Analyser les incidents pour comprendre une attaque

  1. Choisissez le menu Logs agents.
    La liste des logs de tous les agents s'affiche.
  2. Cliquez sur la petite flèche à gauche du log de type Incident Red icon representing an incident pour l'ouvrir. Il contient des lignes de logs standard. Pour plus d'informations sur la lecture des logs standard, reportez-vous à la section Visualiser et gérer les logs des agents dans la console d'administration.

    NOTE :
    Vous pouvez également ouvrir un incident externe ayant été précédemment exporté. Voir Exporter des incidents et visualiser des incidents externes.

  3. Cliquez sur l'icône œil Incident icon à droite de l'incident pour afficher la vue détaillée de l'incident. Cette vue est composée de plusieurs parties :
    • Graphique d'attaque : représentation graphique du déroulement de l'attaque subie par l'agent. Il contient tous les processus impliqués dans l'incident et les liens entre les processus.
    • Logs de contexte : liste de tous les logs environnant l'attaque. Par défaut, le bouton Alertes uniquement est activé et seules les alertes sont visibles. Cliquez sur le bouton pour afficher aussi les logs de contexte.
    • Volet Détails ou Log brut : informations supplémentaires sur l'élément sélectionné dans le graphique. Le log brut est au format JSON.
    • Volet Remédiation : permet de sélectionner et lancer des actions de remédiation souhaitées.
  4. À l'ouverture de la vue, le graphique d'attaque met en évidence l'élément ayant subi l'attaque par un petit bouclier bleu. Cliquez sur les processus qui le précèdent (i.e., processus parents) et consultez les informations liées dans le volet de droite. Le Hash notamment permet de vérifier si ce processus est déjà identifié comme malveillant dans des bases de données de malware connus.
    Un sceau rouge barré sur le processus signifie qu'il n'a pas été signé par un certificat de signature numérique lors de sa compilation.
    5. EXEMPLE
    Dans notre exemple, plusieurs indicateurs montrent que le premier processus est suspect :
    • Il affiche un sceau rouge : il n'est pas signé,
    • Son Nom a été généré de manière aléatoire,
    • Il est exécuté par WinWord, un programme qui n'exécute habituellement pas ce type de processus,
    • Il est exécuté dans un répertoire temporaire, comme l'indique son Chemin C:\Users\abott\AppData\Local\Temp.
  5. Selon la configuration du groupe d'agents, il est possible que le contexte détaillé ne s'affiche pas automatiquement. Si vous avez besoin de plus de contexte, cliquez sur le bouton Demander plus de détails afin que l'agent remonte toutes les informations au gestionnaire d'agents. Pour plus d'informations sur la configuration, reportez-vous à la section Configurer les incidents détaillés émis par les agents.
  6. Pour faire une recherche dans les logs de contexte, entrez votre chaîne de caractères dans le champ Rechercher. La syntaxe de recherche est la suivante :

    7. Aide sur la syntaxe de recherche

    La recherche est effectuée dans les logs de contexte.

    Seuls les logs correspondant à la recherche restent affichés dans la liste. Le graphique d'attaque n'est pas impacté par la recherche.

    EXEMPLE

    Dans notre exemple, la ligne de commande de l'élément WINWORD.exe indique qu'un fichier invoice.doc a été créé. La recherche de la chaîne invoice.doc "création de fichier" permet d'afficher tous les logs incluant ces termes et de constater que chrome.exe a créé ce fichier.

  7. Si vous avez identifié un log pertinent pour comprendre votre attaque, épinglez-le au graphique en cliquant sur l'icône Icône épingle . Ce log s'ajoute au graphique en tant que nouvel événement et le modifie.

    Pour n'afficher dans la liste que les logs correspondant aux éléments du graphique, cliquez sur le bouton Épinglés uniquement.

    8. EXEMPLE

    Dans notre exemple, l'épinglage du log mentionnant la création du fichier invoice.doc permet de visualiser le déroulé de l'attaque : le malware s'est exécuté sur le poste à partir d'un document Word infecté (invoice.doc) que l'utilisateur à téléchargé via Chrome, puis ouvert. Il s'agit d'une tentative de Phishing qui a été bloquée par SES Evolution.recherche de la chaine invoice.doc dans les Incidents

  8. Pour faciliter l'étude d'une partie du graphique, déplacez-vous et zoomez grâce aux boutons en bas à droite du graphique. Vous pouvez aussi utiliser le clic gauche et la molette de la souris.
  9. Les processus identiques étant groupés par défaut, désactivez l'option Grouper les événements en haut à droite pour déployer les éléments et les analyser un par un.
  10. Une fois votre analyse terminée :
    • Dans l'onglet Remédiation en haut à droite, créez une tâche de remédiation en cochant les actions que vous souhaitez effectuer sur le ou les agents concernés. Cliquez sur le bouton Voir la tâche de remédiation pour exécuter la tâche. Pour plus d'informations, reportez-vous à la section Procéder à une remédiation.
    • Cliquez sur la flèche de retour en haut à gauche pour revenir au panneau des logs standard. Toutes vos modifications sont enregistrées et s'afficheront à nouveau à la prochaine ouverture de la vue des incidents.