Répondre : Panneau Recherche contextuelle

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Le service Context Hub rassemble des informations contextuelles issues de plusieurs sources de données dans la vue Répondre pour permettre aux analystes de prendre de meilleures décisions durant leurs analyses et d'appliquer les mesures appropriées. En affichant les entités, les métadonnées et les informations contextuelles dans une même interface, les analystes peuvent privilégier et identifier les domaines clés. Par exemple, les incidents et alertes récemment générés depuis la vue Répondre et qui englobent une entité ou une métadonnée s'affichent lorsque l'analyste recherche des informations contextuelles pour cette entité ou cette métadonnée. Le panneau Recherche contextuelle affiche les informations contextuelles relatives aux entités ou aux métadonnées sélectionnées telles que : Adresse IP, Utilisateur, Hôte, Domaine, Nom de fichier ou Hachage de fichier. Les données disponibles varient selon les sources configurées dans le service Context Hub.

    

Le panneau Recherche contextuelle affiche les informations contextuelles en fonction des données disponibles dans les sources configurées du service Context Hub.

Que voulez-vous faire ?

                                 
RôleJe souhaite...Me montrer comment

Responsables de la réponse aux incidents, analystes, responsables de la recherche des menaces

Accéder au panneau Recherche contextuelle.

Dans la vue Détails sur l'incident, vous pouvez Afficher les informations contextuelles .

Dans la vue Détails relatifs aux alertes, vous pouvez Afficher les informations contextuelles .

Responsables de la réponse aux incidents, analystes, responsables de la recherche des menacesComprendre les informations contenues dans le panneau Recherche contextuelle pour une entité sélectionnée.Consultez les informations contenues dans cette rubrique.

Administrateur

Configurer des sources de données pour Context Hub.Consultez la rubrique « Configurer les sources de données du service Context Hub » du Guide de configuration de Context Hub.
AdministrateurConfigurer les paramètres de Context Hub.Consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.

Rubriques connexes

Informations contextuelles affichées dans le panneau Recherche contextuelle

Les informations contextuelles ou les résultats de la requête affichés dans le panneau Recherche contextuelle dépendent de l'entité sélectionnée et des sources de données associées.

Le panneau Recherche contextuelle comporte des onglets distincts pour chacune des sources de données. L'onglet Source de données de liste est l'onglet affiché en premier dans le panneau contextuel, suivi par Archer, EndPoint, Incidents, Alertes et Live Connect.

La figure suivante affiche le panneau Recherche contextuelle pour une entité sélectionnée dans la vue Détails sur l'incident. Onglet Incidents du panneau Recherche contextuelle.
Context Lookup panel Incidents tab

Le tableau suivant décrit les données disponibles sur chaque onglet et les entités prises en charge.

                                                
OngletDescriptionEntités prises en charge

Lists icon
(Listes)

Affiche toutes les données de liste associées à l'entité ou aux métadonnées sélectionnées. Le résultat est trié selon la dernière liste mise à jour.

Toutes les entités

Archer icon
(Archer)
Affiche des informations relatives aux ressources, ainsi que la criticité, à l'aide de la source de données Archer.IP et hôte

Active Directory icon
(Active Directory)

Affiche toutes les informations utilisateur pour l'utilisateur sélectionné.

Utilisateur

NetWitness Endpoint icon
(NetWitness Endpoint)



Affiche les informations de source de données NetWitness Endpoint pour l'entité ou les métadonnées sélectionnées, notamment les machines, les modules et les niveaux IIOC. Les modules sont triés de la valeur IOC la plus élevée à la valeur IIOC la plus faible et les niveaux IIOC sont triés du niveau IOC le plus élevé au niveau IOC le plus faible.IP, adresse MAC et hôte
Incidents icon
(Incidents)
Affiche la liste des incidents associés à l'entité ou aux métadonnées sélectionnées. Le résultat est trié des incidents les plus récents aux incidents les plus anciens.

Toutes les entités

Alerts icon
(Alertes)
Affiche la liste des alertes associées à l'entité ou aux métadonnées sélectionnées. Le résultat est trié des alertes les plus récentes aux alertes les plus anciennes.Toutes les entités
Live Connect icon
(Live Connect)
Affiche les informations relatives à Live Connect.

IP, domaine et hachage de fichier

Listes

Le panneau Recherche contextuelle des listes présente une ou plusieurs listes associées à l'entité sélectionnée ou la métadonnée sélectionnée. La figure suivante offre un exemple du panneau Recherche contextuelle pour les listes.

