MA: Konfigurieren der allgemeinen Malware Analysis-Einstellungen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Sie können verschiedene Grundeinstellungen konfigurieren, die erforderlich sind, um die Verarbeitung von Sitzungen, den manuellen Dateiupload und die verschiedenen Bewertungsmodule, die Malware Analysis zum Analysieren von Daten nutzt, zu aktivieren und zu kalibrieren.

 

Sie können außerdem die Dateifreigabe im Daten-Repository einrichten. Malware Analysis verfügt über drei Modi zum Verarbeiten von Sitzungen und Dateien. Jede Kombination dieser drei Modi kann zum Initiieren von Analysen in Malware Analysis verwendet werden. Die Modi sind folgende:

  • Kontinuierliche Abfrage des Core-Service: Sie können eine kontinuierliche Abfrage des Core-Service aktivieren und konfigurieren. Ist dies aktiviert und konfiguriert, fragt Malware Analysis den Core-Service kontinuierlich auf für die Analyse gekennzeichnete Sitzungen ab. Standardmäßig ist die kontinuierliche Abfrage deaktiviert. Während der kontinuierlichen Abfrage können Sie die Prävention vor Denial of Service (DOS)-Angriffen aktivieren. Sie können die Verbindung zum Malware Analysis-Service, der kontinuierlich abgefragt wird, mithilfe einer Option auf der Registerkarte „Integration“ testen.

Hinweis: Wenn Sie in Malware Analysis 10.3.5 und früher einen Core-Service als Service für kontinuierliche Abfrage hinzufügen, verwenden Sie den REST-Port. Fügen Sie zum Beispiel einen Concentrator zu Malware Analysis 10.3.5 über den REST-Port (50105) anstatt über den nativen NexGen-Port (50005) hinzu.

  • Analyse des Core-Service nach Bedarf: Sie können Sitzungen basierend auf Ermittlungen analysieren, die direkt in NetWitness Suite initiiert wurden. Diese Methode ermöglicht eine manuell gesteuerte Verarbeitung von Core-Sitzungen sowie eine stärkere Kontrolle der Verarbeitung von Dateien in diesen Sitzungen (z. B. durch Senden an eine Sandbox zur Verarbeitung). Bei Dokumenttypen können die Standardeinschränkungen umgangen werden, indem sie unabhängig von der konfigurierten Einstellung immer zur Verarbeitung an die Community oder eine Sandbox gesendet werden.
  • Manueller Dateiupload: Sie können eine oder mehrere zu analysierende Dateien manuell hochladen, indem Sie zu einem sichtbaren Ordner auf Ihrem Computer navigieren und die hochzuladenden Dateien auswählen. Die maximale Größe für die hochgeladenen Dateien ist konfigurierbar.

Anzeigen der Basiseinstellungen

So zeigen Sie die Basiseinstellungen an:

  1. Wählen Sie im Hauptmenü die Optionen Administration > Services aus.
  2. Wählen Sie im Raster Services einen Malware Analysis-Service aus und klicken Sie auf > Ansicht > Konfiguration.
    Die Servicekonfiguration für den Service wird angezeigt und die Registerkarte Allgemein geöffnet.

Konfigurieren der kontinuierlichen Abfrage

Die Übertragungsrate von Malware Analysis ist beschränkt, sodass maximal 1.000 Dateien pro Tag zur Sandbox-Bearbeitung an die ThreatGrid-Cloud gesendet werden können. Um die Nutzung der Sandbox zu optimieren, können Sie in der Malware Analysis-Konfiguration angeben, welche Verarbeitungsmethode Malware Analysis verwenden soll. Sie können die kontinuierliche Abfrage aktivieren oder deaktivieren.

Ein wichtiger Faktor bei der Konfiguration der kontinuierlichen Abfrage sind die Parameter zur Denial of Service(DOS)-Verhinderung. Diese Funktion ist standardmäßig deaktiviert, da Sie die Einstellungen für Ihre Umgebung vor dem Aktivieren der Funktion sorgfältig prüfen sollten.

