MA: Konfigurieren der Indikatoren für eine Infizierung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Die Indikatoren für eine Infizierung (Indicators of Compromise – IOC) für die Bewertungsmodule von Malware Analysis werden konfiguriert, weil jedes Malware Analysis-Bewertungsmodul – Netzwerk, Statisch, Community, Sandbox und YARA – eine Standardeinstellung für die IOCs hat, die zur Auswertung der Dateien und Sitzungen verwendet wird, um den Wahrscheinlichkeitsgrad einer Infizierung mit Schadsoftware zu bewerten.

Auf jeden IOC wird eine Bewertungsskala von -100 (gut) bis 100 (schlecht) angewendet. Wenn ein IOC ausgelöst wird, wird die angewendete Bewertungsskala in die Gesamtbewertung der analysierten Datei oder Sitzung miteinberechnet. Die einzelnen Bewertungsgewichtungen aller passenden IOCs werden aggregiert und ergeben die Endbewertung jeder Sitzung oder Datei. Die aggregierte Bewertung wird angepasst, um sicherzustellen, dass sie innerhalb der zulässigen Bewertungsskala (-100 bis 100) liegt.

Hinweis: Die gewichtete Bewertung, die einem IOC zugewiesen wurde, ist nicht zwingend der eindeutige Bewertungswert, der aggregiert wird (es handelt sich nicht um eine simple Addition von Bewertungen für die einzelnen IOCs, die ausgelöst wurden). Stattdessen ist die Bewertung eines IOCs eine Gewichtung oder ein Anzeichen der Wichtigkeit, die bei der Berechnung einer allgemeinen Bewertung berücksichtigt werden.

Die Konfigurationseinstellungen der Indikatoren für eine Infizierung (IOC) für Malware Analysis finden Sie in der Ansicht „Servicekonfiguration“ auf der Registerkarte „Indikatoren für eine Infizierung“. Es folgt ein Beispiel für eine Registerkarte.

Verwendung von Community – Datei-Hash: Bei einem IOC von AntiVirus (Primärer Anbieter) als schädlich markierter Datei kann die IOC-Punktezahl beispielsweise auf 100 eingestellt werden. Malware Analysis schwächt diesen Wert jedoch auf Grundlage des Prozentsatzes des primären AV-Anbieters ab, welcher der Schädlichkeit der Probe zustimmt. Je näher die Anbieter, die zustimmen, dass die Probe schädlich ist, bei der 100 %-Marke liegen, desto höher ist der Wert der 100 Punkte, die für die Aggregation einer Bewertung verwendet werden. Nähert sich der Prozentsatz dem Nullwert, fällt die Proportion der 100 Punkte in der aggregierten Bewertung ab.

IOCs verwenden die nativ in Malware Analysis implementierte Logik. Sie können die Logik nicht anpassen. Stattdessen können Sie nur IOCs anpassen, sodass deren Auswirkung auf die Bewertung steigt oder sinkt, um eine Konfidenzeinstellung anzugeben oder die IOC an- oder auszuschalten. Das typische Szenario ist das Tuning einer limitierten Einstellung von IOC-Punkten in der Bewertungsgewichtung für IOCs nach unten, welche die Endbewertung vergrößern und falsch positive Analyseergebnisse erzeugen. Eine extreme Version des Tunings wäre IOCs zu deaktivieren, wenn diese ständig zu falsch-positiven Ergebnissen beitragen. Außerdem können Sie alle IOCs deaktivieren und wählen, einige wenige aktiv zu lassen. Es können zum Beispiel alle IOCs mit Ausnahme einiger weniger ausgewählten IOCs, die AntiVirus-Treffer erkennen, deaktiviert werden. Durch die Verwendung von Malware Analysis in dieser sehr eingeschränkten Konfiguration können Sie Ergebnisse in Malware Analysis verringern, sodass nur bekannte AV-Treffer Ergebnisse erzeugen.

