Enquêter : Lancer une procédure d'enquête Malware Analysis

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Vous pouvez enquêter sur les données analysées, balisées et évaluées par Malware Analysis en tant que données présentant des indicateurs de compromission. Cela inclut tous les types d'analyses Malware Analysis : rappel continu, rappel à la demande et fichiers téléchargés à la demande. Le rappel continu doit être activé lorsque l'administrateur configure les paramètres de base du service Malware Analysis.

NetWitness Suite offre plusieurs méthodes pour lancer une procédure d'enquête Malware Analysis.

Le plus rapide : Lancement instantané à partir des dashlets Malware Analysis

La façon la plus rapide de commencer une procédure d'enquête Malware Analysis est d'effectuer un lancement instantané à partir du tableau de bord NetWitness Suite via l'un des dashlets Malware Analysis qui répertorient les événements ou les fichiers susceptibles de contenir des malware. Les dashlets sont décrits dans le cadre du contenu RSA NetWitness dans Dashlets. À partir de l'un de ces dashlets, vous pouvez accéder directement aux résultats d'analyse d'un événement spécifique répertorié en tant qu'événement devant faire l'objet d'une procédure d'enquête :

  • Liste des principaux malwares fortement suspects
  • Liste des principaux malwares de type Zero Day
  • Dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés

Rappel à la demande à partir d'une valeur méta dans la vue Naviguer

Pour lancer un rappel à la demande à partir d'une procédure d'enquête, cliquez avec le bouton droit de la souris sur une valeur méta dans la vue Naviguer, puis choisissez une option dans le menu contextuel. Une fois le rappel terminé, les données analysées sont disponibles pour Malware Analysis (reportezvous à Lancer une analyse Malware Analysis à partir de la vue Naviguer).

Enquêter sur un service RSA spécifique

Vous pouvez également commencer une procédure d'enquête Malware Analysis basée sur un service dans Enquêter > vue Malware Analysis. Pour toute procédure d'enquête Malware Analysis basée sur un service, ce dernier doit être spécifié dans Enquêter > vue Malware Analysis:Inve

  1. Enquêter ouvre la vue Malware Analysis avec le service par défaut spécifié par l'utilisateur sélectionné.
  2. Si aucun service par défaut n'est spécifié, une boîte de dialogue vous permet de sélectionner le service Malware Analysis devant faire l'objet d'une procédure d'enquête.
  3. Lorsqu'un service est sélectionné dans la vue Malware Analysis, la vue Récapitulatif des événements correspondante, et analyse en continu les données du service s'ouvre.

Cette rubrique fournit des instructions sur toutes les méthodes de lancement d'une procédure d'enquête Malware Analysis.

Lancer une procédure d'enquête sur les malware à partir d'un dashlet Malware Analysis

Il existe une condition préalable à respecter pour cette procédure : l'un des dashlets suivants doit être visible dans le tableau de bord NetWitness Suite ou dans la vue Malware Analysis. De plus, il doit comporter des événements ou des fichiers répertoriés. Si vous ne voyez pas de dashlets, ajoutezles et configurezles.

  • Liste des principaux malwares fortement suspects
  • Liste des principaux malwares de type Zero Day
  • Dashlet Malware à forte probabilité d'indicateur de compromission et scores élevés

Pour lancer une procédure d'enquête sur les malware à partir d'un dashlet Malware Analysis :

  1. Connectez-vous à NetWitness Suite et recherchez l'un des dashlets ci-dessus dans la vue Surveiller ou dans la vue Malware Analysis
  2. Dans le dashlet, double-cliquez sur un événement ou un fichier pour obtenir une analyse plus approfondie. Une analyse détaillée de l'événement dans la liste d'événements, ou l'événement auquel est associé le fichier dans la liste de fichiers, s'affiche dans la vue Malware Analysis.
    Analysis Results

Pour en savoir plus sur la configuration des dashlets Malware Analysis dans le tableau de bord Surveiller, reportez-vous à « Dashlets » dans le Guide de mise en route de NetWitness Suite.

Pour en savoir plus sur les façons dont vous pouvez configurer et filtrer les informations dans les dashlets de la vue Malware Analysis, reportez-vous à la section Filtrer les données de dashlet dans la vue Récapitulatif des événements.

Pour en savoir plus sur les actions que vous pouvez effectuer dans les résultats d'analyse, reportez-vous à la section Afficher l'analyse Malware Analysis détaillée d'un événement.