Wenn die DOS-Verhinderung deaktiviert ist, analysiert Malware Analysis die in der Warteschlange befindlichen Sitzungen in First-In-First-Out-Reihenfolge. Ein DOS-Angriff kann die Warteschlange jedoch schnell füllen, sodass Malware Analysis mit dem Verarbeiten dieser Sitzungen beschäftigt ist, während in einer späteren Sitzung ein Schadsoftwareangriff stattfindet. Die spätere Sitzung mit dem eigentlichen Angriff erreicht möglicherweise nicht den Anfang der Warteschlange und wird erst nach Beginn des Angriffs analysiert.

Wenn die DOS-Verhinderung aktiviert ist, stuft Malware Analysis zu viele Sitzungen von einer einzigen IP-Adresse als DOS-Angriff ein. Wenn eine IP-Adresse die Anzahl von Sitzungen pro Ratenfenster überschreitet, beginnt Malware Analysis, die Sitzungen von dieser Adresse zu ignorieren, bis die Sitzungssperrzeit erreicht ist. Dann setzt Malware Analysis die Analyse der Sitzungen von dieser IP-Adresse fort. Die ignorierten Sitzungen von dieser IP-Adresse werden überhaupt nicht analysiert, sodass ein Schadsoftwareangriff während der Sitzungssperrzeit unbemerkt eindringen kann.

Gemäß der Einstellung „DOS-Intervall für automatische Speicherbereinigung“ leert Malware Analysis den In-Memory-Arbeitsspeicher einer IP-Quelle nach einer angegebenen Anzahl von Sekunden. IP-Adressen mit geringer Aktivität während dieses Intervalls werden aus dem Speicher gelöscht. Wenn eine IP-Adresse in Intervallen aktiv ist, die das Intervall in „DOS-Intervall für automatische Speicherbereinigung“ überschreiten, erkennt Malware Analysis sie unter Umständen nicht als DOS-Angriff.

Um Malware Analysis für die kontinuierliche Abfrage zu konfigurieren, gehen Sie im Abschnitt „Konfiguration des kontinuierlichen Scannens“ wie folgt vor:

  1. Klicken Sie unter Admin auf Services.
  2. Sie können die kontinuierliche Abfrage auf der Registerkarte Allgemein unter Konfiguration des kontinuierlichen Scannens konfigurieren.
  3. Klicken Sie zum Aktivieren der kontinuierlichen Abfrage auf Aktiviert.
  4. (Optional) Wenn Sie die Standardwerte für die Abfrage ändern möchten, geben Sie neue Werte für Ablaufzeit der Abfrage, Abfrageintervall, Metadatenbegrenzung und Zeitgrenze ein.
  5. Geben Sie zur Konfiguration der Malware Analysis-Appliance, die von Malware Analysis abgefragt wird, um Daten für die Analyse abzurufen, Quellhost und Quellport (NwPort) an.
  6. (Optional) Wenn Sie die standardmäßigen Anmeldeinformationen für die Malware Analysis-Appliance ändern möchten, geben Sie den Benutzernamen und das Benutzerpasswort an.
  7. Wenn Sie für die Kommunikation zwischen der Malware Analysis-Appliance und dem Core-Service SSL nutzen möchten, müssen Sie die Option SSL aktivieren.
  8. (Optional) Wenn Sie die Denial of Service(DOS)-Verhinderung konfigurieren möchten, gehen Sie wie folgt vor:
    • Aktivieren Sie den Parameter Denial of Service (DOS)-Verhinderung.
    • Richten Sie die Sitzungsbeschränkungen für die DOS-Verhinderung ein:
      • Geben Sie die Anzahl der Sekunden für das Zeitfenster an, während dem Malware Analysis Sitzungen für eine einzelne IP-Adresse zählt (DOS - Fensterlängen-Sitzungsrate). Das Fenster wird als Ratenfenster bezeichnet und ein Zähler wird festgelegt, wenn die erste Sitzung von dieser IP-Quelle empfangen wird. Der Standardwert ist 60 Sekunden.
      • Geben Sie unter DOS - Anzahl von Sitzungen pro Ratenfenster die Anzahl von Sitzungen ein, die pro Ratenfenster zulässig sein soll. Der Standardwert ist 200 Sitzungen. Wenn die Anzahl der Sitzungen innerhalb des Ratenfensters erreicht wurde, beginnt Malware Analysis, Sitzungen von dieser IP-Adresse zu ignorieren, und die ignorierten Sitzungen von dieser IP-Adresse werden nicht analysiert. Malware Analysis ignoriert Sitzungen so lange, bis die Sperrzeit erreicht ist.
      • Geben Sie die Dauer der Sperrzeit (während der Sitzungen von der IP-Adresse ignoriert und nicht analysiert werden) unter DOS - Sitzungssperrzeit (Sekunden) an. Der Standardwert ist 60 Sekunden. Wenn die Sperrdauer verstrichen ist, setzt Malware Analysis die Analyse der Sitzungen von dieser IP-Adresse fort.
      • Geben Sie unter DOS–Intervall für automatische Speicherbereinigung (Sekunden) das Inaktivitätsintervall für IP-Adressen an, nach dessen Ablauf NetWitness Suite das In-Memory-Objekt für die IP-Quelle entfernt. Der Standardwert ist 120 Sekunden.
  9. Klicken Sie auf Apply, um die Änderungen anzuwenden.
    Die Änderungen werden sofort wirksam, sobald Malware Analysis neue Pakete empfängt.
  10. Testen Sie die Verbindung des Malware Analysis-Service zum Core-Service, der auf der Registerkarte Integration ausgewählt wurde, indem Sie im Abschnitt Verbindungstest für kontinuierliches Scannen auf die Schaltfläche Verbindung testen klicken.

Konfigurieren von Einstellungen für den manuellen Dateiupload

So konfigurieren Sie die maximale Dateigröße für den manuellen Dateiupload:

  1. Geben Sie unter „Verschiedenes“ die maximale Dateigröße (in MB) für Dateien ein, die für einen Malware Analysis-Scanvorgang manuell hochgeladen werden.
  2. Klicken Sie auf Anwenden.
    Die Änderungen werden sofort wirksam.

Konfigurieren des Daten-Repository

Malware Analysis kann eine begrenzte Anzahl von Dateien auf der Appliance speichern. Die Daten-Repository-Konfiguration sieht eine Dateisystem-Aufbewahrungsfrist von 60 Tagen vor. Mit dieser Einstellung wird festgelegt, wie lange Dateien in der Malware Analysis-Appliance aufbewahrt werden. Wenn alte Dateien gelöscht werden, können sie nicht wiederhergestellt werden. Jeden Tag löscht Malware Analysis Dateien, bei denen die Dateisystem-Aufbewahrungsfrist überschritten wurde, um sicherzustellen, dass kein Speicherplatz unnötig belegt wird.

Die Dateisystem-Aufbewahrungsfrist ist die einzige Einstellung, durch die das Löschen von Dateien gesteuert wird. Dateien werden nicht basierend auf der Menge von belegtem Speicherplatz gelöscht. Muss die Einstellung aus diesem Grund angepasst werden, kann der Administrator die Aufbewahrungsfrist so einstellen, dass sie ungefähr der prognostizierten Speicherbelegung entspricht.

Die sichtbaren Daten-Repository-Parameter in der NetWitness Suite-Benutzeroberfläche sind folgende:

  • Das Repository-Verzeichnis ist /var/lib/netwitness/malware-analytics-server/spectrum. Ändern Sie diesen Wert nicht.
  • Das Dateifreigabeprotokoll zum Kopieren von Dateien des Malware Analysis-Services.
  • Die Dateiaufbewahrungsfrist in Tagen.