Sie können diese Funktionen auf verschiedene Arten konfigurieren:

  • Deaktivieren Sie IOCs, sodass diese nicht als Teil des Bewertungsmoduls, zu dem sie zugeteilt wurden, berechnet werden.
  • Passen Sie die Bewertungsgewichtung für einen IOC an, sodass seine Auswirkung auf die aggregierte Bewertung vergrößert oder verkleinert wird.
  • Markieren Sie IOCs, von denen Sie glauben, sie seien starke Indikatoren für Schadsoftware, und versehen Sie Sitzungen, die diese IOCs in den Malware Analysis-Ergebnissen ausgelöst haben, mit einem Flag für hohe Vertrauenswürdigkeit (HC).
  • Passen Sie die Bewertung und Einstellungen zur Vertrauenswürdigkeit einzig und allein dem Dateityp an, der analysiert wird. Jeder IOC wurde ein Dateityp vorab zugeteilt, auf den sie angewendet wird. Mögliche Werte sind ALLE, PDF, MS Office und Windows PE. Der IOC, auf den die meisten Dateitypen zutreffen, wird während der dateibasierten Analyse verwendet. Wird zum Beispiel eine PDF analysiert, wird eher ein IOC mit einem Dateitypen mit dem Wert PDF gewählt als derselbe IOC mit einem Dateityp mit dem Wert ALL. Wenn es keinen dateitypenspezifischen Treffer gibt, wird der IOC mit dem Dateitypen mit dem Wert ALL gewählt.
  • Suchen Sie nach Regeln, die im Raster angezeigt werden, basierend auf einem Treffer der Regelbeschreibung.

Filtern der angezeigten IOCs nach Modul

Sie können die angezeigten IOCs nach dem Bewertungsmodul nach einem der vier integrierten Modulen oder YARA filtern. YARA-basierte IOCs überlappen mit den ursprünglichen IOCs mit jeder Kategorie. Obwohl YARA-IOCs in den anderen Ansichten nicht als solche identifiziert werden, können Sie YARA aus der Auswahlliste Modul auswählen, um eine Liste der YARA-Regeln anzusehen.

So sehen Sie IOCs für ein oder vier Bewertungsmodule oder für YARA an:

  1. Wählen Sie im Hauptmenü die Optionen Admin > Services aus.
  2. Wählen Sie einen Malware Analysis Service aus.
  3. Wählen Sie in der Zeile > Ansicht > Konfiguration aus.
  4. Klicken Sie auf die Registerkarte Indikatoren für eine Infizierung.
  5. Wählen Sie in der Auswahlliste Modul Alle, NextGen, Statisch, Community, Sandbox, oder Yara aus.
    Die konfigurierten Regeln und Einstellungen für das Modul werden angezeigt.

Filtern der angezeigten Module, damit nur veränderte Module angezeigt werden

Die Registerkarte Indikatoren für eine Infizierung identifiziert lokal veränderte IOCs visuell. Wenn zum Beispiel ein IOC verändert wurde, wurde die Bewertungsgewichtung verändert und der Name wird rot angezeigt. Er enthält einen Indikator für Veränderung im Anhang an den IOC-Namen. Der Indikator für Veränderung ist ++ und kann als Filtermechanismus beim Suchen nach IOCs verwendet werden.
So beschränken Sie die Ansicht auf lokal veränderte IOCs:

  1. Geben Sie im Feld Beschreibung ++ ein.
  2. Klicken Sie auf Suchen.
    Die Ansicht wird gefiltert, sodass nur veränderte IOCs angezeigt werden.

Aktivieren und Deaktivieren von IOCs für ein Bewertungsmodul

Wenn ein IOC deaktiviert wird, hat er keine Auswirkungen mehr auf die aggregierte Bewertung des dazugehörigen Bewertungsmoduls. Wenn ein IOC mehrere Instanzen (die sich nur durch den Dateitypen unterscheiden) hat, hat das Deaktivieren eines dateitypspezifischeren IOC die Verwendung einer dateitypagnostischeren Version der IOC-Bewertung zur Folge.

Wenn zum Beispiel derselbe IOC als Dateityp ALL und als Dateityp Windows PE existiert, hat das Deaktivieren der Instanz Windows PE des IOC zur Folge, dass bei der Bewertung die Version ALL verwendet wird. Um den IOC für Windows PE völlig zu deaktivieren, während er für andere Dateitypen aktiv bleibt, stellen Sie die Bewertungsgewichtung der Instanz Windows PE  des IOC auf einen Wert von null, wie unten beschrieben. Dadurch bleibt der IOC für Windows-PE-Dateien aktiv (obwohl er eine Gewichtung von null hat und nicht in den Analyseergebnissen angezeigt wird) und hat keine Auswirkungen auf andere Dateitypen. Die verbleibenden Dateitypen verwenden weiterhin die Instanz ALL des IOC.

