Répondre : Déterminer les incidents exigeant une action

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Après avoir obtenu des informations générales sur l'incident dans la vue Liste des incidents, vous pouvez accéder à la vue Détails de l'incident pour plus d'informations afin de déterminer l'action requise.

Incident Details view

Afficher les détails sur l'incident

Pour afficher les détails d'un incident, dans la vue Liste des incidents, choisissez un incident à afficher et cliquez sur le lien dans la colonne ID ou NOM de cet incident.

Incident List view showing link to the details view in the Name column

La vue Détails de l'incident pour l'incident sélectionné s'affiche avec le panneau Présentation et le Graphique de nœud.

Incident Details view example

La vue Détails de l'incident inclut les panneaux suivants :

  • PRÉSENTATION : Le panneau de présentation de l'incident contient des informations de synthèse générales sur l'incident, telles que la note, la priorité, les alertes et l'état. Vous pouvez modifier la priorité del'incident, l'état de l'incident et la personne affectée à l'incident.
  • INDICATEURS : Le panneau Indicateurs contient une liste chronologique des indicateurs. Les indicateurssont des alertes, comme une alerte ESA ou une alerte NetWitness Endpoint. Cette liste vous aide à connecter les indicateurs et les données importantes. Par exemple, une adresse IP est connectée à une commande, et une alerte ESA de communication peut également avoir déclenché une alerte NetWitness Endpoint ou d'autres activités suspectes.
  • Graphique de nœud : Le graphique de nœud est un graphique interactif qui illustre les relations entre les entités impliquées dans l'incident. Une entité est un composant spécifié de méta, comme l'adresse IP, l'adresse MAC, l'utilisateur, l'hôte, le domaine, le nom de fichier ou le hachage de fichier.
  • Événements : Le panneau Événements, également connu sous le nom de Tableau des événements, répertorie les événements associés à l'incident. Il indique également les informations de source et de destination de l'événement, ainsi que des informations supplémentaires en fonction du type d'événement. Vous pouvez cliquer sur un événement dans la liste pour afficher les données détaillées pour cet événement.
  • JOURNAL : Le panneau Journal permet d'accéder au Journal de l'incident sélectionné, ce qui vous permet de communiquer et de collaborer avec d'autres analystes. Vous pouvez valider les notes dans un journal, ajouter des balises Étape Investigation (Reconnaissance, Remise, Exploitation, Installation, Commande et contrôle), et afficher l'historique de l'activité sur votre incident.
  • TÂCHES : Le panneau Tâches affiche toutes les tâches qui ont été créées pour l'incident. Vous pouvez également créer des tâches supplémentaires à cet endroit.
  • ASSOCIÉ : Le panneau Indicateurs connexes vous permet d'effectuer une recherche dans la base de données des alertes NetWitness Suite pour trouver les alertes liées à cet incident. Vous pouvez également ajouter des alertes associées à l'incident.

Pour afficher plus d'informations dans le volet de gauche sans défilement, vous pouvez vous placez le pointeur sur le bord droit et faire glisser la ligne pour redimensionner le panneau, comme illustré dans la figure suivante :

Indident Details view showing how to resize the panel

Afficher les informations récapitulatives de base sur l'incident

Vous pouvez afficher des informations récapitulatives de base relatives à un incident dans le panneau Présentation.

Au-dessus du Panneau de présentation, vous pouvez voir les informations suivantes :

  • ID d'incident : il s'agit d'un ID unique créé automatiquement et attribué à l'incident.
  • Nom : Le nom de l'incident est dérivé de la règle utilisée pour déclencher l'incident.

Top of left panel

Pour afficher le volet Présentation à partir de la vue Détails de l'incident, sélectionnez Présentation dans le volet de gauche.

Overview panel

Pour afficher le panneau Présentation à partir de la vue Liste d'incidents, cliquez sur un incident dans la liste. Le panneau Présentation s'affiche sur la droite.