Gehen Sie zum Konfigurieren der Dateifreigabe im Abschnitt „Daten-Repository“ wie folgt vor:

  1. Klicken Sie auf „Dateifreigabeprotokoll“, um FTP oder SAMBA auszuwählen.
  2. Wählen Sie die Anzahl von Tagen aus, über die Dateien im Repository aufbewahrt werden sollen.
  3. Klicken Sie auf Anwenden.

Die Änderungen werden sofort wirksam.

Kalibrieren von Bewertungsmodulen

Im Abschnitt „Modulkonfiguration“ finden Sie Informationen dazu, wie Sie diese Komponenten von Malware Analysis konfigurieren, um Folgendes zu bewerkstelligen:

  • Vollständige Deaktivierung von Bewertungsmodulen (Statisch, Community und Sandbox). Vor dem Deaktivieren oder Aktivieren eines Bewertungsmoduls sollten Sie sicherstellen, dass Sie die Funktionsweise dieses Bewertungsmoduls kennen.
  • Malware Analysis markiert Sitzungen mit Microsoft Office-, Windows PE- und PDF-Dateien zur Verarbeitung durch den Malware Analysis-Service. Sie können Malware Analysis aber so konfigurieren, dass Windows PE-, Microsoft Office- und PDF-Dokumente ignoriert werden. Eine bessere Option ist jedoch, in den Core-Einstellungen festzulegen, dass diese Dateien ignoriert werden sollen, sodass sie nicht für die Malware Analysis-Verarbeitung markiert werden.

Eine Beispielanwendung für die Kalibrierung von Bewertungsmodulen ist folgende: Zum Einrichten von Regelgruppen oder Analysieren der Systemperformance können Sie verschiedene Szenarien testen, in denen Microsoft Office- und Windows PE-Dokumente analysiert werden, PDF-Dokumente jedoch nicht. Sie können diese Szenarien mit jedem der drei Bewertungsmodule testen. Wenn Sie eine messbare Verbesserung bei der Systemperformance sehen, können Sie diese Kenntnisse auf einen größeren Maßstab übertragen.

Konfigurieren der statischen Analysebewertung

Zum Konfigurieren der statischen Analysebewertung gehen Sie im Abschnitt Modulkonfiguration wie folgt vor:

  1. Standardmäßig ist das Modul Statisch aktiviert. Zum Aktivieren oder Deaktivieren der statischen Analyse klicken Sie auf das Kontrollkästchen Aktiviert.
  2. Um die Verarbeitung von PDF-, Microsoft Office- und Windows PE-Dateien in einer Sitzung zu konfigurieren, aktivieren Sie bei Bedarf eines oder mehrere der Kontrollkästchen PDF umgehen, Office umgehen, Ausführbare Datei umgehen.
  3. Um Ihre Einstellungen für die Authenticode-Validierung digital signierter Windows PE-Dateien zu konfigurieren, klicken Sie in das Kontrollkästchen Windows PE-Authentifizierungseinstellungen über die Cloud überprüfen. Wenn digital signierte Windows PE-Dateien nicht zur Validierung an die RSA-Cloud übermittelt werden sollen, deaktivieren Sie das Kontrollkästchen.
    Ist es deaktiviert, werden ALLE statischen Analysen lokal durchgeführt (die Authenticode-Validierung wird übersprungen). Unabhängig von dieser Einstellung unterliegen PDF- und MS Office-Dokumente keiner Authenticode-Validierung und werden während der statischen Analyse niemals über das Netzwerk übertragen.
  4. Klicken Sie auf Anwenden. Die Änderungen werden sofort wirksam, sobald Malware Analysis neue Pakete empfängt.