 

So aktivieren oder deaktivieren Sie einen IOC, sodass er im Bewertungsmodul nicht mehr berücksichtigt wird:

  1. Wählen Sie im Hauptmenü die Optionen Admin > Services aus.
  2. Wählen Sie einen Malware Analysis-Service und in der Zeile > Ansicht > Konfiguration aus.
  3. Klicken Sie auf die Registerkarte Indikatoren für eine Infizierung.
  4. Wählen Sie in der Auswahlliste Modul ein Bewertungsmodul aus: Alle, Community, Netzwerk, Sandbox, Statisch, oder Yara.
    Die konfigurierten Regeln und Einstellungen für das Modul werden angezeigt.
  5. Führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie in der Spalte neben der Regel, die Sie aktivieren möchten, auf das Kontrollkästchen Aktivieren.
    2. Wählen Sie eine oder mehrere Regeln aus und klicken Sie in der Symbolleiste auf Aktivieren oder Deaktivieren.
    3. Um bei allen auf der Seite angezeigten Regeln zwischen Aktivieren und Deaktivieren umschalten zu können, klicken Sie im Spaltentitel auf das Kontrollkästchen Aktiviert.
    4. Um alle Regeln für ein Bewertungsmodul zu aktivieren oder deaktivieren, klicken Sie in der Symbolleiste auf Alle aktivieren oder Alle deaktivieren .
  6. Um die Änderungen an der Seite zu speichern, klicken Sie in der Symbolleiste auf Speichern.

Hinweis: Regeln, die Einstellungen geändert haben, werden mit einer roten Ecke gekennzeichnet. Wenn Sie vor dem Speichern zu einer anderen Regelseite navigieren, gehen alle Änderungen an dieser Seite verloren.

Anpassung der Bewertungsgewichtung für IOCs

Die Anpassung der Bewertungsgewichtung für IOCs verstärkt oder verringert die allgemeinen Auswirkungen einer IOC auf die aggregierte Bewertung des Moduls, in welchem sie konfiguriert ist. Um den allgemeinen Einfluss von IOCs zu vergrößern oder verkleinern, verkleinern Sie den aktuellen Wert auf eine neue Einstellung.

  • Werte zwischen -100 und -1 deuten darauf hin, dass die analysierte Sitzung oder Datei wahrscheinlich keine Schadsoftware ist (bei -100 ist die Wahrscheinlichkeit am geringsten, dass es sich um eine Schadsoftware handelt).
  • Werte zwischen 1 und 100 deuten darauf hin, dass die analysierte Sitzung oder Datei wahrscheinlich eine Schadsoftware ist (bei 100 ist die Wahrscheinlichkeit am höchsten, dass es sich um eine Schadsoftware handelt).
  • Bei einer Einstellung des Wertes auf Null bleibt der IOC aktiv, hat aber keinen Einfluss mehr auf die aggregierte Bewertung und wird nicht mehr in den Analyseergebnissen angezeigt. Die Einstellung des Wertes auf null stellt eine Methode dar, um eine dateitypenspezifische Instanz eines IOC zu deaktivieren, während die ursprüngliche dateitypagnostische Instanz für die Bewertung der verbleibenden Dateitypen intakt bleibt.

So passen Sie die Bewertungsgewichtung an:

  1. Wählen Sie im Hauptmenü die Optionen Admin > Services aus.
  2. Wählen Sie einen Malware Analysis Service aus.
  3. Wählen Sie in der Symbolleiste die Optionen Ansicht > Konfiguration aus.
  4. Klicken Sie auf die Registerkarte Indikatoren für eine Infizierung.
  5. Wählen Sie in der Auswahlliste Modul ein Bewertungsmodul aus: Alle, Netzwerk, Statisch, Community, Sandbox oder Yara.
    Die konfigurierten Regeln und Einstellungen für das Modul werden angezeigt.
  6. Führen Sie einen der folgenden Schritte aus:
    1. Verschieben Sie den Regler nach links oder rechts um die Bewertungsgewichtung zu vergrößern oder verkleinern.
    2. Klicken Sie direkt auf die angezeigte Bewertungsgewichtung und geben Sie eine neue Bewertungsgewichtung ein.
  7. Um die Änderungen an der Seite zu speichern, klicken Sie in der Symbolleiste auf Speichern.

