Répondre : Enquêter sur l'incident

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 3Show Document
  • View in full screen mode
 

Pour enquêter davantage sur un incident dans la vue Détails de l'incident, vous trouverez des liens vers des informations contextuelles supplémentaires sur l'incident, si elles sont disponibles. Ce contexte supplémentaire peut vous aider à comprendre les contextes technique et métier supplémentaires sur une entité spécifique dans l'incident. Il peut également fournir des informations supplémentaires que vous pouvez étudier pour comprendre toute la portée de l'incident.

Afficher les informations contextuelles

Dans le panneau Indicateurs, panneau Liste d'événements, panneau Détails de l'événement ou Graphique de nœud, vous pouvez voir les entités soulignées. Si une entité est soulignée, NetWitness Platform renseigne les informations relatives à ce type d'entité dans le service Context Hub. Des informations supplémentaires relatives à cette entité peuvent être disponibles dans le service Context Hub.

La figure suivante illustre les entités soulignées dans le panneau Indicateurs et le Graphique de nœud.

Indicators panel and Nodal Graph showing underlined entities

La figure suivante illustre les entités soulignées dans le panneau Détails de l'événement.

Event Details panel showing underlined entities

Le service Context Hub est préconfiguré avec les champs méta mappés aux entités. NetWitness Respond et Enquête de réponse utilisent ces adressages par défaut pour la recherche contextuelle. Pour plus d'informations sur l'ajout de clés méta, consultez « Configurer les paramètres pour une source de données » dans le Guide de configuration de Context Hub.

Attention : Pour que la recherche contextuelle fonctionne correctement dans les vues Répondre et Enquêter, RSA vous recommande, lorsque vous mappez des clés méta dans l'onglet ADMIN > Système > Procédure d'enquête > Recherche contextuelle, d'ajouter uniquement les clés méta aux adressages de clé méta, et non aux champs dans MongoDB. Par exemple, ip.address est une clé méta et ip_address n'est pas une clé méta (il s'agit d'un champ dans MongoDB).

Pour afficher les informations contextuelles :

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée.
    Une info-bulle contextuelle s'affiche avec un bref résumé du type de données contextuelles disponible pour l'entité sélectionnée.
    Nodal Graph showing context tooltip
    L'info-bulle contextuelle comporte deux sections : Points forts du contexte et actions.
    Context tooltip
    Les informations contenues dans la section Points forts du contexte vous aident à déterminer les actions que vous devez entreprendre. Elles peuvent afficher des données connexes pour les Incidents, les Alertes, les Listes, le Point de terminaison, Live Connect, la Criticité et Risques liés aux ressources. En fonction de vos données, vous pourrez peut-être cliquer sur ces éléments pour plus d'informations.
    L'exemple ci-dessus montre 30 incidents connexes, 36 alertes associées, 1 liste pour l’adresse IP, un point de terminaison FAIBLE, criticité ÉLEVÉE et risques liés aux ressources ÉLEVÉE. Aucune information n'est disponible pour Live Connect qui mentionne l'entité d'adresse IP sélectionnée.
  1. La section Actions répertorie les actions disponibles. Dans l'exemple ci-dessus, les options Ajouter à la liste/Supprimer de la liste, Pivoter vers Investigate > Naviguer et Pivoter vers le client Endpoint Thick sont disponibles.

Remarque : Le lien Pivot vers Archer est désactivé lorsque les données Archer ne sont pas disponibles ou lorsqu'Archer DataSource ne répond pas. Vérifiez que la configuration RSA Archer est activée et configurée correctement.

Pour en savoir plus, consultez Pivoter vers Investigate > Naviguer, Pivot vers Archer, Pivoter vers NetWitness Endpoint Thick Client et Ajouter une entité à une liste blanche.

  1. Pour obtenir plus de détails sur l'entité sélectionnée, cliquez sur le bouton Afficher le contexte.
    Le panneau Recherche contextuelle s'ouvre et affiche toutes les informations relatives à l'entité.
    L'exemple suivant présente des informations contextuelles pour une adresse IP sélectionnée. Elle répertorie tous les incidents qui mentionnent l'adresse IP.
    Context panel

Pour comprendre les différentes vues dans le panneau Recherche Context Hub, reportez-vous à la section
Panneau Recherche contextuelle - Vue Répondre .

Ajouter une entité à une liste blanche

Vous pouvez ajouter n'importe quelle entité soulignée à une liste, comme une liste blanche ou noire, à partir d'une info-bulle de contexte. Par exemple, pour réduire les faux positifs, vous pouvez ajouter à la liste blanche un domaine souligné pour l'exclure des entités associées.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez l'entité soulignée que vous souhaitez ajouter à une liste Context Hub.
    Une info-bulle contextuelle s'affiche et présente les actions disponibles.
    Nodal graph showing Add to List option
  2. Dans la section ACTIONS de l'info-bulle, cliquez sur Ajouter à la liste/Supprimer de la liste.
    La boîte de dialogue Ajouter à la liste/Supprimer de la liste affiche les listes disponibles.
    Add to List dialog
  3. Sélectionnez une ou plusieurs listes, puis cliquez sur Enregistrer.
    L'entité s'affiche dans les listes sélectionnées.
    Boîte de dialogue Ajouter à la liste/Supprimer de la liste fournit des informations supplémentaires.