Konfigurieren der Communityanalysebewertung

Wenn das Communitymodul aktiviert ist, analysiert die Sicherheitscommunity alle Dokumente, die nicht aus der Verarbeitung ausgeschlossen wurden. Dies geschieht durch Senden der Netzwerksitzungs- und Dateiattribute an die RSA-Cloud. Die RSA-Cloud nimmt dann unter Umständen eine externe Verbindung zu Partnern der Sicherheitscommunity auf, um die Informationen zu verarbeiten.

Dateiinhalte werden niemals zur Analyse an die Community gesendet. Stattdessen wird der MD5/SHA-1-Hash der Datei gesendet, um eine Viruserkennung und Blacklisting vorzunehmen. In ähnlicher Weise werden im Rahmen dieses Prozesses Metadaten der Sitzung gesammelt und analysiert. Metaelemente wie URLs und Domainnamen werden untersucht und an die RSA-Cloud übertragen, um bekanntermaßen schadhafte URLs/Domains zu ermitteln.

Sie können die Communityanalyse aktivieren und die zu verarbeitenden Dokumenttypen einschränken. Es werden keine Dateiinhalte (mit Ausnahme eines Hash-Werts) außerhalb des Netzwerks versendet.

Hinweis: Um Zugriff auf die RSA-Cloud zu erhalten, in der die Verarbeitung durchgeführt wird, müssen Sie Ihren Malware Analysis-Service beim RSA Customer Service registrieren. Es gibt zwei Methoden: Registrieren Sie den Service mithilfe der Optionen auf der Registerkarte „Integration“ oder wenden Sie sich an RSA Customer Care.

Zum Konfigurieren der Communityanalysebewertung gehen Sie im Abschnitt Modulkonfiguration wie folgt vor:

  1. Zum Aktivieren oder Deaktivieren der Communityanalyse klicken Sie auf das Kontrollkästchen Aktiviert. Der Standardwert ist Deaktiviert.
  2. Um die Verarbeitung von PDF-, Microsoft Office- und Windows PE-Dateien in einer Sitzung zu konfigurieren, aktivieren Sie die Kontrollkästchen PDF umgehen, Office umgehen, Ausführbare Datei umgehen.
  3. Klicken Sie auf Anwenden, um die Änderungen zu speichern und sofort anzuwenden, wenn Malware Analysis neue Pakete empfängt.

Konfigurieren der Sandbox-Analysebewertung

Das Sandbox-Modul ist standardmäßig deaktiviert und MS Office- sowie PDF-Dateien werden nicht verarbeitet. Diese restriktive Einstellung soll verhindern, dass potenziell vertrauliche Informationen ohne ausdrückliches Einverständnis des Benutzers außerhalb des Netzwerks übertragen werden. Wurde ein Dokumenttyp nicht von der Verarbeitung ausgeschlossen, wird die gesamte Datei (nicht nur der Hash-Wert) an den Sandbox-Zielserver gesendet.

Außerdem können Sie angeben, dass der ursprüngliche Dateiname bei der Sandbox-Analyse beibehalten werden soll.

Hinweis: Wenn Sie den Parameter Ursprünglichen Dateinamen beim Ausführen der Sandbox-Analyse beibehalten nicht aktivieren, weist NetWitness Suite der Datei einen Hash-Wert zu.

Wenn Sie das Sandbox-Modul aktivieren, müssen Sie angeben, ob die Sandbox-Verarbeitung über eine lokale GFI-Sandbox, eine lokale ThreatGrid-Sandbox oder eine Cloudversion der ThreatGrid-Sandbox durchgeführt werden soll. Die Cloudversion der ThreatGrid-Sandbox wird direkt von ThreatGrid bereitgestellt und erfordert einen Aktivierungsschlüssel, der von ThreatGrid angefordert werden kann und auf der Registerkarte „ThreatGRID“ konfiguriert werden muss.

