Investigate : Fonctionnement de NetWitness Investigate

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Investigate offre aux analystes la possibilité d'analyser des données dans RSA NetWitness® Suite  et d'analyser des données de paquet, de log et de point de terminaison, ainsi que d'identifier d'éventuelles menaces internes ou externes à la sécurité et à l'infrastructure IP.

Remarque : Dans la version 11.1, les vues Hôtes et Fichiers font partie de NetWitness Suite afin de permettre aux analystes d'examiner les données de point de terminaison.

Métadonnées, clés méta, valeurs méta et entités méta

RSA NetWitness Suite audite et surveille l'ensemble du trafic sur un réseau. Un seul type de service, un Decoder, acquiert, analyse et stocke les données de paquets, logs et point de terminaison transitant sur le réseau.

Les analyseurs et feeds configurés sur le Decoder créent des métadonnées que les analystes peuvent utiliser pour enquêter sur les logs et paquets acquis. Un autre type de service, nommé Concentrator, indexe et stocke les métadonnées.

Les métadonnées se présentent sous la forme d'une clé méta et de valeurs méta pour la clé. Par exemple, ip.src est une clé méta et une adresse IP, source du trafic, est marquée en tant que ip.src. Lorsque vous affichez des données dans la vue Enquêter, vous voyez la méta clé ip.src et toutes les adresses IP (valeurs) qui sont marquées avec cette clé. Certaines clés méta sont intégrées et d'autres peuvent être des clés personnalisées définies par l'administrateur.

Les entités méta sont disponibles dans la version 11.1 ou supérieure. Une entité méta est un alias qui regroupe les résultats d'autres clés méta. Les entités méta organisent des clés méta similaires en un seul type de méta, plus facile à utiliser. Certaines entités méta sont déjà incluses par défaut et l'administrateur peut créer des entités méta personnalisées. Dans la vue Enquêter, les analystes peuvent utiliser une entité méta dans une requête, un groupe méta, un groupe de colonnes et un profil. Les visualisations de coordonnées parallèles ne prennent pas en charge les entités méta. Les administrateurs peuvent utiliser des entités méta pour définir un préfixe de requête à appliquer à un rôle d'utilisateur et un utilisateur. Le Guide de configuration de Decoder fournit des informations supplémentaires sur la création d'entités méta et comment elles peuvent être utilisées dans les règles.

Par exemple, la langue de base de données de base par défaut comprend des clés méta distinctes pour l'IP source et l'IP de destination. L'une des entités méta intégrées nommées ip.all représente l'ensemble combiné de toutes les sources et destinations IP.

Généralement, les analystes interrogent le Concentrator pour détecter des menaces. Le Concentrator gère des requêtes et n'accède au Decoder que lorsqu'une reconstruction complète des sessions ou des logs bruts est nécessaire. ESA, Malware Analysis et Reporting Engine interrogent également le Concentrator, sur lequel ils peuvent obtenir rapidement toutes les métadonnées pertinentes associées à un événement et générer des informations à ce sujet sans avoir à accéder à chaque Decoder. Dans certains cas, les analystes peuvent interroger un Decoder.

 

Remarque : Bien qu'une appliance hybride peut effectuer la fonction de Concentrator, une appliance Concentrator distincte est nécessaire pour tous les environnements volumineux qui nécessitent davantage de bande passante ou d'événements par seconde (EPS). L'appliance Concentrator dispose d'une organisation de stockage qui utilise des disques SSD pour l'index, ce qui augmente les performances de lecture.

Déclencheurs pour une procédure d'enquête

Voici quelques exemples des déclencheurs pour une procédure d'enquête :