Créer une liste

Vous pouvez créer des listes dans Context Hub à partir de la vue Répondre. En plus d'utiliser des listes dans des entités de liste blanche et de liste noire, vous pouvez utiliser des listes pour surveiller des entités présentant un comportement anormal. Par exemple, pour améliorer la visibilité d'une adresse IP suspecte et du domaine faisant l'objet d'une enquête, vous pouvez les inclure dans deux listes distinctes. La première liste peut concerner les domaines suspectés d'être liés aux connexions de commande et contrôle, et une autre liste peut concerner les adresses IP liées aux connexions de chevaux de Troie autorisant un accès à distance. Vous pouvez ensuite identifier les indicateurs de compromis à l'aide de ces listes.

Pour créer une liste dans Context Hub :

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez l'entité soulignée que vous souhaitez ajouter à une liste Context Hub.
    Une info-bulle contextuelle s'affiche et présente les actions disponibles.
  2. Dans la section ACTIONS de l'info-bulle, cliquez sur Ajouter à la liste/Supprimer de la liste.
  3. Dans la boîte de dialogue Ajouter à la liste/Supprimer de la liste, cliquez sur Créer une nouvelle liste.
    Add/Remove from List dialog Create New List section
  4. Saisissez une valeur Nom de la liste unique pour obtenir la liste. Le nom de la liste n'est pas sensible à la casse.
  5. (Facultatif) Saisissez une DESCRIPTION pour la liste.
    Les analystes disposant des autorisations adéquates peuvent également exporter des listes au format CSV à envoyer à d'autres analystes pour un suivi et une analyse approfondis. Le Guide de configuration de Context Hub fournit des informations supplémentaires.

Pivoter vers Investigate > Naviguer

Pour une procédure d'enquête plus approfondie de l'incident, vous pouvez accéder à Enquêter - vue Naviguer.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée pour accéder à une info-bulle contextuelle.
  2. Dans la section ACTIONS de l'info-bulle, sélectionnez Pivoter vers Investigate> Naviguer.
    La vue Enquêter - Naviguer s'ouvre, ce qui vous permet d'effectuer une procédure d'enquête plus approfondie.

Pour plus d'informations, consultez le Guide d'utilisation de NetWitness Investigate.

Pivot vers Archer

Pour afficher plus de détails sur le périphérique RSA Archer® Cyber Incident & Breach Response, vous pouvez pivoter vers la page de détails de l'appareil. Ces informations s'affichent uniquement pour l'adresse IP, l'hôte et l'adresse Mac.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée (adresse IP, hôte et adresse Mac) pour accéder à une info-bulle contextuelle.
  2. Dans la section ACTIONS, sélectionnez Pivot vers Archer.
  3. La page de détails RSA Archer Cyber Incident & Breach Response de l’appareil s’ouvre si vous êtes connecté à l’application. Sinon, l’écran de connexion s’affiche.

Remarque : Le lien Pivot vers Archer est désactivé lorsque les données Archer ne sont pas disponibles ou lorsqu'Archer DataSource ne répond pas. Vérifiez que la configuration RSA Archer est activée et configurée correctement.

Pour plus d'informations, consultez le guide d'intégration de RSA Archer.

Pivoter vers NetWitness Endpoint Thick Client

Si l'application de client Thick NetWitness Endpoint est installée, vous pouvez la démarrer via l'info-bulle de contexte. À partir de là, vous pouvez mener davantage l'enquête sur une adresse IP suspecte, un hôte ou une adresse MAC.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée pour accéder à une info-bulle contextuelle.
  2. Dans la section ACTIONS de l'info-bulle, sélectionnez Pivoter vers le client Endpoint Thick.
    L'application de client Thick NetWitness Endpoint s'ouvre en dehors de votre navigateur Web.

Pour plus d'informations sur le client Thick, voir le Guide d'utilisation NetWitness Endpoint.

Afficher Détails de l'analyse des événements pour les indicateurs.

Dans le panneau Indicateurs de la vue Détails de l'incident, vous pouvez approfondir les événements associés aux indicateurs répertoriés afin de mieux comprendre les événements. Dans le panneau Analyse d'événements,vous pouvez visualiser les métadonnées et les événements bruts grâce aux fonctions interactives qui améliorent la capacité à déceler des schémas significatifs dans les données. Vous pouvez examiner le réseau, les logs et les points de terminaison dans le panneau Analyse d'événements. Le panneau Analyse d'événements de la vue Répondre affiche la vue Analyse d’événements présente dans Investigate pour des événements d'indicateurs spécifiques. Pour obtenir des informations détaillées sur la vue Analyse d'événement, consultez le Guide de l'utilisateur de NetWitness Investigate.