Context Panel for Lists

Les informations suivantes s'affichent pour les listes.

                                           
ChampDescription
NomNom de la liste (défini lors de la création de la liste).
DescriptionDescription de la liste (définie lors de la création de la liste).
AuteurPropriétaire ayant créé la liste.
CrééDate de création de la liste.
Mise à jourDate de mise à jour ou de modification de la liste.
NombreNombre de listes dans lesquelles l'entité ou la métadonnée sélectionnée est disponible.
PériodeElle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les réponses. Par défaut, toutes les données de listes sont extraites.

Dernière mise à jour

Heure à laquelle le service Context Hub a extrait et stocké les données recherchées dans le cache.

Archer

Le panneau Recherche contextuelle d'Archer affiche des informations relatives aux ressources, ainsi que la criticité à l'aide de la source de données Archer pour les entités et métadonnées IP et Hôte. La figure suivante offre un exemple du panneau Recherche contextuelle d'Archer.
Context panel for Archer

Les informations suivantes s'affichent pour Archer.

                                                               
ChampDescription
Degré de criticitéAffiche le degré de criticité opérationnel du périphérique en fonction des applications que ce dernier prend en charge. La criticité peut avoir les valeurs Non évaluée, Faible, Relativement faible, Moyenne, Relativement élevée, ou Élevée.
ID du périphériqueCe champ affiche la valeur indiquée automatiquement, qui identifie de manière unique l'enregistrement parmi toutes les applications du système.
Nom du périphériqueAffiche le nom unique du périphérique.
Propriétaire du périphériqueAffiche les propriétaires responsables du périphérique qui bénéficient des droits en lecture et mise à jour sur l'enregistrement.
Nom d'hôteAffiche le nom d'hôte du périphérique.
SitesCe champ fournit des liens vers les enregistrements relatifs à ce périphérique dans l'application Sites.
EntitéFournit des liens vers les enregistrements associés à ce périphérique dans l'application Entité.
Évaluation des risquesCe champ identifie le risque estimé pour le périphérique sur la base de la dernière évaluation, ainsi que le risque moyen pour les sites utilisant ce dernier. L'évaluation du risque peut être définie comme étant Grave, Élevée, Moyenne, Faible, ou Minimale.
TypeAffiche le type de périphérique tel que serveur, ordinateur portable, ordinateur de bureau, etc.
Adresse IPAffiche l'adresse IP interne principale du périphérique.

Nombre

Affiche le nombre de ressources disponibles.

Période

Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les réponses. Par défaut, toutes les données Archer sont extraites.

Dernière mise à jour Heure à laquelle le service Context Hub a extrait et stocké les données recherchées dans le cache.
  

Active Directory

La figure suivante offre un exemple du panneau contextuel d'Active Directory.

Context panel for Active Directory

Le panneau Recherche contextuelle d'Active Directory affiche l'ensemble des informations, incidents et alertes connexes pour un utilisateur. Vous pouvez effectuer la recherche à l'aide des formats suivants :

  • userPrincipalName
  • Domain\UserName
  • sAMAccountName

Si l'utilisateur existe dans plusieurs domaines ou plusieurs forêts, toutes les informations de contexte associées sont affichées pour l'utilisateur spécifique.

Les informations suivantes s'affichent pour Active Directory.

                                                                               
ChampDescription

Nom d'affichage

Affiche le nom de l'utilisateur.

ID de l'employé

Affiche l'ID d'employé de l'utilisateur.

Téléphone

Affiche le numéro de téléphone de l'utilisateur.

E-mail

Affiche l'ID e-mail de l'utilisateur.

ID utilisateur AD

Affiche l'identification unique de l'utilisateur spécifique au sein d'une organisation.

Poste

Affiche la désignation de l'utilisateur.

Gestionnaire

Affiche le nom du responsable de

Groupes

Affiche la liste des groupes dont l'utilisateur est membre.

Entreprise

Affiche le nom de l'entreprise à laquelle appartient l'utilisateur spécifique.

Département

Affiche le nom du département de l'organisation auquel appartient l'utilisateur spécifique.

Emplacement

Affiche l'emplacement de l'utilisateur.

Dernière connexion

Affiche l'heure à laquelle l'utilisateur spécifique s'est connecté au système, uniquement si le Catalogue global est défini.

