Créer des unités d'analyse IoC

• Vous devez disposer du droit Ressources-Modifier pour créer des unités d'analyse.

• Les indicateurs de compromission que vous allez utiliser dans les unités d'analyse doivent être compilés dans des fichiers au format CSV. Vous pouvez trouver des exemples d'indicateurs sur des sites Internet, par exemple sur celui de l'ANSSI. Les indicateurs peuvent également provenir de votre propre parc si vous avez détecté une compromission avec SES Evolution ou par un autre moyen, ou bien des ressources Stormshield téléchargées depuis le serveur de mise à jour. Pour plus d'informations, reportez-vous à la section Télécharger les mises à jour Stormshield.
  

  Le format du fichier CSV peut être le suivant : l'indicateur dans la première colonne suivi d'un séparateur (virgule, point virgule ou tabulation) et une description dans la deuxième colonne. La description n'est pas obligatoire et dans ce cas le séparateur n'est donc pas nécessaire. Si le fichier CSV contient plus de deux colonnes, il peut être importé quand même dans l'unité mais seules les deux premières sont prises en compte et affichées dans la console. Les titres de colonne ne sont pas nécessaires.
  Pour le type d'indicateur hash, il n'est pas nécessaire d'indiquer l'algorithme de hash dans le fichier CSV. Il est automatiquement détecté par la console.
  
  

1. Choisissez le menu Sécurité > Ressources.

2. Dans le panneau de gauche, cliquez sur + Ajouter une ressource.

3. Sélectionnez Analyse IoC, puis le type d'indicateurs à rechercher dans l'analyse :

   • Texte : recherche de chaînes de caractères suspectes (nom de fichier, nom de domaine, nom d'hôte, adresse IP, nom d'objet, adresse e-mail),

   • Nom de fichier : recherche de fichiers suspects,

   • Hash de fichier : recherche de hashes de fichiers suspects. Si vous importez des hashes de fichiers de type SSDEEP, vous pouvez modifier le taux de similarité par défaut de 80% en cliquant sur le bouton Paramètres généraux en haut à droite du panneau Ressources. Une correspondance de 100% entre deux fichiers indique qu'ils sont identiques.

   • Requête DNS : recherche de requêtes effectuées vers des noms de domaine suspects,

   • Objet nommé : recherche de noms d'objets suspects parmi les objets nommés Windows (ALPC port, Event, Job, Mutant, Section, Semaphore, Timer, Mailslot, NamedPipe, etc.).

   La nouvelle unité est ajoutée sous la catégorie IOC dans le panneau de gauche. Sous la catégorie Stormshield IOC, retrouvez les ressources fournies par Stormshield.

4. Dans le champ Nouvelle unité d'analyse, entrez le nom de votre analyse, puis une description en dessous si besoin.

5. Cliquez sur Importer le fichier CSV et sélectionnez un fichier CSV listant des indicateurs correspondant au type choisi. Le nombre total d'indicateurs s'affiche à gauche du champ Rechercher. Vous ne pouvez importer qu'un seul fichier CSV par unité.
6. Cliquez sur Enregistrer.

Vous ne pouvez pas supprimer une unité d'analyse IoC si elle est utilisée dans une tâche IoC, dans une analyse planifiée, ou en tant qu'action sur émission de logs dans une règle SES Evolution.

Pour obtenir une copie locale du fichier CSV, s'il a été importé par un autre administrateur par exemple, cliquez sur et sélectionnez un répertoire de destination. Vous pouvez ensuite consulter le fichier, le modifier et l'importer dans la même unité d'analyse ou dans une autre unité.

Vous pouvez également importer directement un fichier .cab depuis le menu dans le panneau de gauche. Un fichier .cab contient le ou les fichiers à utiliser dans une unité d'analyse Yara ou IoC ainsi que d'autres données comme le titre et la description de l'unité. Dans ce même menu, le sous-menu Exporter permet d'exporter une unité d'analyse avec toutes ces informations, dans un fichier .cab également.