Enquêter : Examiner les fichiers

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

Les analystes peuvent utiliser la vue Fichiers (ENQUÊTER > Fichiers) pour identifier des fichiers suspects en examinant le nom de fichier, la taille de fichier, l'entropie, le format, le nom de l'entreprise, la signature et le checksum.

Par exemple, lorsque vous recherchez un nom de fichier, si un environnement est infecté par le ransomware WannaCry, l'analyste peut filtrer la liste à l'aide de ce nom de fichier. Vous pouvez également rechercher ce ransomware à l'aide du checksum.

La taille du fichier peut être un indicateur lors de l'évaluation d'un fichier. Les chevaux de Troie sont généralement inférieurs à 1 Mo et la majorité d'entre eux sont même inférieurs à 500 Ko.

Filtrer les fichiers

Vous pouvez filtrer les fichiers sur le système d'exploitation ou sélectionner les champs dans le menu déroulant Ajouter un filtre.

Remarque : Lors du filtrage sur un jeu de données volumineux, utilisez au moins un champ indexé avec l'opérateur Equals pour de meilleures performances. Les champs suivants sont indexés dans la base de données : Nom de fichier, MD5, Système d'exploitation, Heure de la première visualisation et Format.

Filter Files

Cliquez sur Enregistrer pour enregistrer la recherche et fournir un nom (jusqu'à 250 caractères alphanumériques). Le filtre est ajouté au panneau Filtres enregistrés, sur la gauche. Pour supprimer un filtre, placez le pointeur sur le nom puis cliquez sur Delete.

Remarque : Les caractères spéciaux ne sont pas autorisés, à l'exception du caractère de soulignement (_) et du trait d'union (-) lors de l'enregistrement du filtre.

Par exemple, des fichiers de filtrage avec le nom de fichier malware utilisant l'opérateur Equals.

Filter files using the Equals operator

Remarque : Pour la taille du fichier, 1 Ko est calculé comme 1 024 octets. Par exemple, si la taille réelle du fichier est 8 421 octets, l'interface utilisateur affiche 8,2 Ko au lieu de 8,22 Ko. Il est recommandé d'effectuer une recherche au format octets avec l'opérateur Equals.

Pivoter vers les vues Naviguer et Analyse d'événements.

Si vous avez besoin de réaliser une procédure d'enquête sur un nom de fichier ou de hachage particulier (SHA256 et MD5) dans les fichiers globaux pour rechercher une activité associée sur une période, vous pouvez pivoter vers les vues Naviguer et Analyse d'événements pour obtenir tout le contexte du fichier. Par défaut, la période est définie sur 1 jour. Vous pouvez modifier l'intervalle de temps en conséquence.

Pour pivoter vers la vue Naviguer ou Analyse d'événements :

  1. Accédez à ENQUÊTER > Hôtes.
  2. Cliquez sur Pivot to Investigate en regard du nom de fichier ou de hachage.

Pivot to Navigate and Event Analysis views

  1. Dans la boîte de dialogue Sélectionner un service, sélectionnez l'un des services requis pour la procédure d'enquête.
  2. Cliquez sur Naviguer ou Analyse d'événements pour analyser les données.

Remarque : Lorsque vous pivotez vers la vue Naviguer ou Analyse d'événements, les résultats mettent du temps à charger si les valeurs ne sont pas indexées. Pour plus d'informations, reportez-vous à la section Résolution des problèmes liés à NetWitness Investigate.

Définir les préférences de fichiers

Par défaut, la vue Fichiers affiche plusieurs colonnes et les fichiers sont triés en fonction de l'Heure de la première visualisation. Si vous souhaitez afficher des colonnes spécifiques et trier les données sur un champ spécifique :

  1. Accédez à ENQUÊTER > Fichiers.
  2. Sélectionnez les colonnes en cliquant sur Settings dans le coin inférieur droit. L'exemple suivant montre l'écran qui s'affiche lors de l'ajout de colonnes :
    Select Columns for Files
  3. Trier les données de la colonne requise.

Remarque : Il s'agit de votre vue par défaut chaque fois que vous vous connectez à la vue Fichiers.

Exporter des fichiers globaux

Pour extraire la liste de fichiers globaux dans un fichier CSV.

Remarque : Lors du filtrage sur un jeu de données volumineux, utilisez au moins un champ indexé avec l'opérateur Equals pour de meilleures performances. Vous pouvez exporter jusqu'à 100 000 à la fois.

  1. Accédez à ENQUÊTER > Fichiers.
  2. Filtrez les fichiers en sélectionnant l'option de filtre requise.
  3. Ajoutez des colonnes en cliquant sur Settings dans le coin inférieur droit.
  4. Cliquez sur Exporter dans un fichier CSV.

Vous pouvez enregistrer ou ouvrir le fichier CSV.

You are here
Table of Contents > Enquête sur les hôtes et les fichiers > Fichiers Investigate

Attachments

    Outcomes