Horodatage de la dernière connexionAffiche l'heure à laquelle l'utilisateur spécifique s'est connecté au système.
Nom uniqueAffiche le nom unique attribué à l'utilisateur.
Nombre

Affiche le nombre d'utilisateurs.

Période

Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, toutes les données Active Directory sont extraites.

Dernière mise à jour

Heure à laquelle le service Context Hub a extrait et stocké les données recherchées dans le cache.

  

NetWitness Endpoint

Le panneau Recherche contextuelle de NetWitness Endpoint affiche les informations suivantes.

Context panel for NetWitness Endpoint

Les informations suivantes s'affichent pour IIOC.

                                           
ChampDescription
Nbre de modulesAffiche le nombre de modules sur lesquels porte la recherche.
État adminAffiche l'état admin (le cas échéant).
Dernière mise à jourAffiche l'heure de la dernière actualisation des données.
Dernière connexionAffiche l'heure à laquelle l'utilisateur s'est connecté pour la dernière fois.
Adresse MACAdresse MAC de la machine.
Système d'exploitationVersion du système d'exploitation utilisé par la machine NetWitness Endpoint.
État de l'ordinateurIndique si le module consulté est En ligne, Hors ligne, Actif ou Inactif.
Adresse IPAffiche l'adresse IP du module spécifique.

Les informations suivantes s'affichent pour les modules.

                               
ChampDescription
Score IIOCLe score IIOC de la machine est un score agrégé basé sur les scores des modules. Cela dépend de la valeur définie pour le champ « Valeur IIOC minimale » dans les paramètres de source de données pour Context Hub. La valeur par défaut pour « Valeur IIOC minimale » est 500. Consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.
Nom du moduleNom du module qui est consulté.
Score d'analyseNombre de fichiers actifs pour la machine sélectionnée.
Nombre de machines Indique le moment de la dernière mise à jour des résultats de l'analyse dans la base de données NetWitness Endpoint.
SignatureIndique si le fichier est signé ou non signé, valide ou non valide et fournit des informations relatives aux signataires. Par exemple, Google, Apple, etc.

Les informations suivantes s'affichent pour les machines.

                                   
ChampDescription

Niveaux IOC

Affiche les niveaux IOC.

DescriptionAffiche la description les niveaux IOC, le cas échéant.
Dernière exécution Affiche l'heure à laquelle la tâche a été exécutée.

Nombre

Affiche le nombre d'hôtes sur lesquels porte la recherche.

PériodeElle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, toutes les données NetWitness Endpointsont extraites.
Dernière mise à jourIndique le moment de la dernière mise à jour des résultats de l'analyse dans la base de données NetWitness Endpoint.

Alertes

La figure suivante est un exemple du panneau contextuel pour Alertes qui s'affiche en fonction de l'heure (du plus récent au plus ancien), puis de l'état de gravité.

Context panel for Alerts

Le panneau Recherche contextuelle des alertes affiche les informations suivantes.

                                               
ChampDescription
CrééDate et heure de création de l'alerte.
GravitéGravité de l'alerte
NomNom de l'alerte. Cliquez sur le nom pour afficher les détails d'une alerte spécifique.
SourceNom de la source de l'alerte à partir du déclenchement de l'alerte.
ÉvénementsNombre d'événements associés à l'alerte.
ID d'incidentID de l'incident associé à l'alerte (le cas échéant). Cliquez sur l'ID pour afficher les détails d'une alerte spécifique.

Nombre

Affiche le nombre d'alertes. Par défaut, seules les 100 premières alertes sont affichées. Pour plus d'informations sur la façon de configurer les paramètres, consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.

Période

Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, les données d'alerte pour les 7 derniers jours sont extraites.

Dernière mise à jourIndique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois.

Incidents

La figure suivante est un exemple du panneau contextuel des incidents qui s'affiche en fonction de l'heure (du plus récent au plus ancien), puis de l'état de priorité.

Context panel for Incidents

Le panneau Recherche contextuelle des incidents affiche les informations suivantes.

                                                       
ChampDescription
CrééDate de création de l'incident
PrioritéPriorité des incidents
Valeur de risqueValeur de risque des incidents
IDID d'incident de l'incident. Si vous cliquez dessus, plus de détails sur l'incident s'affichent.
NomNom de l'incident
ÉtatÉtat de l'incident
Personne affectéePropriétaire actuel de l'incident
AlertesNombre d'alertes associées à l'incident

Nombre

Affiche le nombre d'incidents. Par défaut, seules les 100 premières alertes sont affichées. Pour plus d'informations sur la façon de configurer les paramètres, consultez la rubrique « Configurer les paramètres de source de données pour Context Hub » du Guide de configuration de Context Hub.

