Investigate : Vue Analyse de malware

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Dans NetWitness Investigate, la vue Malware Analysis fournit l'interface utilisateur permettant d'effectuer une analyse des malware. La vue Malware Analysis se présente sous la forme d'un tableau de bord personnalisable, dans lequel les dashlets par défaut de la vue initiale sont basés sur le rôle de l'utilisateur (administrateur ou analyste) et les personnalisations de l'utilisateur. Initialement, le dashlet Récapitulatif des événements s'affichait dans la vue Malware Analysis. D'autres dashlets présentent des visualisations différentes des événements en cours d'affichage, et chaque représentation est configurable pour affiner votre vue lorsque vous recherchez des indicateurs de compromission. Les dashlets Malware Analysis disponibles dans le tableau de bord sont également disponibles dans la vue Malware.

Pour accéder à cette vue, sélectionnez ENQUÊTER > Malware Analysis. Si aucun service par défaut n'est sélectionné, la boîte de dialogue Sélectionner un service Malware Analysis. Sélectionnez un service, puis cliquez sur Afficher le mode continu.

Workflow

high-level Investigate workflow with Scan Files and Hosts for Malware and associated actions highlighted

Que voulez-vous faire ?

                                                               
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillants*Mener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesexporter les événements et les fichiers*Examiner les fichiers et événements d'analyse dans le formulaire de liste
Responsable de la recherche des menaceseffectuer des recherches externes*Afficher l'analyse Malware Analysis détaillée d'un événement
   

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Voici un exemple de la vue Malware Analysis.

The default view in Malware Analysis is the Summary of Events

La vue Malware Analysis se compose du panneau Récapitulatif des événements et de quatre dashlets. Chacun des dashlets uniques contient des boîtes de dialogue d'options. Les dashlets Malware Analysis dans le tableau de bord SURVEILLER sont également disponibles et sont décrites dans la rubrique Dashlets au sein de l'espace Contenu RSA de RSA NetWitness® Suite.

Panneau Récapitulatif des événements

Dans le panneau Récapitulatif des événements, vous pouvez sélectionner le service, le mode d'analyse et la période. De plus, vous pouvez sélectionner un point de données et afficher les événements associés à l'événement.

Le tableau suivant décrit toutes les fonctionnalités du panneau Récapitulatif des événements.

                                         
FonctionnalitéDescription
The service icon Sélectionne un service à afficher.
Mode d'analyseAffiche la liste déroulante des modes d'analyse disponibles.
PériodeAffiche la liste déroulante des périodes pour visualiser les événements.
Date de débutLorsque la période est définie sur Personnalisé, fournit un calendrier à partir duquel choisir la date de début de la période.
Date de finLorsque la période est définie sur Personnalisé, fournit un calendrier à partir duquel choisir la date de fin de la période.
Add icon Affiche la liste déroulante des dashlets que vous pouvez ajouter à la vue.
Actions icon Affiche la liste déroulante des actions que vous pouvez effectuer dans cette vue :
  • Restaurer la configuration par défaut
  • Organiser les dashlets
  • Appliquer le filtre de seuil
Refresh Icon Actualise la vue Malware Analysis.

Boîte de dialogue Options

La boîte de dialogue Options vous permet de personnaliser les résultats affichés dans le dashlet. Elle est accessible en cliquant sur l'icône Properties située dans l'angle supérieur droit de chaque dashlet. Le tableau suivant décrit les fonctions de la boîte de dialogue Options.

                                
FonctionnalitéDescription
TitreIndique si les données affichées sont limitées aux événements indiqués en tant que confiance élevée ou non. Si les données ne sont pas limitées, cette ligne ne s'affichera pas.
Influencé par la forte probabilité uniquementIndique si les données affichées sont limitées aux événements indiqués en tant que confiance élevée.
Statique, Réseau, Communauté, SandboxVous permet de filtrer les résultats en fonction des notes dans les modules de notation.
AnnulerFerme la boîte de dialogue sans enregistrer les modifications.
AppliquerApplique immédiatement les modifications au dashlet et ferme la boîte de dialogue.

