Investigate : Examiner les hôtes

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

Pour mener une procédure d'enquête sur les hôtes :

  1. Accédez à ENQUÊTER > Hôtes.
    La liste des hôtes s'affiche.
  2. Sélectionnez les hôtes que vous souhaitez analyser, puis cliquez sur Démarrer l'analyse. Pour plus d'informations, voir Examiner les hôtes.
  1. À la fin du processus d'analyse des hôtes, cliquez sur le nom d'hôte pour examiner les résultats de l'analyse. Pour plus d'informations, voir le Examiner les hôtes.

Remarque : Pour examiner les hôtes de NetWitness Endpoint 4.4, reportez-vous à la section Enquêter sur les hôtes NetWitness Endpoint 4.4.0.2 ou version ultérieure.

Filtrer les hôtes

Vous pouvez filtrer les hôtes sur le système d'exploitation ou sélectionner les champs dans le menu déroulant Ajouter un filtre.

Remarque : Lors du filtrage sur une grande quantité de données, utilisez au moins un champ indexé avec l'opérateur Equals pour de meilleures performances. Les champs suivants sont indexés dans la base de données - Hostname, IPV4, Operating System et Last Scan Time.

Filter

Pour rechercher plusieurs valeurs au sein d'un champ, définissez l'option de filtre sur Equals, et utilisez || comme séparateur.

Par exemple,

  • En utilisant l'opérateur Equals pour plusieurs valeurs IPV4 avec un séparateur ||.
    Example with equals operator
  • En utilisant l'opérateur IN avec le paramètre Heure de la dernière analyse afin de filtrer les agents ayant été analysés au cours des 6 dernières heures.
    Example using IN operator

Cliquez sur Enregistrer pour enregistrer la recherche et fournir un nom (jusqu'à 250 caractères alphanumériques). Le filtre est ajouté au panneau Filtres enregistrés, sur la gauche. Pour supprimer un filtre, placez le pointeur sur le nom puis cliquez sur Delete.

Remarque : Les caractères spéciaux ne sont pas autorisés, à l'exception du caractère de soulignement (_) et du trait d'union (-) lors de l'enregistrement du filtre.

Analyse des hôtes

Vous pouvez effectuer une analyse à la demande ou planifier une analyse pour une exécution quotidienne ou hebdomadaire. Pour plus d'informations sur la planification d'une analyse, reportez-vous à la section Guide de configuration de RSA NetWitness Endpoint Insights.

Remarque : Vous ne pouvez pas effectuer une analyse pour les agents NetWitness Endpoint 4.4 à partir de l'interface utilisateur de NetWitness Suite.

Analyse à la demande

Vous pouvez souhaiter effectuer une analyse à la demande si :

  • Un fichier de la section Fichiers globaux s'avère être malveillant.
  • Un fichier malveillant est présent sur différents hôtes du réseau.
  • Vous souhaitez examiner un hôte qui est infecté.
  • Obtenir le dernier snapshot de l'hôte.

Lors de l'analyse des hôtes, l'Agent Endpoint récupère les données suivantes utiles à la procédure d'enquête :

  • Les pilotes, processus, DLL, fichiers (exécutables), services et exécutions automatiques en cours d'exécution sur l'hôte.
  • Les entrées de fichier d'hôte et les tâches planifiées.
  • Les informations du système telles que le partage réseau, les correctifs Windows installés, les tâches Windows, les utilisateurs connectés, l'historique bash et les produits de sécurité installés.

Pour démarrer une analyse :

  1. Accédez à ENQUÊTER > Hôtes.
  2. Sélectionnez un ou plusieurs hôtes (jusqu'à 100) à la fois pour l'analyse à la demande, puis cliquez sur Démarrer l'analyse.
  3. Cliquez sur Démarrer l'analyse dans la boîte de dialogue.
    Cette opération permet d'effectuer une analyse rapide de tous les modules exécutables chargés en mémoire. Elle dure environ 10 minutes.

Les états d'analyse sont les suivants :

                           
ÉtatDescription
InactifAucune analyse en cours.
Analyse
  • Analyse en cours.
  • Démarrage de l'analyse
  • Une demande d'analyse est envoyée au serveur, mais l'agent recevra la demande la prochaine fois qu'il communiquera avec le serveur.
  • Arrêt de l'analyseUne demande d'arrêt de l'analyse est envoyée au serveur, mais l'agent recevra la demande la prochaine fois qu'il communiquera avec le serveur.

    Pivoter vers les vues Naviguer et Analyse d'événements.

    Si vous devez rechercher un hôte particulier, une adresse IP (IPV4) ou un nom d'utilisateur pour rechercher une activité associée sur une période donnée, vous pouvez faire pivoter les vues Naviguer et Analyse d'événements pour obtenir le contexte complet de l'activité. Par défaut, la période est définie sur 1 jour. Vous pouvez modifier l'intervalle de temps en conséquence.

