.jsn, dans la boîte de dialogue Gérer les groupes méta. Voici certaines des activités ciblées se prêtant bien aux visualisations de coordonnées parallèles :

  • Balisage de botnets
  • Canaux de conversion
  • E-mail
  • Sessions chiffrées
  • Analyse des points de terminaison
  • Analyse de fichiers
  • Malware Analysis
  • Trafic HTTP sortant
  • Trafic SSL/TLS sortant
  • Attaques d'injection SQL
  • Analyse des menaces
  • Analyse Web

Afficher la visualisation des coordonnées parallèles

À partir d'une procédure d'enquête dans Enquêter > vue Naviguer :

  1. Si le panneau Visualisation, au-dessus du panneau Valeurs, est fermé, sélectionnez Visualisation.
  2. Dans la barre d'outils, sélectionnez Méta > Utiliser le groupe méta > Analyse de fichiers (Malware).
  3. Dans le panneau Valeurs, dans la clé méta Empreinte approfondie, cliquez sur windows_executable, puis sur x86 pe pour lire le fil d'Ariane filetype = 'windows_executable' | filetype = 'x86 pe'.
    values in the Values panel
  4. La visualisation par défaut pour le point actuel de recherche verticale s'affiche sous forme de chronologie.
    default visualization in the Navigate view
  5. Dans le panneau Visualisation, sélectionnez Options.
    La boîte de dialogue Options de visualisation s'affiche.
  6. Dans la liste déroulante Visualisation, sélectionnez Coordonnées et cliquez sur Appliquer.
    Visualization Options dialog
    La visualisation est chargée. Dans cet exemple, 249 événements sont trouvés et 199 chemins uniques sont visualisés.
    example of a parallel coordinates visualization

Sélectionner des clés méta pour la visualisation de coordonnées parallèles

Lorsque la visualisation de coordonnées parallèles est ouverte, procédez comme suit :

  1. Dans le panneau Visualisation, sélectionnez Options.
    La boîte de dialogue Options de visualisation s'affiche. Dans la barre d'outils, cliquez sur ic-info2.png pour afficher le nombre d'axes recommandé afin que la visualisation soit lisible. Lorsque le nombre recommandé de clés s'affiche, le nombre change en fonction de la taille de la fenêtre du navigateur. Si vous élargissez la fenêtre du navigateur, le nombre recommandé augmente.
    the Visualization Options dialog
  2. Si vous souhaitez modifier la séquence des clés méta, faites glisser les clés méta vers le haut ou vers le bas, selon la séquence souhaitée.
  3. Si vous souhaitez supprimer des clés méta, cliquez dans la boîte de sélection, puis cliquez sur icon-remove.png.
    Les clés méta sont supprimées, mais la modification n'a pas été appliquée.
  4. Si vous souhaitez retrouver l'état précédent, cliquez sur icon-revert.png.
    Toutes les clés méta que vous avez supprimées sont restaurées et tous les changements que vous avez réalisés sont supprimés.
  5. Pour sélectionner différentes clés méta, cliquez sur the add icon, sélectionnez À partir des clés méta par défaut, et, dans la liste déroulante, sélectionnez les clés méta.
    From Default Meta Keys drop-down list
    Les clés sélectionnées sont répertoriées.
    selected keys listed in the Add Keys to Parallel Coordinates Visualization dialog
  6. Si vous souhaitez ajouter toutes les clés au groupe méta, vous ne pouvez pas ajouter de clés méta individuelles. Sélectionnez À partir des groupes méta, et sélectionnez un groupe dans la liste déroulante.
    From Meta Groups drop-down list in the Add Keys to Parallel Coordinates Visualization
    Les groupes méta sélectionnés sont répertoriés dans le champ.
  7. Sélectionnez la méthode pour l'ajout de clés ou groupes: Vous pouvez utiliser les options Remplacer la liste actuelle de clés, Ajouter à la liste actuelle de clés (à la fin) ou Insérer au début de la liste de clés actuelle.
    Method to add meta keys is Replace the current list of keys
  8. Pour terminer la procédure, cliquez sur Ajouter.
    La boîte de dialogue Options de visualisation s'affiche avec les clés méta ou groupes que vous avez sélectionnés.
  9. Pour afficher le nouveau graphique de visualisation, cliquez sur Appliquer.
    Parallel coordinates visualization

