Répondre : Enquêter sur l'incident

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Pour enquêter davantage sur un incident dans la vue Détails de l'incident, vous trouverez des liens vers des informations contextuelles supplémentaires sur l'incident, si elles sont disponibles. Ce contexte supplémentaire peut vous aider à comprendre les contextes technique et métier supplémentaires sur une entité spécifique dans l'incident. Il peut également fournir des informations supplémentaires que vous pouvez étudier pour comprendre toute la portée de l'incident.

Afficher les informations contextuelles

Dans le panneau Indicateurs, panneau Liste d'événements, panneau Détails de l'événement ou Graphique de nœud, vous pouvez voir les entités soulignées. Si une entité est soulignée, NetWitness Suite renseigne les informations relatives à ce type d'entité dans le service Context Hub. Des informations supplémentaires relatives à cette entité peuvent être disponibles dans le service Context Hub.

La figure suivante illustre les entités soulignées dans le panneau Indicateurs et le Graphique de nœud.

Indicators panel and Nodal Graph showing underlined entities

La figure suivante illustre les entités soulignées dans le panneau Détails de l'événement.

Event Details panel showing underlined entities

Le service Context Hub est préconfiguré avec les champs méta mappés aux entités. NetWitness Respond et Enquêter utilisent ces mappages par défaut pour la recherche contextuelle. Pour plus d'informations sur l'ajout de clés méta, consultez « Configurer les paramètres pour une source de données » dans le Guide de configuration de Context Hub.

Attention : Pour que la recherche contextuelle fonctionne correctement dans les vues Répondre et Enquêter, RSA vous recommande, lorsque vous mappez des clés méta dans l'onglet ADMIN > SYSTÈME > Procédures d'enquête > Recherche contextuelle, d'ajouter uniquement les clés méta aux mappages de clé méta, et non aux champs dans MongoDB. Par exemple, ip.address est une clé méta et ip_address n'est pas une clé méta (il s'agit d'un champ dans MongoDB).

Pour afficher les informations contextuelles :

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée.
    Une info-bulle contextuelle s'affiche avec un bref résumé du type de données contextuelles disponible pour l'entité sélectionnée.
    Nodal Graph showing context tooltip
    L'info-bulle contextuelle comporte deux sections : Points forts du contexte et actions.
    Context tooltip
    Les informations contenues dans la section Points forts du contexte vous aident à déterminer les actions que vous devez entreprendre. Elles peuvent afficher des données connexes pour les Incidents, les Alertes, les Listes, le Point de terminaison et Live Connect. En fonction de vos données, vous pourrez peut-être cliquer sur ces éléments pour plus d'informations. L'exemple ci-dessus montre 430 incidents connexes, 665 alertes, 0 liste et aucune information dans NetWitness Endpoint ou Live Connect mentionnant l'entité de l'adresse IP, 192.168.144.254.

    La section Actions répertorie les actions disponibles. Dans l'exemple ci-dessus, les options Pivoter vers Investigate, Pivoter vers Endpoint, et Ajouter à la liste/Supprimer de la liste sont disponibles. Pour plus d'informations, reportez-vous à la section Pivoter vers Investigate, Pivoter vers NetWitness Endpoint et Ajouter une entité à une liste blanche.
  2. Pour obtenir plus de détails sur l'entité sélectionnée, cliquez sur le bouton Afficher le contexte.
    Le panneau Recherche contextuelle s'ouvre et affiche toutes les informations relatives à l'entité.
    L'exemple suivant présente des informations contextuelles pour une adresse IP source sélectionnée. Elle répertorie tous les incidents qui mentionnent l'adresse IP.
    Context panel
    Pour comprendre les différentes vues dans le panneau Recherche Context Hub, reportez-vous à la section
    Panneau Recherche contextuelle - Vue Répondre .

Ajouter une entité à une liste blanche

Vous pouvez ajouter n'importe quelle entité soulignée à une liste, comme une liste blanche ou noire, à partir d'une info-bulle de contexte. Par exemple, pour réduire les faux positifs, vous pouvez ajouter à la liste blanche un domaine souligné pour l'exclure des entités associées.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez l'entité soulignée que vous souhaitez ajouter à une liste Context Hub.
    Une info-bulle contextuelle s'affiche et présente les actions disponibles.
    Nodal graph showing Add to List option
  2. Dans la section ACTIONS de l'info-bulle, cliquez sur Ajouter à la liste/Supprimer de la liste.
    La boîte de dialogue Ajouter à la liste/Supprimer de la liste affiche les listes disponibles.
    Add to List dialog
  3. Sélectionnez une ou plusieurs listes, puis cliquez sur Enregistrer.
    L'entité s'affiche dans les listes sélectionnées.
    Boîte de dialogue Ajouter à la liste/Supprimer de la liste fournit des informations supplémentaires.