Période

Elle se base sur la valeur définie dans le champ « Requête dans les derniers » de la fenêtre Configurer les paramètres des sources de données. Par défaut, les données d'alerte pour les 7 derniers jours sont extraites.

Dernière mise à jourIndique lorsque les données contextuelles ont été extraites de la source de données pour la dernière fois.

Live Connect

La figure suivante est un exemple du panneau contextuel de Live Connect.

Context panel for Live Connect

Le panneau Live Connect affiche les informations suivantes :

  • État de révision
  • Évaluation des risques Live Connect
  • Indicateurs de risque
  • Activité de la communauté
  • WHOIS

  • Fichiers, domaines et adresses IP connexes

  • Identité

  • Informations sur le certificat

Le panneau Recherche contextuelle de Live Connect affiche les informations suivantes.

                                                       
ChampDescription
État de révision

Affiche l'état de révision de l'entité Live Connect sélectionnée (IP, fichier ou domaine) en fonction de l'activité des analystes. Cela permet d'avoir une visibilité sur l'activité des analystes au sein d'une organisation.

État
Les types d'état sont les suivants :

  • Nouveau : Si les résultats d'une recherche pour une adresse IP sont affichés pour la première fois au sein de l'organisation.
  • Affiché : Si un analyste de l'organisation a déjà affiché les résultats d'une recherche pour une adresse IP.
  • Marqué comme étant Sûr : Si un analyste de l'organisation a déjà affiché les résultats d'une recherche et marqué l'adresse IP comme étant sûre.
  • Marqué comme étant Risqué : Si un analyste de l'organisation a déjà affiché les résultats d'une recherche et marqué l'adresse IP comme étant risquée.
Évaluation des risques

Affiche l'évaluation des risques concernant l'entité Live Connect sélectionnée (IP, fichier ou domaine) en fonction des commentaires des analystes et de l'analyse Live Connect. Les catégories d'évaluation des risques sont les suivantes :

  • Sûr : L'entité Live Connect est considérée comme sûre.
  • Inconnu : Live Connect ne dispose pas de suffisamment d'informations relatives à cette entité pour calculer le risque.
  • Risque élevé : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. Les entités marquées comme étant à « Risque élevé » requièrent votre attention immédiate.
  • Suspect : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. L'analyse indique une activité potentiellement menaçante qui nécessite une action.
  • Dangereux : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté.
L'entité est classée comme étant à risque élevé, suspecte ou dangereuse et affiche les motifs de risque associés en conséquence.
Commentaires sur l'évaluation des risques

Commentaires sur l'évaluation des risques permettant à l'analyste d'envoyer des commentaires de renseignements sur les menaces concernant une entité au serveur Live Connect.

  • Niveau de compétence de l'analyste
    Vous trouverez ci-dessous des options relatives au niveau de compétence de l'analyste :
    • Niveau 1 - Les analystes de ce niveau définissent généralement les procédures de correction et décident si un incident doit être transféré à d'autres zones d'un SOC (Centre des opérations de sécurité). Il s'agit de la valeur par défaut.
    • Niveau 2 - Les analystes examinent les incidents et capturent les renseignements à partir d'une procédure d'enquête pour générer des commentaires dans différents flux de travail d'un SOC.
    • Niveau 3 - Les analystes partagent les résultats d'une procédure d'enquête avec l'organisation du SOC. En général, ils gèrent les incidents et disposent d'un large éventail de compétences et d'outils nécessaires pour répondre aux incidents.

    Remarque : Lors de la création d'un nouvel utilisateur pour NetWitness Suite (analyste), un administrateur doit être en mesure d'identifier l'utilisateur comme étant de niveau 1, de niveau 2 ou de niveau 3.

  • Confirmation du risque - Confirmation du risque pour l'entité Live Connect sélectionnée (IP, fichier ou domaine). Les catégories de confirmation du risque sont les suivantes :
    • Sûr : L'entité Live Connect est considérée comme sûre.