Optimiser la visualisation des coordonnées parallèles

  1. Pour optimiser la visualisation en supprimant des événements pour lesquels toutes les clés méta n'existent pas, sélectionnez Options.
    Visualization options
  2. La boîte de dialogue Options de visualisation, sélectionnez Toutes les clés méta doivent exister dans un événement. Cliquez sur Appliquer.
    Le graphique qui en résulte est plus lisible et utile, et il contient moins de chemins uniques.
    Parallel Coordinates visualization with All Keys Must Exist in an Event in effect
  3. Si vous souhaitez mettre en surbrillance un petit ensemble de points pour afficher le chemin de la ligne, de droite à gauche, cliquez sur un axe. Le curseur se change en réticule, que vous pouvez faire glisser pour sélectionner une ou plusieurs valeurs. Lorsque vous relâchez la souris, les lignes sont mises en surbrillance. Dans l'exemple ci-dessous, le type de service SLL est mis en surbrillance grâce à la zone grise.
    Parallel Coordinates visualization with a small set of points highlighted
  4. Si vous souhaitez agrandir la visualisation, faites glisser le bord inférieur du panneau vers le bas, et agrandissez la fenêtre du navigateur en faisant glisser le bord droit.

Exemple de cas d'utilisation

Voici un exemple de visualisation des coordonnées parallèles des clés méta représentant des métadonnées de fichier dans une session. Il existe trois clés méta ou axes, de gauche à droite : Extensions, Empreinte approfondie et Nom de fichier avec des valeurs répertoriées le long de chaque axe. Les valeurs de l'axe Extension affichent l'extension du fichier et les valeurs de l'axe Empreinte approfondie sont des exécutables Windows. Généralement, le type de fichier correspond à l'empreinte approfondie attendue. Toutefois, il n'est pas normal qu'un fichier de type gif soit combiné à une empreinte exécutable Windows. Le type de fichier gif est sélectionné pour souligner les corrélations entre ce type de fichiers (x86pe) et deux noms de fichiers dans le troisième axe, de façon à ce que l'analyste puisse identifier rapidement les fichiers devant faire l'objet d'une procédure d'enquête.

Pour atteindre cette vue :

  1. Classer par valeur et Trier par ordre croissant.
  2. Appliquez deux filtres (file type = 'windows executable' and extension = 'gif') dans la vue Naviguer pour limiter la quantité de données.
  3. Configurez un graphique de coordonnées parallèles en choisissant trois axes : file extension, forensic fingerprint et filename.
    parallel coordinates visualization with three axes

Exemple de visualisation d'un ensemble étendu de données

Cet exemple de visualisation de coordonnées parallèles, appliqué à un ensemble plus important de données, illustre plusieurs messages pouvant aider l'analyste à comprendre la représentation du graphique.

  • Pour créer un graphique, NetWitness Suite commence par analyser les valeurs méta et renvoyer des résultats. Une période type peut contenir jusqu'à 10 000 000 métavaleurs. Lorsque le nombre de valeurs méta renvoyées atteint la Limite de résultat de valeurs méta, le graphique est généré même si NetWitness Suite n'a pas analysé un nombre de valeurs méta équivalent à la Limite d'analyse de valeurs méta.
  • Il existe une limite fixe pour la quantité de données qui peut être affichée sous la forme d'un graphique de coordonnées parallèles. Dans NetWitness Suite 10.4 et versions antérieures, la limite se base sur le nombre d'axes, multiplié par les valeurs des données : 1 000 x le nombre d'axes pour protéger les performances, mais dans NetWitness Suite 10.5 et versions supérieures, l'administrateur configure les limites de coordonnées parallèles dans les paramètres d'Investigation, sous Administration vue Système.

parallel coordinates visualization illustrating messages to help user understand

Avec un ensemble important de données, le traitement du graphique de coordonnées parallèles est plus long que l'ensemble réduit de données et clés méta. Pour préserver les performances, NetWitness Suite génère les métavaleurs à partir du panneau Valeurs ci-dessous jusqu'à ce que les limites fixées par l'administrateur soient atteintes. Un message d'information indique : Seul un sous-ensemble d'événements s'affiche.

Sur toutes les données visualisées pour 249 événements, il n'y a eu que 199 chemins de coordonnées parallèles uniques. Certains événements sont inclus bien qu'ils ne contiennent pas certaines clés méta. Le libellé Inexistant indique que les méta n'existent pas dans cet événement.

You are here
Table of Contents > Procédure d'enquête relative aux métadonnées dans la vue Naviguer > Visualiser des métadonnées en tant que coordonnées parallèles

Attachments

    Outcomes