Lancer une procédure d'enquête Malware Analysis (aucun service par défaut)

Pour commencer une procédure d'enquête sans service par défaut :

  1. Sélectionnez Investigation > Malware Analysis.
    La boîte de dialogue Sélectionner un service Malware Analysis s'affiche en présentant les hôtes et services Malware Analysis disponibles pour l'utilisateur actuel dans le volet de gauche, et les tâches d'analyse disponibles dans le volet de droite. Ce volet des tâches d'analyse contient les mêmes colonnes que le dashlet Liste de tâches d'analyse des malware dans le tableau de bord Unified. En outre, il comporte une barre d'outils et des options d'affichage, qui sont décrites dans la Boîte de dialogue Sélectionner un service Malware Analysis.
    Select a Malware Analysis Service dialog
  2. Dans la liste des hôtes Malware Analysis, sélectionnez un hôte pour afficher la liste des tâches d'analyse correspondantes dans le volet de droite. Ces tâches sont créées lors de l'analyse d'un événement ou d'un fichier (reportez-vous aux sections Télécharger des fichiers pour l'analyse Malware Analysis et Lancer une analyse Malware Analysis à partir de la vue Naviguer).
  3. Pour débuter une analyse, procédez de l'une des façons suivantes :
    1. Sélectionnez une analyse, puis cliquez sur Afficher l'analyse.
    2. Cliquez sur Afficher le mode continu.
      La vue Récapitulatif des événements correspondant à l'analyse sélectionnée s'affiche avec les dashlets par défaut ouverts. Chaque utilisateur peut ajouter, modifier et supprimer des dashlets par défaut, qui persistent à travers différentes procédures d'enquête. Les utilisateurs peuvent également restaurer les dashlets par défaut, comme indiqué dans la section Filtrer les données de dashlet dans la vue Récapitulatif des événements.
      Summary of Events view

Définir ou effacer le service par défaut

Vous pouvez définir ou effacer le service par défaut dans la boîte de dialogue Sélectionner un service Malware Analysis.

Pour définir un service par défaut :

  1. Cliquez sur le nom du service dans la barre d'outils de la vue Récapitulatif des événements.
    La boîte de dialogue Sélectionner un service Malware Analysis s'affiche.
    Select a Malware Analysis Service dialog
  2. Sélectionnez un service dans la liste des services Malware disponibles, puis cliquez sur Default Service button.
    Le service devient la valeur par défaut (indiquée par Default icon devant le nom d'hôte).
  3. Pour effacer le service par défaut, sélectionnez-le dans la grille, puis cliquez sur Default Service button.
    Aucun service par défaut n'est défini.

Télécharger et analyser des fichiers

Un analyste de malware possédant l'autorisation Initiate Malware Analysis Scan peut télécharger des fichiers à analyser à l'aide de l'option Analyser des fichiers dans la boîte de dialogue Sélectionner un service Malware Analysis (voir Télécharger des fichiers pour l'analyse Malware Analysis. Un administrateur peut télécharger des fichiers de capture de paquets pour Malware Analysis dans la vue Système de services comme décrit dans « Télécharger le fichier de capture de paquets » dans le Guide de configuration de Decoder et Log Decoder.

Commencer une procédure d'enquête (service par défaut spécifié)

Pour commencer une procédure d'enquête avec un service par défaut :

  1. Sélectionnez Investigation > Malware Analysis.
    La vue Récapitulatif des événements correspondant à l'analyse continue du service sélectionné s'affiche avec les dashlets par défaut ouverts. Chaque utilisateur peut ajouter, modifier et supprimer des dashlets par défaut, qui persistent à travers différentes procédures d'enquête. Les utilisateurs peuvent également restaurer les dashlets par défaut, comme indiqué dans la section Filtrer les données de dashlet dans la vue Récapitulatif des événements.
    Summary of Events view

Appliquer un filtre basé sur des paramètres de durée aux résultats

Vous pouvez appliquer un filtre de seuil pour actualiser les résultats des dashlets choisis.

  1. Pour sélectionner une autre période, sélectionnez Mode continu ou une autre analyse dans la barre d'outils.
    Le Récapitulatif des événements de malware pour l'analyse sélectionnée s'affiche.
  2. Pour sélectionner une nouvelle période d'analyse, cliquez sur la liste de sélection de période, dans la barre d'outils. Les périodes disponibles sont les suivantes : 5 dernières minutes, 10 dernières minutes, 15 dernières minutes, 30 dernières minutes, Dernière heure, 3 dernières heures, 6 dernières heures, 12 dernières heures, 24 dernières heures, 2 derniers jours, 5 derniers jours, Début de matinée, Matin, Après-midi, Soir, Toute la journée, Hier, Cette semaine, La semaine dernière ou Personnalisé. 
    Time Range menu
    Les résultats sont mis à jour immédiatement.
  3. Pour actualiser une analyse en mode continu avec de nouvelles données, cliquez sur Refresh icon.