Remarque : Vous devez disposer des autorisations d'investigationde serveur suivantes pour afficher l'analyse des événements dans la vue :
event.read
content.reconstruct
content.export

Considérations relatives à la migration

Les incidents migrés depuis les NetWitness Platform antérieures à la version 11.2 n'affichent pas le panneau d'analyse des événements dans le panneau Indicateurs de la vue Détails de l'incident de réponse. De même, si vous utilisez des alertes qui ont été migrées à partir de versions antérieures à 11.2 pour créer des incidents dans la version 11.2, vous ne pourrez pas non plus afficher le panneau Analyse des événements dans la vue Répondre pour ces incidents.

Pour accéder aux détails de l’analyse des événements d'un événement dans le panneau Indicateurs :

  1. Accédez à RÉPONDRE > Incidents.
  2. Dans la vue Liste des incidents, choisissez un incident à afficher et cliquez sur le lien dans la colonne ID ou NOM de cet incident.
    La vue Détails de l'incident s’affiche.
  3. Dans le panneau gauche de la vue Détails sur l'incident, sélectionnez INDICATEURS.
    Incident Details view with Indicators panel in view
    Les informations de sources de données sont présentées sous les noms des indicateurs. Vous pouvez également voir la date de création et l'heure de l'indicateur, ainsi que le nombre d'événements dans l'indicateur. Si des informations d'analyse d'événement (EA) sont disponibles, vous verrez une icône EA devant l’événement comme indiqué dans la figure suivante.
    Event with EA icon visible
  4. Cliquez sur un événement avec une icône EA pour afficher des informations supplémentaires sur l'événement.
    Indicators panel showing additional event details
  5. Cliquez sur un lien hypertexte de type d'événement dans l'événement pour ouvrir le panneau Analyse d'événements. Dans l'exemple suivant, le type d'événement est Réseau.
    Indicators panel showing event type hyperlink
    Le panneau Analyse des événements affiche les détails de l'événement, tels que les détails de l'analyse des paquets. Les informations disponibles peuvent varier en fonction du type d'événement.
    Incident Details view showing the Event Analysis panel for the selected event
    Pour obtenir des informations détaillées sur la vue Analyse d'événement le guide d’utilisation NetWitness Investigate.

Remarque : Si vous souhaitez envoyer le lien URL d'analyse d'événement à un autre analyste, vous pouvez copier le lien hypertexte du type d'événement.

Documenter les étapes suivies en dehors de NetWitness

Le journal affiche les commentaires ajoutés par les analystes et vous permet de collaborer avec vos homologues. Vous pouvez valider les notes dans un journal, ajouter des balises Étape Investigation (Reconnaissance, Remise, Exploitation, Installation, Commande et contrôle, Action sur l’objectif, Maîtrise, Éradication et Clôture), et afficher l'historique de l'activité sur votre incident.

Afficher les entrées de journal pour un incident

Dans la barre d'outils de la vue Détails de l'incident, cliquez sur Journal icon .
Details view showing the Journal icon
Le Journal s'affiche sur le côté droit de la vue Détails de l'incident.
Incident Details view showing Journal panel

Le Journal présente l'historique de l'activité sur un incident. Pour chaque entrée de journal, l'auteur et l'heure de l'entrée sont affichés.
Journal Panel

Ajouter une remarque

En règle générale, vous devez ajouter une remarque pour permettre à un autre analyste de comprendre l'incident, ou ajouter une remarque pour la suite afin que vos étapes de procédure d'enquête soient documentées.

  1. Au bas du panneau Journal, saisissez votre remarque dans la zone Nouvelle entrée de journal.
    New Journal Entry example
  2. (Facultatif) Sélectionnez une Étape Investigation dans la liste déroulante (Reconnaissance, Livraison, Exploitation, Installation, Commande et contrôle, Action sur l'objectif, Contention, Éradication et Clôture).

  3. Une fois la rédaction de votre remarque terminée, cliquez sur Envoyer.
    Votre nouvelle entrée de journal s'affiche dans le Journal.
    Journal showing a successful joural entry

Supprimer une remarque

  1. Dans le panneau Journal, localisez l'entrée de journal que vous souhaitez supprimer.
  2. Cliquez sur l'icône Corbeille (supprimer) Trash can (delete) icon en regard de l'entrée de journal.
    Journal entry showing trash can (delete) icon
  3. Dans la fenêtre de confirmation qui s'affiche, cliquez sur OK pour confirmer que vous souhaitez supprimer l'entrée de journal. Cette action ne peut pas être annulée.

Afficher l'état de réputation de FileHash

Vous pouvez afficher l'état de réputation d'un FileHash. Les informations sont renseignées sur le FileHash de Context Hub. Des informations supplémentaires relatives à cette entité peuvent être disponibles dans le service Context Hub.

Pour afficher les informations contextuelles :

  1. Sous l'onglet Incidents, cliquez sur un incident.
  2. Survolez un FileHash.
  3. L'état de la réputation s'affiche.

You are here
Table of Contents > Enquêter sur l'incident

Attachments

    Outcomes