Incident List with the Overview panel open

Le panneau Présentation contient les informations récapitulatives de base relatives à l'incident sélectionné :

  • Créé : Affiche la date et l'heure de création de l'incident.
  • Règle / Par : Affiche le nom de la règle qui a créé l'incident ou le nom de la personne qui a créé l'incident.
  • Valeur de risque : indique le risque de l'incident, calculé via un algorithme et compris entre 0 et 100. 100 est la valeur de risque la plus élevée.
  • Priorité : Affiche la priorité de l'incident. La priorité peut être critique, élevée, moyenne ou faible.
  • État : affiche l'état de l'incident. L'état peut être Nouveau, Attribué, En cours, Tâche demandée, Tâche terminée, Clôturé et Clôturé (faux positif). Après avoir créé une tâche, l'état devient Tâche demandée.
  • Personne affectée: Affiche le membre de l'équipe actuellement attribué à l'incident.
  • Sources : Indique les sources de données utilisées pour rechercher l'activité suspecte.
  • Catégories : affiche les catégories des événements d'incident.
  • Catalysts : affiche le nombre d'indicateurs qui a donné lieu à l'incident.

Afficher les indicateurs et les enrichissements

Remarque : les indicateurs sont des alertes, comme une alerte ESA ou une alerte NetWitness Endpoint.

Vous trouverez les indicateurs, les événements et les enrichissements dans le panneau Indicateurs. Le panneau Indicateurs est une liste chronologique d'indicateurs qui vous aide à trouver des enrichissements et des événements liés à l'indicateur de déclenchement. Par exemple, un indicateur peut être une alerte de commande et contrôle, une alerte NetWitness Endpoint, une alerte de domaines suspects (C2) ou une alerte à partir d'une règle Event Stream Analysis (ESA). Le panneau Indicateurs vous aide à agréger et organiser ces indicateurs à partir de différents systèmes afin que vous puissiez voir comment elles sont associées et vous aident à développer une chronologie d'une attaque donnée.

Pour afficher le panneau Indicateurs, dans le panneau gauche de la vue Détails sur l'incident, sélectionnez INDICATEURS.

Indicators panel

Les indicateurs sont des alertes, par exemple une alerte ESA ou une alerte NetWitness Endpoint. Cette liste vous aide à connecter les indicateurs et les données importantes. Par exemple, des indicateurs peuvent affichent les données trouvées par vos règles. Dans le panneau Indicateurs, la valeur de risque d'un indicateur s'affiche dans un cercle de couleur unie.

Les informations de sources de données sont présentées sous les noms des indicateurs. Vous pouvez également voir la date de création et l'heure de l'indicateur, ainsi que le nombre d'événements dans l'indicateur. Lorsque des données sont disponibles, vous pouvez voir le nombre d'enrichissements. Vous pouvez cliquer sur les boutons d'événement et d'enrichissement pour afficher les détails.

Afficher et étudier les événements

Vous pouvez afficher et étudier les événements associés à l'incident dans le panneau Événements. Il présente des informations sur les événements, comme l'heure de l'événement, l'adresse IP source, l'adresse IP de destination, l'adresse IP du détecteur, l'utilisateur source, l'utilisateur de destination et les informations de fichier sur les événements. La quantité d'informations répertoriées varie selon le type d'événement.

Il existe deux types d'événements :

  • Une transaction entre deux machines (une source et une destination)
  • Une anomalie détectée sur une seule machine (un détecteur)

Certains événements ne disposent que d'un détecteur. Par exemple, NetWitness Endpoint détecte des malware sur votre machine. D'autres événements posséderont une source et une destination. Par exemple, les données de paquets affichent une communication entre votre ordinateur et une commande et le domaine de contrôle (C2).

Vous pouvez effectuer une recherche verticale dans un événement pour obtenir des données détaillées à son sujet.

Pour afficher et étudier les événements :

  1. Pour afficher le panneau Événements, dans la barre d'outils de la vue Détails de l'incident, cliquez sur View Datasheet icon - It opens the Events panel.
    Events panel
    Le panneau Événements présente la liste des informations sur chaque événement, comme indiqué dans le tableau suivant.