    • Inconnu : L'analyste n'a pas suffisamment d'informations pour fournir une confirmation de risque

    • Risque élevé : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. Les entités marquées comme étant à « Risque élevé » requièrent votre attention immédiate.
    • Suspect : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté. L'analyse indique une activité potentiellement menaçante qui nécessite une action.
    • Dangereux : Évaluation basée sur l'analyse et les raisons du risque fournies par la communauté.
  • Niveau de confiance - Le niveau de confiance d'un analyste fournissant des commentaires sur l'entité Live Connect. Les catégories de niveau de confiance sont les suivantes :
    • Élevé
    • Moyen
    • Faible.
  • Balises d'indication des risques - Permet de sélectionner une catégorie de balise en fonction de l'analyse.

Risk Feedback panel

Activité de la communauté

Activités de la communauté, telles que :

  • Date du premier affichage dans la communauté.
  • Heure du premier affichage de l'adresse IP/du fichier/du domaine (heure actuelle - heure du premier affichage).

Tendance de l'activité de la communauté :

Si l'adresse IP est connue au sein de la communauté RSA, une représentation graphique de la tendance de l'activité de la communauté s'affiche pour les éléments suivants :

  • Utilisateurs (en %) ayant déjà consulté l'adresse IP dans la communauté Live Connect.
  • Utilisateurs (en %) ayant envoyé des commentaires pour l'adresse IP.
  • Utilisateurs (en %) ayant marqué l'adresse IP comme dangereuse.

Indicateurs de risque

Les indicateurs de risque sont mis en surbrillance en fonction des balises qui sont affectées par la communauté aux entités (adresses IP, fichiers ou domaines).
Risk Indicators

Les balises sont classées comme suit :

  • Reconnaissance
  • Livraison
  • Commande et contrôle
  • Déplacement latéral
  • Escalade des privilèges
  • Emballage et exfiltration

Ces balises sont des exemples et varient selon les entrées reçues de la communauté sur le serveur Live Connect.

L'analyste peut choisir les balises d'indication des risques appropriées tout en fournissant les commentaires de révision.

Les balises mises en surbrillance indiquent que l'entité sélectionnée est associée à cette catégorie et à cette balise en particulier. Le fait de cliquer sur les balises mises en surbrillance affiche la description de la balise.

Identité

Fournit les informations d'identité suivantes pour l'entité ou la métadonnée sélectionnée :

Pour l'adresse IP :

  • Numéro de système autonome (ASN)
  • Préfixe
  • Code et nom du pays
  • Organisation de la personne enregistrée
  • Date

Pour le hachage de fichier :

  • Nom de fichier
  • Taille du fichier
  • MD5
  • SH1
  • SH256
  • Heure de compilation
  • Type Mime

Pour le domaine :

  • Nom du domaine
  • Adresse IP associée
Informations sur le certificat

Fournit les informations suivantes sur le certificat pour le hachage de fichier sélectionné :

  • Émetteur de certificat
  • Validité du certificat
  • Algorithme de signature
  • Numéro de série du certificat
Informations WHO IS

Les informations WHO IS fournissent les détails de la propriété d'un domaine donné.

WHOIS Information

Les informations suivantes concernant le propriétaire du domaine s'affichent :

  • Date de création
  • Date de mise à jour
  • Date d'expiration
  • Type (type d'enregistrement)
  • Nom
  • Organisation
  • Adresse avec le code postal
  • Pays
  • Téléphone
  • Fax 
  • E-mail
Fichiers associés

Les fichiers associés sont affichés pour les types d'entités IP et domaine. Une liste de fichiers associés connus est affichée, avec les informations suivantes :

  • Évaluation des risques Live Connect (Sûr, Risqué ou Inconnu)
  • Nom de fichier
  • MD5
  • Date et heure de la compilation
  • Hachage importation - Fonction API
  • Type Mime

Domaines connexes

Les domaines connexes sont affichés pour les types d'entités IP et domaine. Une liste de domaines connexes connus est affichée, avec les informations suivantes :

  • Évaluation des risques Live Connect (Sûr, Risqué ou Inconnu)
  • Nom du domaine
  • Pays
  • Date enregistrée
  • Date d'expiration
  • E-mail de la personne enregistrée
Adresses IP connexes

Les adresses IP associées sont affichées pour les types d'entités Domaine et Fichiers. Une liste d'adresses IP associées connues est affichée, avec les informations suivantes :

  • Évaluation des risques Live Connect (Sûr, Risqué ou Inconnu)
  • Adresse IP
  • Nom du domaine
  • Code et nom du pays
  • Pays
  • Date enregistrée
  • Date d'expiration
  • E-mail de la personne enregistrée
  
You are here
Table of Contents > Informations de référence de NetWitness Respond > Panneau Recherche contextuelle

Attachments

    Outcomes