Hinweis: Regeln, die Einstellungen geändert haben, werden mit einer roten Ecke gekennzeichnet. Wenn Sie vor dem Speichern zu einer anderen Regelseite navigieren, gehen alle Änderungen an dieser Seite verloren.

Einstellen der Kennzeichnung Hohe Wahrscheinlichkeit für IOCs

Die Einstellung Hohe Vertrauenswürdigkeit wird als Kennzeichnungsmethode für spezifische IOCs mit Indikatoren von hoher Vertrauenswürdigkeit, dass eine Schadsoftware vorhanden ist, verwendet. Zum Beispiel Community - Datei-Hash: Der IOC Von AntiVirus (Primärer Anbieter) als schädlich markierte Datei weist eine geringe Wahrscheinlichkeit für ein falsch-positives Ergebnis und gleichzeitig eine hohe Wahrscheinlichkeit für eine akkurate Messung von vorhandener Schadsoftware auf. Durch die Kennzeichnung dieser (und anderer) IOCs als hoch vertrauenswürdig können Sie einen Filter in den Malware Analysis-Ergebnissen verwenden, sodass nur die Sitzungen angezeigt werden, die eine oder mehrere vertrauenswürdige Regeln beinhalten. Dadurch wird die Ansicht auf eine kleinere Teilmenge jener Ergebnisse beschränkt, deren Genauigkeit ein höherer Grad an Vertrauenswürdigkeit zugeteilt wird. Eine nicht auf hochvertrauenswürdige IOCs beschränkte Ansicht der Ergebnisse ermöglicht Ihnen weiterhin eine Ansicht der weniger eindeutigen Ergebnisse. Dies sorgt für Ergebnisse, bei denen die Wahrscheinlichkeit, dass sie falsch-positiv sind, geringer ist. Die Wahl, Ergebnisse nach dem Konfidenzlevel zu filtern oder nicht, ist ein gültiges Fallbeispiel in dem NetWitness Suite-Workflow.

So stellen Sie die Kennzeichnung Hohe Wahrscheinlichkeit ein:

  1. Wählen Sie auf der Registerkarte Indikatoren für eine Infizierung ein Bewertungsmodul aus der Auswahlliste Modul aus: Alle, Netzwerk, Statisch, Community, Sandbox oder Yara.
    Die konfigurierten Regeln und Einstellungen für das Modul werden angezeigt.
  2. Klicken Sie in der Spalte neben der Regel, die Sie mit der Kennzeichnung „Wahrscheinliches“ oder „Nichtwahrscheinliches“ Indikatoren für eine Schadsoftware markieren möchten, in einer Sitzung auf das Kontrollkästchen Hohe Wahrscheinlichkeit.
  3. Um die Änderungen an der Seite zu speichern, klicken Sie in der Symbolleiste auf Speichern.

Hinweis: Regeln, die Einstellungen geändert haben, werden mit einer roten Ecke gekennzeichnet. Wenn Sie vor dem Speichern zu einer anderen Regelseite navigieren, gehen alle Änderungen an dieser Seite verloren.

Zurücksetzen von IOCs auf die Standardeinstellungen

  1. Wählen Sie auf der Registerkarte Indikatoren für eine Infizierung ein Bewertungsmodul aus der Auswahlliste Modul aus: Alle, Netzwerk, Statisch, Community, Sandbox oder Yara.
    Die konfigurierten Regeln und Einstellungen für das Modul werden angezeigt.
  2. Wenn Sie alle Regeln auf der aktuellen Seite auf deren Standardeinstellungen zurücksetzen möchten, klicken Sie in der Symbolleiste auf Zurücksetzen.
  3. Wenn Sie alle Regeln des gewählten Bewertungsmoduls auf ihre Standardeinstellungen zurücksetzen möchten, klicken Sie in der Symbolleiste auf Alle zurücksetzen.
  4. Um die Änderungen an der Seite zu speichern, klicken Sie in der Symbolleiste auf Speichern.
You are here
Table of Contents > Konfiguration von Malware Analysis > Schritt 4. Konfigurieren der Indikatoren für eine Infizierung

Attachments

    Outcomes