    Colonne

    Description

    HEUREAffiche l'heure à laquelle l'événement s'est produit.
    TYPEAffiche le type d'alerte, comme Log et Réseau.
    IP SOURCEAffiche l'adresse IP source s'il y a eu une transaction entre les deux machines.
    PORT SOURCEIndique le port de la source de la transaction. Les ports source et de destination peuvent être sur la même adresse IP.
    HÔTE SOURCEAffiche l'hôte source dans lequel l'événement a eu lieu.
    MAC SOURCEAffiche l'adresse MAC de la machine source.
    UTILISATEUR SOURCEAffiche l'utilisateur de la machine source.
    IP de destinationAffiche l'adresse IP de destination s'il y a eu une transaction entre les deux machines.
    Port de destinationIndique le port de la destination de la transaction. Les ports source et de destination peuvent être sur la même adresse IP.
    HÔTE DE DESTINATIONAffiche l'hôte de destination dans lequel l'événement a eu lieu.
    ADRESSE MAC DE DESTINATIONAffiche l'adresse MAC de la machine de destination.
    UTILISATEUR DE DESTINATIONAffiche l'utilisateur de la machine de destination.
    IP DÉTECTEURAffiche l'adresse IP de la machine sur laquelle une anomalie a été détectée.
    NOM DE FICHIERAffiche le nom du fichier si un fichier est impliqué dans l'événement.
    HACHAGE DE FICHIERPrésente un hachage du contenu du fichier.

    S'il existe un seul événement dans la liste, vous verrez les détails de cet événement au lieu d'une liste.

  2. Cliquez sur un événement dans la liste Événements pour afficher les détails Événement.
    Cet exemple montre les détails de l'événement pour le premier événement dans la liste.
    Event Details - First Event
  3. Utilisez la navigation Détails de l'événement pour afficher les détails pour d'autres événements.
    Cet exemple montre le deuxième événement dans la liste.
    Event Details - Second event showing navigation

Afficher et étudier les entités impliquées dans les événements

Une entité peut être une adresse IP, une adresse MAC, un utilisateur, un hôte, un domaine, un nom de fichier ou un hachage de fichier. Le graphique de nœud est un graphique interactif que vous pouvez déplacer pour mieux comprendre la façon dont les entités impliquées dans les événements sont reliées entre elles. Les graphiques de nœud ont un aspect différent selon le type d'événement, le nombre de machines impliquées, selon que les machines sont associées à des utilisateurs, et selon qu'il existe des fichiers associés à l'événement.

La figure suivante illustre un exemple de graphique de nœud avec six nœuds.

Nodal graph

Si vous examinez attentivement le graphique de nœud, vous pouvez voir les cercles qui représentent des nœuds. Un graphique de nœud peut contenir un ou plusieurs des types de nœuds suivants :

  • Adresse IP (si l'événement est une anomalie détectée, vous voyez une adresse IP du détecteur. Si l'événement est une transaction, vous voyez une adresse IP de destination et une adresse IP source.)
  • Adresse MAC (vous pouvez voir une adresse MAC pour chaque type d'adresse IP).
  • Utilisateur (si la machine est associée à un utilisateur, vous voyez un nœud d'utilisateur.)
  • Hôte
  • Domaine
  • Nom de fichier (si l'événement implique des fichiers, vous pouvez voir un nom de fichier.)
  • Hachage de fichier (si l'événement implique des fichiers, vous voyez un hachage de fichier.)

La légende en bas du graphique de nœud indique le nombre de nœuds de chaque type et le code couleur des nœuds.

Vous pouvez cliquer sur n'importe quel nœud et le faire glisser pour le repositionner.