  • Vous recevez des informations d'un tiers sur un nouveau hack de répertoire actif. À partir de la vue Événements, vous utilisez ces informations pour exécuter une recherche sur toutes vos données de fichiers log Active Directory brutes pour les dernières 24 heures.
  • Le responsable du SOC vous demande de rechercher un programme malveillant Pokemon Go en raison de sa popularité actuelle. À partir de la vue Naviguer, créez une requête pour rechercher une session HTTP à l'aide d'un agent utilisateur spécifique lié au programme malveillant détecté dans un blog de sécurité.
  • Un responsable de la réponse aux incidents fait remonter un ticket qui présente certains indicateurs impairs associés à un hôte. À partir de la vue Hôtes, examinez cet hôte pour connaître les détails spécifiques.
  • Vous recherchez la prochaine attaque jour zéro et commencez à faire pivoter les métadonnées réseau dans la vue Naviguer pour rechercher les sessions automatisées anormales quittant l'entreprise.
  • Vous êtes invité(e) par votre responsable du SOC à trouver les informations relatives à l'utilisateur jarvis, un employé qui vient d'être remercié. À partir de la vue Hôtes, vous effectuez une interrogation sur la semaine écoulée pour ce nom d'utilisateur.

Flux de travail d'une procédure d'enquête

Les analystes peuvent examiner les données capturées par NetWitness Suite et détailler les informations contenues dans un tableau de bord NetWitness Suite, un incident ou une alerte NetWitness Respond, un rapport créé par NetWitness Suite Reporting Engine ou une application tierce. Au cours d'une procédure d'enquête, les analystes peuvent se déplacer de manière transparente entre les vues Enquêter : la vue Naviguer, la vue Événements, la vue Analyse d'événements, la vue Hôtes (version 11.1 et ultérieure), la vue Fichiers (version 11.1 et ultérieure), et la vue Analyse de malware.

Cette figure montre les sous-menus de NetWitness Investigate.

NetWitness Investigate Submenus

Remarque : Des rôles d'utilisateurs et des autorisations spécifiques sont requis pour qu'un utilisateur puisse mener des procédures d'enquêtes et des analyses de programmes malveillants dans NetWitness Suite. Si vous ne pouvez pas réaliser de tâche d'analyse ni afficher une vue, il se peut que l'administrateur doive ajuster les rôles et autorisations configurés pour vous.

Vous pouvez accéder à chaque vue dans le sous-menu Enquêter et dans les vues Enquêter. Vous pouvez également accéder directement à une vue Enquêter à partir de NetWitness Respond et passer directement de NetWitness Investigate à NetWitness Respond et à NetWitness Endpoint autonome. Votre exemple d'utilisation détermine le point de départ de votre procédure d'enquête. Ce tableau fournit des conseils généraux sur la vue de départ pour différents exemples d'utilisation.

                                   
Accéder à...Objectif
Vue NaviguerToutes les clés méta et les valeurs méta des logs, points de terminaison et paquets, regroupés par clé méta. Vous pouvez faire pivoter les données pour affiner les résultats, puis accéder à la vue Événements ou à la vue Analyse d'événements, ou encore effectuer une recherche dans Malware Analysis ou Live. Il s'agit de la vue NetWitness Investigate par défaut. (Voir Procédure d'enquête relative aux métadonnées dans la vue Naviguer.)
Vue ÉvénementsLes événements sont répertoriés dans l'ordre chronologique. Vous pouvez afficher les événements bruts et les métadonnées associées, afficher une reconstruction et télécharger des fichiers et des événements. Vous pouvez accéder à la vue Analyse d'événements. (Voir Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements)
Vue Analyse d'événementsLes événements sont répertoriés dans l'ordre chronologique. Vous pouvez afficher toutes les clés méta et les valeurs de métadonnées pour les logs, les paquets et les points de terminaison. Vous pouvez afficher l'événement brut et les métadonnées associées, afficher une reconstruction qui offre des files d'attente utiles pour identifier les points d'intérêt dans une reconstruction. Vous pouvez accéder à la vue Hôtes, pivoter vers un point de terminaison autonome, effectuer une recherche dans Live et effectuer des recherches externes. Les recherches externes vous permettent de rechercher sur Internet les valeurs de métadonnées avec lesquelles vous avez interagi, de déterminer les informations DNS passives associées à une adresse IP, de vérifier si une URL est mise en liste noire et d'autres intégrations de contexte tierces. (Voir Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements)
(Version 11.1 ou supérieure) Vue hôtesLes hôtes sur lesquels s'exécutent les agents NetWitness Endpoint Insights sont répertoriés. Pour chaque hôte, vous pouvez voir les processus, les pilotes, les DLL, les fichiers (exécutables), les services et les exécutions automatiques en cours d'exécution, ainsi que les informations relatives aux utilisateurs connectés. Dans la vue Hôtes, vous pouvez accéder aux vues Naviguer et Analyse d'événements. (Voir Examiner les hôtes)
(Version 11.1 ou supérieure) Vue FichiersLes fichiers uniques tels que PE, Macho et ELF dans votre déploiement sont répertoriés. Pour chaque fichier, vous pouvez afficher des détails tels que la taille du fichier, l'entropie, le format, le nom de l'entreprise, la signature et la somme de contrôle. Dans la vue Fichiers, vous pouvez accéder aux vues Naviguer et Analyse d'événements. (Voir Examiner les fichiers)
Vue Analyse de malwareSi vous exécutez une appliance d'analyse de malware, vous pouvez analyser automatiquement ou manuellement les fichiers et voir les résultats de quatre types d'analyse : réseau, statique, communauté et sandbox. Si un fichier s'avère être un programme malveillant, vous pouvez accéder à la vue Hôtes pour voir quels hôtes ont téléchargé le fichier. (Voir Mener une analyse de malware).