Appliquer un filtre de seuil aux résultats d'analyse en mode continu

Vous pouvez appliquer un nouveau filtre de seuil à une instance des dashlets Malware à forte probabilité d'indicateur de compromission et scores élevés, Compartimentage des méta, Roue des scores et Chronologie d'événements.

Pour personnaliser les scores appliqués à l'analyse, dans la barre d'outils, procédez comme suit :

  1. Sélectionnez Actions drop-down menu > Appliquer le filtre de seuil.
    La boîte de dialogue Appliquer le filtre de seuil s'affiche.
    Apply Threshold Filter dialog
  2. Pour limiter les événements affichés à ceux dont le score est supérieur à une certaine valeur, procédez comme suit :
    1. Faites glisser le curseur sur les barres de défilement des modules Static, Network, Community et Sandbox.
    2. Pour sélectionner les dashlets où les seuils s'appliquent, activez les cases à cocher appropriées.
    3. Cliquez sur Appliquer.

Supprimer ou resoumettre une analyse à la demande avec de nouveaux paramètres de contournement

Vous pouvez supprimer ou resoumettre une analyse à la demande avec d'autres paramètres de contournement que ceux spécifiés dans la vue Configuration des services pour un service Malware Analysis.

Pour supprimer une analyse lorsque vous visualisez une analyse à la demande, procédez comme suit :

  1. Sélectionnez Actions > Supprimer l'analyse.
    Une boîte de dialogue vous demande de confirmer que vous souhaitez supprimer l'analyse.
  2. Cliquez sur Yes.
    L'analyse sélectionnée est supprimée.

Pour appliquer d'autres paramètres de contournement à l'analyse actuelle :

  1. Sélectionnez Actions > Renvoyer l'analyse.
    La boîte de dialogue Analyser les malwares s'affiche.
    Scan for Malware dialog
  2. Sélectionnez les paramètres de contournement à utiliser pour la nouvelle analyse, puis cliquez sur Analyser.
    Malware Analysis réinitialise le cache et resoumet le fichier pour une nouvelle analyse. Les tâches d'analyse sont ajoutées à la file d'attente des tâches.
  3. Une fois la tâche terminée, faites défiler l'affichage vers la gauche et sélectionnez Afficher.
    Le Récapitulatif des événements de malware pour l'analyse sélectionnée s'affiche.

Afficher la liste des fichiers

Vous pouvez afficher la liste des fichiers d'un événement à partir de la vue Malware Analysis Récapitulatif des événements et à partir de chacun des graphiques de visualisation : Chronologie d'événements, Répartition des méta, Compartimentage des méta et Roue des scores.

Pour afficher la liste des fichiers, procédez de l'une des façons suivantes :

  • Dans la vue Récapitulatif des événements, cliquez sur le nombre de fichiers dans la ligne Total ou la ligne Forte probabilité sous Fichiers traités, Fichiers PE, Fichiers Office ou Fichiers PDF. La liste de fichiers s'affiche.
  • Dans un dashlet de visualisation, cliquez sur le numéro situé en regard du champ Fichiers, dans le coin supérieur droit du dashlet.
    La liste de fichiers du point d'extraction sélectionné s'affiche.
    Files List

Dans la liste de fichiers, vous pouvez rechercher un fichier par son nom ou son hachage de fichier MD5. Vous pouvez également trier la liste à l'aide de deux critères, dans l'ordre croissant ou décroissant, et vous pouvez télécharger les fichiers comme indiqué dans la section Examiner les fichiers et événements d'analyse dans le formulaire de liste.

Pour revenir à la vue Récapitulatif des événements, cliquez sur Retour au récapitulatif.

Afficher la liste d'événements

Dans la vue Malware Analysis Récapitulatif des événements et à partir de chacun des graphiques de visualisation (Chronologie d'événements, Répartition des méta, Compartimentage des méta et Roue des scores), vous pouvez sélectionner des événements à afficher dans la grille des événements.

Pour afficher la liste d'événements, procédez de l'une des façons suivantes : 

  • Dans la vue Récapitulatif des événements, cliquez sur le nombre d'événements créés dans la ligne Total ou la ligne Forte probabilité. La liste Événements s'affiche.
  • Dans un dashlet de visualisation, cliquez sur le numéro situé en regard du champ Événements, dans le coin supérieur droit du dashlet.
    La liste d'événements correspondant à la période sélectionnée s'affiche.
    Malware Analysis Events List
You are here
Table of Contents > Exécuter Malware Analysis > Lancer une procédure d'enquête Malware Analysis

Attachments

    Outcomes