Les flèches entre les nœuds fournissent des informations supplémentaires sur les relations d'entité :

  • Communique avec : une flèche entre un nœud de machine source (adresse IP ou adresse MAC) et un nœud de machine de destination nommé « communique avec » indique la direction de la communication.
  • En tant que : une flèche entre les nœuds nommée « en tant que » fournit des informations complémentaires sur l'adresse IP vers laquelle la flèche pointe. Dans l'exemple ci-dessus, une flèche à partir du cercle du nœud hôte pointe vers un nœud de l'adresse IP hachée nommé « en tant que ». Cela indique que le nom sur le cercle de nœud d'hôte est le nom d'hôte de l'adresse IP et qu'il n'est pas une autre entité.
  • Contient le fichier : une flèche entre un nœud de machine (adresse IP, adresse MAC ou hôte) et un nœud de hachage de fichier identifié par « contient » indique que l'adresse IP contient ce fichier.
  • Utilise : une flèche entre un nœud d'utilisateur et un nœud de machine (adresse IP, adresse MAC ou hôte) nommée « utilise » indique la machine que l'utilisateur utilisait lors de l'événement.
  • Est nommé : une flèche à partir d'un nœud de hachage de fichier vers un nœud de nom de fichier accompagné de « est nommé » indique que le hachage de fichier correspond à un fichier portant ce nom.
  • Appartient à : une flèche entre deux nœuds identifiée par « appartient à » indique qu'ils appartiennent au même nœud. Par exemple, une flèche entre une adresse MAC et un hôte nommé « appartient à » indique qu'il s'agit de l'adresse MAC de l'hôte.

Des flèches avec une ligne de taille supérieure représentent plus de communication entre les nœuds. Des nœuds plus grands (cercles) indiquent davantage d'activité que les nœuds plus petits. Les nœuds de plus grande taille sont les entités les plus courantes mentionnées dans les événements.

L'exemple de graphique de nœud suivant contient dix nœuds.

Nodal graph example showing 10 nodes

Dans cet exemple, notez que deux nœuds IP présentent une forte activité. Ils contiennent tous deux des fichiers, mais ne communiquent pas entre eux. L'adresse IP dans la partie supérieure (192.168.1.1) correspond à une machine avec deux noms d'hôte (hote.example.com et INENDEBS1L2C) dans le domaine example.com. L'adresse MAC de la machine est 11-11-11-11-11-11-11-11-11 et Alice l'utilise.

Filtrer les données dans la vue Détails de l'incident

Vous pouvez cliquer sur les indicateurs dans le panneau Indicateurs pour filtrer ce que vous pouvez voir dans le graphique de nœud et la Liste des événements.

Si vous sélectionnez un indicateur pour filtrer le graphique de nœud, les données qui ne font pas partie de votre sélection sont grisées, mais elles restent toujours dans la vue comme indiqué dans la figure suivante.

Nodal graph filtered by incidents

Si vous sélectionnez un indicateur pour filtrer la liste des événements, seuls les événements de cet indicateur sont affichés dans la liste. La figure suivante montre un indicateur sélectionné qui contient deux événements. La Liste des événements filtrée présente ces deux événements.

Incident Details view - An indicator selected with two events filters the Events list

Si vous sélectionnez un indicateur pour filtrer la liste des événements et qu'il n'existe qu'un seul événement pour cet indicateur, vous pouvez voir les détails de l'événement pour cet événement, comme illustré dans la figure suivante.

Incident Details view - An indicator selected with one event shows the details for that event

Afficher les tâches associées à un incident

Les intervenants de menaces et d'autres analystes peuvent créer des tâches pour un incident et suivre ces tâches jusqu'à l'achèvement. Cela peut être très utile, par exemple, lorsque vous avez besoin d'actions sur les incidents de la part d'équipes en dehors de vos opérations de sécurité. Vous pouvez afficher les tâches associées à un incident dans la vue Détails de l'incident.

  1. Accédez à RÉPONDRE > Incidents et recherchez l'incident que vous souhaitez afficher dans la Liste des incidents.
  2. Cliquez sur le lien dans le champ ID ou NOM de l'incident pour accéder à la vue Détails de l'incident.
  3. Dans la barre d'outils de la vue Détails de l'incident, cliquez sur Journal, Tasks, and Related icon.
    Le panneau Journal s'ouvre.
  4. Cliquez sur l'onglet TÂCHES.
    Le panneau Tâches affiche toutes les tâches pour l'incident.
    TASKS panel

Pour plus d'informations sur les tâches, reportez-vous à la section Vue Liste des tâches, Afficher toutes les tâches d'incident et Créer une tâche.