Créer une liste

Vous pouvez créer des listes dans Context Hub à partir de la vue Répondre. En plus d'utiliser des listes dans des entités de liste blanche et de liste noire, vous pouvez utiliser des listes pour surveiller des entités présentant un comportement anormal. Par exemple, pour améliorer la visibilité d'une adresse IP suspecte et du domaine faisant l'objet d'une enquête, vous pouvez les inclure dans deux listes distinctes. La première liste peut concerner les domaines suspectés d'être liés aux connexions de commande et contrôle, et une autre liste peut concerner les adresses IP liées aux connexions de chevaux de Troie autorisant un accès à distance. Vous pouvez ensuite identifier les indicateurs de compromis à l'aide de ces listes.

Pour créer une liste dans Context Hub :

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez l'entité soulignée que vous souhaitez ajouter à une liste Context Hub.
    Une info-bulle contextuelle s'affiche et présente les actions disponibles.
  2. Dans la section ACTIONS de l'info-bulle, cliquez sur Ajouter à la liste/Supprimer de la liste.
  3. Dans la boîte de dialogue Ajouter à la liste/Supprimer de la liste, cliquez sur Créer une nouvelle liste.
    Add/Remove from List dialog Create New List section
  4. Saisissez une valeur Nom de la liste unique pour obtenir la liste. Le nom de la liste n'est pas sensible à la casse.
  5. (Facultatif) Saisissez une DESCRIPTION pour la liste.
    Les analystes disposant des autorisations adéquates peuvent également exporter des listes au format CSV à envoyer à d'autres analystes pour un suivi et une analyse approfondis. Le Guide de configuration de Context Hub fournit des informations supplémentaires.

Pivoter vers NetWitness Endpoint

Si l'application de client Thick NetWitness Endpoint est installée, vous pouvez la démarrer via l'info-bulle de contexte. À partir de là, vous pouvez mener davantage l'enquête sur une adresse IP suspecte, un hôte ou une adresse MAC.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée pour accéder à une info-bulle contextuelle.
  2. Dans la section ACTIONS de l'info-bulle, sélectionnez Pivoter vers Endpoint.
    L'application de client Thick NetWitness Endpoint s'ouvre en dehors de votre navigateur Web.

Pour plus d'informations sur le client Thick, voir le Guide d'utilisation NetWitness Endpoint.

Pivoter vers Investigate

Pour une procédure d'enquête plus approfondie de l'incident, vous pouvez accéder à la vue Procédure d'enquête.

  1. Dans le panneau Indicateurs, Liste d'événements, Détails de l'événement ou Graphique de nœud, survolez une entité soulignée pour accéder à une info-bulle contextuelle.
  2. Dans la section ACTIONS de l'info-bulle, sélectionnez Pivoter vers Investigate.
    La vue Enquêter - Naviguer s'ouvre, ce qui vous permet d'effectuer une procédure d'enquête plus approfondie.

Pour plus d'informations, consultez le Guide d'utilisation de NetWitness Investigate.

Documenter les étapes suivies en dehors de NetWitness

Le journal affiche les commentaires ajoutés par les analystes et vous permet de collaborer avec vos homologues. Vous pouvez publier des notes dans un journal, ajouter des balises Étape Procédure d'enquête (Reconnaissance, Remise, Exploitation, Installation, Commande et contrôle), et afficher l'historique de l'activité sur votre incident.

Afficher les entrées de journal pour un incident

Dans la barre d'outils de la vue Détails de l'incident, cliquez sur Journal icon .
Details view showing the Journal icon
Le Journal s'affiche sur le côté droit de la vue Détails de l'incident.
Incident Details view showing Journal panel

Le Journal présente l'historique de l'activité sur un incident. Pour chaque entrée de journal, l'auteur et l'heure de l'entrée sont affichés.
Journal Panel

Ajouter une remarque

En règle générale, vous devez ajouter une remarque pour permettre à un autre analyste de comprendre l'incident, ou ajouter une remarque pour la suite afin que vos étapes de procédure d'enquête soient documentées.

  1. Au bas du panneau Journal, saisissez votre remarque dans la zone Nouvelle entrée de journal.
    New Journal Entry example
  2. (Facultatif) Sélectionnez une Étape Investigation dans la liste déroulante (Reconnaissance, Livraison, Exploitation, Installation, Commande et contrôle, Action sur l'objectif, Contention, Éradication et Clôture).

  3. Une fois la rédaction de votre remarque terminée, cliquez sur Envoyer.
    Votre nouvelle entrée de journal s'affiche dans le Journal.
    Journal showing a successful joural entry

Supprimer une remarque

  1. Dans le panneau Journal, localisez l'entrée de journal que vous souhaitez supprimer.
  2. Cliquez sur l'icône Corbeille (supprimer) Trash can (delete) icon en regard de l'entrée de journal.
    Journal entry showing trash can (delete) icon
  3. Dans la fenêtre de confirmation qui s'affiche, cliquez sur OK pour confirmer que vous souhaitez supprimer l'entrée de journal. Cette action ne peut pas être annulée.
You are here
Table of Contents > Enquêter sur l'incident

Attachments

    Outcomes