Répartition des méta

Le dashlet Répartition des méta présente les événements sous la forme d'un graphique circulaire, avec chaque tranche représentant une métavaleur pour la clé méta spécifiée. Vous pouvez sélectionner la clé méta et le nombre de métavaleurs pour cette clé à afficher dans le graphique, en commençant par la valeur méta ayant le plus d'événements. Le pointage de la souris sur un événement permet d'en afficher le nombre.

Meta Breakdown dashlet

Le tableau suivant décrit les options du dashlet Répartition des méta.

                       
FonctionnalitéDescription
Forte probabilité uniquementIndique si les données affichées sont limitées aux événements indiqués en tant que confiance élevée ou non. Si les données ne sont pas limitées, cette ligne ne s'affichera pas.
Clé métaListe déroulante des clés méta disponibles.
NombreListe déroulante indiquant combien de résultats supérieurs sont affichés.

Compartimentage des méta

Compartimentage des méta présente les événements sous la forme d'une carte d'utilisation. Vous pouvez sélectionner la clé meta et le nombre de valeurs méta pour cette clé à afficher dans le graphique, en commençant par les métavaleurs ayant le plus d'événements. En outre, vous pouvez sélectionner le module qui a détecté la métavaleur dans les événements : statique, réseau, communauté ou sandbox.

Meta Treemap dashlet

Le tableau suivant décrit les options du dashlet Compartimentage des méta.

                               
FonctionnalitéDescription
Forte probabilité uniquementIndique si les résultats sont limités aux événements indiqués en tant que confiance élevée ou non. Si les résultats ne sont pas restreints, cette ligne ne s'affiche pas.
Clé métaListe déroulante des clés méta pouvant être sélectionnées en tant que filtre.
NombreListe déroulante indiquant combien de résultats supérieurs sont affichés.
ModuleListe déroulante spécifiant les résultats du module qui seront extraits.
ValeurListe déroulante spécifiant les informations qui s'afficheront lorsque la souris est positionnée sur un résultat (par exemple, Score moyen).

Roue des scores

La roue des scores offre une vue des événements sous la forme d'anneaux concentriques avec des couleurs représentant les scores des événements basés sur les indicateurs de compromission et le module de notation. Vous pouvez organiser la position des anneaux à l'aide des flèches vers le haut et vers le bas pour obtenir une vue qui met en lumière les événements qui ont été détectés par un module de notation (rouge) et non détectés par les autres modules de notation.

Score Wheel dashlet

Le tableau suivant décrit les fonctionnalités du dashlet Roue des scores.

                   
FonctionnalitéDescription
Forte probabilité uniquementIndique si les résultats sont limités aux événements indiqués en tant que confiance élevée ou non. Si les résultats ne sont pas restreints, cette ligne ne s'affiche pas.
Grille Ordre des modulesAffiche l'ordre des anneaux dans la roue des scores, l'anneau 1 étant l'anneau le plus à l'intérieur et l'anneau 4 étant l'anneau le plus à l'extérieur. Vous pouvez cliquer sur les boutons Haut et Bas pour réorganiser les modules. Cliquez ensuite sur Mettre à jour pour appliquer les modifications.

Chronologie d'événements

Chronologie d'événements offre une vue des événements organisés par heure d'apparition dans un graphique à barres. Cliquer et faire glisser une période dans le graphique permet de zoomer sur l'heure sélectionnée.

Event Timeline dashlet

Le tableau suivant décrit les fonctionnalités du dashlet Chronologie d'événements.

                   
FonctionnalitéDescription
Forte probabilité uniquementIndique si les résultats sont limités aux événements indiqués en tant que confiance élevée ou non. Si les résultats ne sont pas restreints, cette ligne ne s'affiche pas.
Affichage des événementsAffiche la vue Procédure d'enquête > Événements.
You are here
Table of Contents > Matériaux de référence Enquêter > Vue Malware Analysis

Attachments

    Outcomes