Chaque situation est unique en termes de types d'informations que l'analyste tente de rechercher. De nombreuses procédures d'enquête commencent à un point de vue et se terminent à un autre point de vue lorsque l'analyste obtient une information et doit ensuite suivre ce résultat dans une autre ligne de questions. La figure suivante présente le workflow général d'une procédure d'enquête.

High-Level Investigate Workflow

Se concentrer sur les métadonnées, la requête et l'heure

Les analystes utilisent NetWitness Investigate pour rechercher des événements qui dirigent le workflow de réponse aux incidents et pour réaliser une analyse stratégique après la génération d'un événement par un autre outil. À partir de la vue Naviguer, la vue Événements ou la vue Analyse d'événements :

  • Commencez par exécuter une requête sur un service pour une période donnée, puis appliquez un filtre en utilisant des métadonnées dans un sous-ensemble d'événements, reconstruisez ou analysez un événement et répétez le processus pour reconstruire ou analyser un autre événement.
  • Lorsque vous trouvez un événement qui doit être étudié de plus près, vous affichez le contexte de l'événement et déterminez si vous devez créer un incident ou ajouter l'événement à un incident. Si vous décidez de ne pas ajouter l'événement à un incident, vous exécutez une autre requête pour en savoir plus, qui commence à nouveau au début du workflow.
  • Si vous remarquez une activité ou des fichiers suspects sur un hôte spécifique du réseau, vous pouvez recueillir des informations supplémentaires sur l'hôte et les fichiers trouvés sur l'hôte dans la vue Hôtes et Fichiers ou sur un serveur NetWitness Endpoint autonome.
  • Si vous trouvez un fichier ou un événement qui contient potentiellement des programmes malveillants, vous pouvez effectuer une analyse Malware Analysis du fichier ou vous pouvez ouvrir Malware Analysis et démarrer une analyse du service sur lequel l'événement a été constaté.

Par exemple, en cas de souci concernant un trafic suspect avec des pays étrangers, la clé méta du pays de destination révèle toutes les destinations et la fréquence du contact. Naviguer dans ces valeurs permet d'obtenir les détails du trafic, tels que l'adresse IP de l'expéditeur et le destinataire. La vérification d'autres métadonnées peut exposer la nature des pièces jointes échangées entre les deux adresses IP.

Se concentrer sur l'analyse des points de terminaison

Les analystes utilisent la vue Hôtes et Fichiers pour rechercher ou analyser les hôtes ou les fichiers à l'aide de divers attributs, tels que l'adresse IP, le nom d'hôte, l'adresse Mac, etc.