Afficher les notes sur l'incident

Le Journal des incidents vous permet d'afficher l'historique d'activité sur votre incident. Vous pouvez afficher les entrées de journal d'autres analystes et communiquer et collaborer avec eux.

  1. Accédez à RÉPONDRE > Incidents et recherchez l'incident que vous souhaitez afficher dans la Liste des incidents.
  2. Cliquez sur le lien dans le champ ID ou NOM de l'incident pour accéder à la vue Détails de l'incident.
  3. Dans la barre d'outils de la vue Détails de l'incident, cliquez sur Journal, Tasks, and Related icon.
    Le panneau Journal affiche tous les entrées de journal de l'incident.
    Journal panel

Rechercher des indicateurs connexes

Les Indicateurs connexes sont des alertes qui ne faisaient pas partie de l'incident sélectionné à l'origine, mais qui sont associés à l'incident. La relation peut être évidente ou non. Par exemple, les indicateurs connexes peuvent impliquer une ou plusieurs entités de l'incident, mais ils peuvent également être associés en raison de certains renseignements en dehors de NetWitness Suite.

Dans le panneau Associé de la vue Détails de l'incident, vous pouvez rechercher une entité (par exemple, IP, MAC, Hôte, Domaine, Utilisateur, Nom de fichier ou Hachage) dans les autres alertes en dehors de l'incident actuel.

  1. Accédez à RÉPONDRE > Incidents et recherchez l'incident que vous souhaitez afficher dans la Liste des incidents.
  2. Cliquez sur le lien dans le champ ID ou NOM de l'incident pour accéder à la vue Détails de l'incident.
  3. Dans la barre d'outils de la vue Détails de l'incident, cliquez sur Journal, Tasks, and Related icon.
    Le panneau Journal s'ouvre sur la droite.
  4. Cliquez sur l'onglet ASSOCIÉS.
    Related Indicators panel
  5. Cliquez sur Rechercher.
    Une liste des indicateurs connexes (alertes) s'affiche sous le bouton Rechercher dans la section Indicateurs pour. Si une alerte ne fait pas partie d'un autre incident, vous pouvez cliquer sur le bouton Ajouter à l'incident pour ajouter l'indicateur associé (alerte) à l'incident actuel. Reportez-vous à la section Ajouter des indicateurs connexes à l'incident ci-dessous.

Ajouter des indicateurs connexes à l'incident

Vous pouvez ajouter des indicateurs connexes (alertes) à l'incident actuel à partir du panneau Indicateurs connexes. Un indicateur qui fait pas déjà partie d'un incident ne peut pas faire partie d'un autre incident. Dans les résultats de recherche, si une alerte ne fait pas déjà partie d'un incident, elle possède un bouton Ajouter à l'incident.

  1. Dans le panneau ASSOCIÉS (Indicateurs connexes), effectuez une recherche pour trouver les indicateurs connexes. Reportez-vous à la section Rechercher des indicateurs connexes ci-dessus.
    Related Indicators panel
  2. Passez en revue les alertes dans les résultats de recherche. La section Indicateurs pour (sous le bouton Rechercher) affiche les indicateurs connexes (alertes).
  3. Pour examiner les détails d'une alerte avant de l'ajouter en tant qu'indicateur associé à l'incident, vous pouvez cliquer sur le lien Ouvrir dans une nouvelle fenêtre pour afficher les détails de l'alerte pour cet indicateur.
  4. Pour chaque alerte que vous souhaitez ajouter à l'incident en tant qu'indicateur associé, cliquez sur le bouton Ajouter à l'incident.
    L'indicateur associé sélectionné s'ajoute dans le panneau Indicateurs sur la gauche. Le bouton dans le panneau Indicateurs connexes sur la droite affiche à présent Partie de cet incident.
    Indicator find results showing Part of this Incident button after adding the indicator to the incident
Previous Topic:Réponse aux incidents
You are here
Table of Contents > Déterminer les incidents exigeant une action

Attachments

    Outcomes