    Remarque : Le pivotement vers la vue Naviguer ou Analyse d'événements n'est pas pris en charge pour IPV6.

    Pour pivoter vers la vue Naviguer ou Analyse d'événements :

    1. Accédez à ENQUÊTER > Hôtes ou ENQUÊTER > Fichiers.
    2. Cliquez sur Pivot to Investigate en regard du nom d'hôte.
      Pivot to Navigate or Event Analysis view
      Autre possibilité, dans l'onglet Présentation, vous pouvez effectuer un clic droit sur le nom d'hôte, l'adresse IP (IPV4) ou les utilisateurs connectés à faire pivoter.
      Pivot to Investigate
    1. Dans la boîte de dialogue Sélectionner un service, sélectionnez l'un des services requis pour la procédure d'enquête.
    2. Cliquez sur Naviguer ou Analyse d'événements pour analyser les données.

    Examiner les détails de l'hôte

    Pour rechercher des fichiers suspects sur un hôte, cliquez sur le nom d'hôte et affichez les détails de l'hôte ou lancez une analyse à la demande pour obtenir les informations les plus récentes.

    Host Details view

    Recherche dans les snapshots

    Pour rechercher un hôte ou vérifier s'il est infecté par un programme malveillant connu, vous pouvez rechercher les occurrences du nom de fichier, du chemin du fichier ou de la somme de contrôle SHA-256.

    Remarque : Pour rechercher une somme de contrôle SHA-256, fournissez la chaîne de hachage entière dans la zone de recherche.

    Le résultat affiche des détails, tels que le nom du fichier, les informations de signature, ainsi que son interaction avec le système (exécuté en tant que processus, bibliothèque, exécution automatique, service, tâche ou pilote). Pour afficher plus de détails sur ces résultats, cliquez sur la catégorie.

    Par exemple, un utilisateur a cliqué et exécuté une pièce jointe malveillante via un e-mail d'hameçonnage et l'a téléchargé sur C:\Users. Pour examiner ce fichier :

    1. Accédez à ENQUÊTER > Hôtes.
    2. Sélectionnez l'hôte que vous souhaitez examiner.
    3. Dans l'onglet Présentation, entrez le chemin du fichier C:\Users dans la zone de recherche.
      La recherche affiche tous les fichiers exécutables de ce dossier. Dans cet exemple, le fichier NWEMalware.exe, est un fichier non signé susceptible d'être malveillant.
      Search on snapshots
  •         Ce fichier est exécuté en tant que processus.
    1. Pour afficher les détails de ce fichier, cliquez sur Process dans les résultats.
      Cette opération ouvre l'onglet Processus dans lequel vous pouvez afficher les détails du processus.
      Search Result

    Analyser les processus

    Dans la vue Hôtes, sélectionnez l'onglet Processus. Vous pouvez afficher les processus qui s'exécutaient au moment de l'analyse de l'hôte sélectionné. Les colonnes Nom de processus et ID de processus (PID) s'affichent sous la forme :

    • Arborescence - vous pouvez accéder à chaque processus et afficher le processus enfant ou parent associé.
    • Vue Liste - Vous pouvez trier le nom du processus et les colonnes PID.

    Cliquez sur Tree view pour changer de vue.

    Voici un exemple de l'arborescence :

    Tree View

    En examinant les processus, il est important afficher les arguments de lancement. Même les fichiers légitimes peuvent être utilisés à des fins malveillantes, il est donc important de les voir tous pour déterminer s'il y a une activité malveillante.

    Par exemple,

    • rundll32.exe est un fichier exécutable Windows légitime classé comme étant un fichier fiable. Toutefois, une personne malveillante peut utiliser ce fichier exécutable pour charger une DLL de programme malveillant. Par conséquent, lors de l'affichage des processus, vous devez afficher les arguments du fichier rundll32.exe.
    • LSASS.EXE est un enfant WININIT.EXE. Il ne doit comporter que les processus enfants. Souvent, un programme malveillant utilise cet exécutable pour vider les mots de passe ou l'imiter pour masquer un système (lass.exe, lssass.exe, lsasss.exe, etc.).

    • La plupart des applications utilisateur légitimes comme Adobe, les navigateurs Web, etc. ne génèrent pas de processus enfants comme cmd.exe. Si c'est le cas, examiner les processus.

    Analyser les exécutions automatiques

    Dans la vue Hôtes, sélectionnez l'onglet Exécutions automatiques. Vous pouvez afficher les exécutions automatiques, services et tâches cron qui sont en cours d'exécution pour l'hôte sélectionné.