  • Lors d'un triage d'incidents dans la vue Répondre, passez en revue les informations importantes (nom d'hôte, nom de fichier) et affichez les points forts du contexte.
  • Pivotez vers la vue Enquêter pour ouvrir la vue Naviguer. Sélectionnez le groupe méta de l'analyse des points de terminaison et passez en revue les métadonnées créées.
  • Affichez les métadonnées dans la vue Analyse d'événements pour analyser les événements. Sélectionnez la recherche d'hôte à l'aide du panneau Méta de l'événement.
  • Dans la vue Hôtes, cliquez sur le nom d'hôte pour afficher le récapitulatif des points de terminaison, snapshots, configurations de la sécurité, etc.
  • Effectuez une analyse à la demande pour obtenir les informations les plus récentes (le cas échéant).
  • Recherchez un nom de fichier, un chemin ou un hachage spécifique sur tous les snapshots pour affiner la recherche.
  • Passez en revue les processus, les exécutions automatiques, les fichiers, les bibliothèques, les pilotes et les informations du système à examiner plus en détail.
  • Dans la vue Fichiers, filtrez les fichiers en utilisant quelques indicateurs (tels que le nom de fichier, la taille du fichier, l'entropie, le format, le nom de société, la signature, la somme de contrôle) et faites pivoter la vue Naviguer pour voir si elle existe sur d'autres hôtes du réseau.

Se concentrer sur les incidents et les alertes de NetWitness Respond

Un analyste qui travaille sur un incident ou une alerte dans NetWitness Respond peut l'ouvrir dans NetWitness Investigate (vue Naviguer) pour effectuer une analyse plus approfondie de l'événement ou de l'alerte.

  • Le worfklow pour répondre à un incident commence généralement dans la vue Répondre, où l'analyste qui enquête sur un incident doit recueillir des informations sur l'incident dans NetWitness Investigate. Une fois que ou lancez une procédure d'enquête à partir de NetWitness Respond, les clés méta définies sont interrogées et le contenu des paquets, logs et événements de point de terminaison capturés s'affiche dans la vue Naviguer.
  • Si vous trouvez des événements qui sont pertinents pour l'incident, vous pouvez ajouter les événements à l'incident dans la vue Répondre. Vous pouvez également créer un nouvel incident dans la vue Répondre en fonction d'un ou de plusieurs événements trouvés dans la vue Enquêter.

Vues NetWitness Investigate

Cette section fournit une brève description et un exemple de chaque vue principale (Naviguer, Événements, Analyse d'événements, Hôtes, Fichiers et Analyse de malware) et présente des vues offrant deux fonctionnalités d'exploration : contexte supplémentaire pour les données trouvées et reconstruction d'événements.

Vue Naviguer

La vue Naviguer permet d'explorer et d'interroger le contenu des paquets, des logs et des événements de point de terminaison capturés sur un service Broker, Concentrator ou Decoder (bien qu'une procédure d'enquête sur un service Decoder ne soit pas typique).

  • Lorsque vous sélectionnez un service, les clés méta définies pour ce service sont interrogées, et les valeurs sont retournées avec le nombre d'événements. Cliquer sur une valeur à un niveau donné révèle les résultats en détail.
  • Pour certaines clés méta configurées, telles que l'adresse IP ou le nom d'hôte, vous pouvez rechercher des informations contextuelles supplémentaires autour d'une valeur à l'aide de Context Hub. Le contexte supplémentaire peut inclure des incidents, des alertes et d'autres sources où la valeur a été abordée.
  • La vue Naviguer fournit également une visualisation séquentielle des données dans un calendrier. Ici, vous pouvez zoomer sur une période sélectionnée.

La figure suivante illustre la vue Parcourir.

the Navigate view with Context Lookup panel open

Vue Événements

La vue Événements fournit une vue des événements de paquet, log et point de terminaison sous forme de liste afin que vous puissiez les afficher dans l'ordre séquentiel et les reconstituer en toute sécurité.

  • Vous pouvez ouvrir la vue Evénements pour une valeur méta que vous voyez dans la vue Naviguer.
  • Pour les analystes sans privilèges suffisants pour naviguer dans un service, la vue Événements est une vue de procédure d'enquête autonome dans laquelle les analystes peuvent accéder à une liste de réseaux, logs et événements de point de terminaison à partir d'un service NetWitness Suite Core sans avoir à effectuer d'abord une recherche verticale à travers les métadonnées.
  • La vue Événements présente des informations concernant l'événement sous trois formes standards : une simple liste restrictive d'utilisation de grille d'événements, une liste restrictive d'utilisation détaillée des événements et une vue du log.
  • Vous pouvez exporter les événements et les fichiers associés et créer un incident à partir d'un événement.