Einstellungen für eine GFI-Sandbox

Um eine lokal installierte GFI-Sandbox zu verwenden, müssen Sie GFI aktivieren und den Servernamen und Serverport des GFI-Sandboxservers angeben. Mit den Angaben unter „Max. Polling-Dauer“ und „Polling-Intervall“ wird angegeben, wie lange die Verarbeitungszeit für eine übermittelte Stichprobe sein darf und wie oft der Status geprüft werden soll (in Sekunden). Über die Option „Webproxyeinstellungen ignorieren“ können Sie angeben, dass Malware Analysis beim Herstellen einer Verbindung keinen Webproxy verwenden soll. Wenn kein Webproxy in Malware Analysis konfiguriert wurde, wird die Einstellung ignoriert.

Einstellungen für eine ThreatGrid-Sandbox

Hinweis: Bevor die ThreatGrid-Bewertung aktiviert werden kann, muss ein von ThreatGrid bereitgestellter Serviceschlüssel konfiguriert werden, sodass ThreatGrid von dieser Site übermittelte Stichproben als legitim einstuft. Nutzen Sie NetWitness Suite, um einen ThreatGrid-API-Schlüssel abzurufen, und aktivieren und konfigurieren Sie dann eine lokal installierte ThreatGrid-Sandbox oder die ThreatGrid-Cloud-Sandbox. Weitere Informationen finden Sie unter: Registrieren für einen ThreatGrid-API-Schlüssel.

Über die Einstellung „Webproxyeinstellungen ignorieren“ können Sie angeben, dass Malware Analysis beim Herstellen einer Verbindung keinen Webproxy verwenden soll. Wenn kein Webproxy in Malware Analysis konfiguriert wurde, wird die Einstellung ignoriert.

Gehen Sie zum Konfigurieren der Sandbox-Bewertung im Abschnitt „Modulkonfiguration“ wie folgt vor:

  1. Klicken Sie zum Aktivieren oder Deaktivieren der Sandbox-Analyse auf das Kontrollkästchen Aktiviert. Der Standardwert ist Deaktiviert.
  2. Um die Verarbeitung von PDF-, Microsoft Office- und Windows PE-Dateien in einer Sitzung zu konfigurieren, aktivieren Sie bei Bedarf die Kontrollkästchen PDF umgehen, Office umgehen, Ausführbare Datei umgehen.
  3. Konfigurieren Sie den aktiven Sandbox-Anbieter. Sie haben drei Möglichkeiten:
    1. Wenn Sie eine lokal installierte Instanz der GFI-Sandbox verwenden möchten, geben Sie den Servernamen und Serverport des GFI-Sandbox-Servers ein, legen Sie „Max. Polling-Dauer“ und „Polling-Intervall“ fest und aktivieren Sie optional das Kontrollkästchen „Webproxyeinstellungen ignorieren“.
    2. Wenn Sie eine lokal installierte Instanz von ThreatGrid verwenden möchten, aktivieren Sie die ThreatGrid-Bewertung, geben Sie den ThreatGrid-Serviceschlüssel an und aktivieren Sie optional das Kontrollkästchen „Webproxyeinstellungen ignorieren“.
    3. Um die ThreatGrid-Cloud verwenden zu können, benötigen Sie zunächst einen ThreatGrid-API-Schlüssel. Aktivieren Sie dann die ThreatGrid-Bewertung, geben Sie den ThreatGrid-Serviceschlüssel an, geben Sie die URL für den ThreatGrid-Server ein (https://panacea.threatgrid.com) und aktivieren Sie optional das Kontrollkästchen „Webproxyeinstellungen ignorieren“.
  4. Klicken Sie auf Anwenden.
    Die Änderungen werden sofort wirksam.
You are here
Table of Contents > Konfiguration von Malware Analysis > Schritt 3. Konfigurieren der allgemeinen Malware Analysis-Einstellungen

Attachments

    Outcomes