    Par exemple, dans l'onglet Services, vous pouvez rechercher l'heure de création du fichier. L'heure de compilation est trouvée dans chaque fichier PE (Portable Executable) de l'en-tête PE. L'horodatage est rarement falsifié, même si une personne malveillante peut facilement le modifier avant de le déployer sur le point final de la victime. Cet horodatage peut indiquer si un nouveau fichier est introduit. Vous pouvez comparer l'horodatage du fichier sur le système pour connaître le décalage par rapport à l'heure de création. Si un fichier a été compilé il y a quelques jours, mais que l'horodatage de ce fichier sur le système indique qu'il a été créé il y a quelques années, il indique que le fichier est altéré.

    Analyser les fichiers

    Dans la vue Hôtes, sélectionnez l'onglet Fichiers. Vous pouvez afficher la liste des fichiers analysés sur l'hôte au moment de l'analyse. Par défaut, le tableau affiche 100 fichiers. Pour afficher plus de fichiers, cliquez sur Charger davantage au bas de la page.

    Par exemple, de nombreux chevaux de Troie écrivent des noms de fichiers aléatoires lors de la suppression de leurs charges utiles pour empêcher une recherche facile sur les points de terminaison dans le réseau en fonction du nom de fichier. Si un fichier est nommé svch0st.exe, scvhost.exe ou svchosts.exe, cela indique que le fichier Windows légitime nommé svchost.exe est en cours de reproduction.

    Analyse des bibliothèques

    Dans la vue Hôtes, sélectionnez l'onglet Bibliothèques. Vous pouvez afficher la liste des bibliothèques chargées au moment de l'analyse.

    Par exemple, un fichier avec une entropie élevée est marqué comme doté de fonctionnalités. Un fichier compressé signifie qu'il est compressé pour réduire sa taille (ou pour masquer les chaînes malveillantes et les informations de configuration).

    Analyser les pilotes

    Dans la vue Hôtes, sélectionnez l'onglet Pilotes. Vous pouvez afficher la liste des pilotes s'exécutant sur l'hôte au moment de l'analyse.

    Par exemple, à l'aide de ce panneau, vous pouvez vérifier si le fichier est signé ou non signé. Un fichier signé par un fournisseur de confiance tel que Microsoft et Apple, avec le terme, valid, indique qu'il s'agit d'un fichier fiable.

    Analyser les informations du système

    Dans la vue Hôtes, sélectionnez l'onglet Informations du système. Ce panneau répertorie les informations du système. Pour le système d'exploitation Windows, le panneau affiche les entrées du fichier hôte et les partages réseau de cet hôte.

    Par exemple, les programmes malveillants peuvent utiliser des entrées de fichier hôte pour bloquer les mises à jour antivirus.

    Supprimer un hôte

    Pour supprimer manuellement des hôtes à partir de l'interface utilisateur :

    1. Accédez à ENQUÊTER > Hôtes.
    2. Sélectionnez les hôtes à supprimer dans la vue Hôtes, puis cliquez sur Supprimer.
      Cela supprime toutes les données de point de terminaison collectées pour les hôtes sélectionnés.

    Remarque : Si vous supprimez accidentellement un hôte dans la vue Hôtes, le serveur Endpoint interdit toutes les demandes en provenance de cet agent. L'agent doit être désinstallé manuellement de l'hôte et réinstallé pour qu'il apparaisse dans la vue Hôtes.

    Définir les Préférences d'hôtes

    Par défaut, la vue Hôtes affiche plusieurs colonnes et les hôtes sont triés en fonction de l'heure de la première analyse. Si vous souhaitez afficher des colonnes spécifiques et trier les données sur un champ spécifique :

    1. Accédez à ENQUÊTER > vue Hôtes.
    2. Sélectionnez les colonnes en cliquant sur Settings dans le coin inférieur droit. L'exemple suivant montre l'écran qui s'affiche lors de l'ajout de colonnes :
      Select Columns for Hosts
    3. Trier les données de la colonne requise.

    Remarque : Il s'agit de votre vue par défaut chaque fois que vous vous connectez à la vue Hôtes.

    Exporter les attributs de l'hôte

    Vous pouvez exporter jusqu'à 100 000 attributs d'hôte à la fois. Pour extraire les attributs d'hôte dans un fichier de valeurs séparées par des virgules (CSV).

    1. Accédez à ENQUÊTER > Hôtes.
    2. Filtrez les hôtes en sélectionnant l'option de filtre requise.
    3. Ajoutez des colonnes en cliquant sur Settings dans le coin inférieur droit.
    4. Cliquez sur Exporter dans un fichier CSV.

    Vous pouvez enregistrer ou ouvrir le fichier CSV.

    You are here
    Table of Contents > Enquête sur les hôtes et les fichiers > Examiner les hôtes

    Attachments

      Outcomes