La figure suivante illustre la vue Événements.

the Events view

Vue Analyse d'événements

La vue Analyse d'événements est un outil interactif pour aider les analystes à voir les paquets, le texte ou les fichiers dans un événement présentant des indices visuels pour certains types d'informations. Selon le type de reconstruction, par exemple, les paquets, le texte ou les fichiers, des informations différentes sont appropriées.

  • Lors de l'affichage des fichiers, vous pouvez exporter des fichiers dans une archive zip sur votre système de fichiers local.
  • Vous pouvez télécharger des logs à partir de la vue Texte, et exporter des paquets à partir de la vue Paquet.

Cette figure est un exemple de la vue Analyse d'événements.

example of the Event Analysis view

Vue Hôtes

La vue Enquêter > Hôtes affiche tous les hôtes doté d'un agent. Par défaut, les hôtes sont répertoriés en fonction de la dernière heure d'analyse, avec les hôtes dernièrement analysés en tête de liste. Cela permet d'effectuer une recherche approfondie dans les détails de l'hôte pour la procédure d'enquête.

Voici un exemple de la vue Hôtes.

Hosts View

Cette vue vous permet d'effectuer les opérations suivantes :

  • Filtrer et trier les hôtes pour affiner l'enquête sur l'hôte
  • Exporter les attributs de l'hôte dans un fichier CSV
  • Démarrer ou arrêter une analyse pour les hôtes sélectionnés
  • Rechercher plus de détails sur les hôtes
  • Pivoter vers la vue Naviguer ou Analyse d'événements pour enquêter sur l'hôte
  • Supprimer les hôtes

Remarque : Si vous disposez de NetWitness Endpoint 4.4.0.2 ou version ultérieure dans votre déploiement, les hôtes sur lesquels l'agent 4.4.0.2 est installé sont répertoriés et peuvent être identifiés à l'aide de la version de l'agent. Pour plus d'informations sur la façon dont vous pouvez étudier ces hôtes, voir Enquêter sur les hôtes NetWitness Endpoint 4.4.0.2 ou version ultérieure.

Pour afficher les détails d'un hôte, cliquez sur le nom d'hôte. L'écran suivant s'affiche :

Host Details View

Vous pouvez :

  • Effectuer une recherche sur tous les snapshots (nom de fichier, chemin de fichier et fichier de contrôle SHA-256 sont les champs de recherche pris en charge).
  • Afficher plusieurs snapshots. Par défaut, les données du dernier snapshot sont affichées.
  • Afficher des informations sur les hôtes via les onglets suivants : Présentation, Processus, Exécutions automatiques, Fichiers, Pilotes, Bibliothèques et Informations du système.
  • Exporter toutes les catégories de données de point de terminaison pour l'hôte sélectionné pour un snapshot spécifique au format JSON.

Vue Fichiers

La vue Fichiers fournit une liste de fichiers uniques trouvés dans votre déploiement et leurs propriétés associées. Par défaut, les fichiers sont répertoriés en fonction de la première heure d'affichage. Les types de fichiers suivants, chargés dans la mémoire, sont collectés pendant l'analyse.

  • Portable Executable (PE) (Windows) - Il s'agit de fichiers exe, dll, et sys. Vous pouvez afficher les propriétés suivantes pour chaque fichier : somme de contrôle, détails de compilation, différentes sections présentes dans le fichier, bibliothèques importées et détails du certificat (signataire, empreinte, nom de l'entreprise).

  • Macho (Mac) : Il s'agit d'ensembles d'applications, de dylibs et d'extensions de noyau. Vous pouvez afficher les propriétés suivantes pour chaque fichier : somme de contrôle, différentes sections présentes dans le fichier, bibliothèques importées et détails du certificat (signataire, empreinte, nom de l'entreprise).
  • Format ELF (Executable and Linkable Format) (Linux) - Chaque fichier contient des informations sur la somme de contrôle, les différentes sections présentes dans le fichier et les bibliothèques importées. Vous pouvez afficher les propriétés suivantes pour chaque fichier : somme de contrôle, différentes sections présentes dans le fichier, et bibliothèques importées.

Voici un exemple de la vue Fichiers.

Files View

Dans la vue Fichiers, vous pouvez :

  • Filtrer et trier les fichiers pour affiner les critères de l'enquête.
  • Pivoter vers la vue Naviguer ou Analyse d'événements pour enquêter sur le fichier
  • Exporter les fichiers dans un fichier CSV

Vue Analyse de malware

La vue Malware Analysis fournit un moyen d'analyser certains types d'objets de fichiers (par exemple, Windows Portable Executable [PE], PDF et Microsoft Office) pour évaluer la probabilité qu'un fichier est malveillant.

  • Vous pouvez ouvrir la vue Malware Analysis directement, ou vous pouvez utiliser une action de menu contextuel pour analyser des malware à partir d'une métavaleur dans un point d'extraction actuel dans la vue Naviguer.
  • L'analyste de malware peut valoriser les modules d'évaluation à plusieurs niveaux pour hiérarchiser le nombre massif de fichiers capturés afin de concentrer les efforts d'analyse sur les fichiers qui sont plus susceptibles d'être malveillants.

La figure suivante illustre la vue Malware Analysis.

example of the Malware Analysis Summary of Events

Informations contextuelles pour un événement

À partir de la vue Naviguer et de la vue Événements, le panneau Recherche contextuelle vous permet de consulter les détails à propos des éléments associés à un événement (adresse IP, utilisateur, hôte, domaine, adresse MAC, nom de fichier, hachage de fichier) dans Context Hub.

  • Vous pouvez interagir avec les éléments d'un événement pour obtenir davantage d'informations, y compris les incidents associés, alertes, listes personnalisées, ressources Archer, informations Active Directory, et NetWitness Endpoint IIOC.
  • Vous pouvez cliquer sur un point de données pour revenir à la vue Naviguer.

La figure ci-dessous montre le panneau Recherche contextuelle dans Vue Naviguer.

the Context Lookup panel in the Navigate view

Remarque : Pour NetWitness Endpoint, la recherche contextuelle est uniquement disponible pour les hôtes NetWitness Endpoint 4.4.0.2 ou version ultérieure, mais pas pour les hôtes NetWitness Endpoint 11.1.

Reconstruction d'événement

Trois vues NetWitness Investigate offrent la possibilité de reconstruire un événement : Les vues Naviguer, Événements et Analyse d'événements. Lorsque vous découvrez un événement qui mérite une procédure d'enquête supplémentaire, vous pouvez reconstruire un événement en toute sécurité dans un format similaire à sa forme native. Le rendu des événements limite l'utilisation du code dynamique ou actif qui peut faire partie de l'événement pour limiter les effets négatifs sur votre système ou navigateur. Le cache est utilisé pour améliorer les performances lors de l'affichage d'événements précédemment affichés. Chaque analyste dispose d'un cache distinct de données de reconstruction, et vous ne pouvez accéder qu'à des événements reconstitués dans votre propre cache.

La Reconstruction d'événement dans la vue Événements ou la vue Naviguer présente les données brutes et les clés méta, ainsi que les valeurs de métadonnées pour un événement dans un formulaire de liste.

  • Vous pouvez faire défiler la reconstruction pour afficher l'événement suivant dans ce formulaire.
  • Les événements peuvent être reconstruits à l'aide de différentes méthodes en fonction du type de données : données méta, texte, format hexadécimal, paquets, web, courrier, fichiers ou la meilleure reconstruction sélectionnée automatiquement.
  • Vous pouvez exporter des fichiers de capture de paquets, extraire des fichiers et exporter les valeurs méta pour l'événement. Cette figure est un exemple de la Reconstruction d'événement.

the Event Reconstruction view

La vue Analyse d'événements présente une reconstruction d'événement interactive, ce qui inclut les données brutes, les clés et les valeurs méta. Options interactives :

  • Mettent les informations en surbrillance et les décodent dans les en-têtes et les charges utiles.
  • Identifient les signatures des fichiers communs.
  • Permettent de rechercher les emplacements de certaines clés ou valeurs méta dans la reconstruction.
  • Permettent d'exporter les événements et les fichiers.

Cette figure est un exemple de reconstruction dans la vue Analyse d'événements.

example of a reconstruction in the Event Analysis view

You are here
Table of Contents > Fonctionnement de NetWitness Investigate

Attachments

    Outcomes