Guide de recherche des menaces avec Symantec Endpoint Detection and Response 4.6

La page est créée Celine Jacquet
 
CONTINUER À LIRE
Guide de recherche des menaces avec Symantec™ Endpoint
Detection and Response 4.6
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                                                   Response 4.6

Table of Contents
Déclaration de copyright.....................................................................................................................3
Introduction........................................................................................................................................... 4
   A propos du Guide de repérage de menaces...............................................................................................................4
Détection des menaces....................................................................................................................... 5
   Recherche de comportements suspects.......................................................................................................................5
   Recherche de processus suspects................................................................................................................................5
   Recherche de connexions réseau suspectes............................................................................................................. 10
   Recherche de modifications de registre suspectes...................................................................................................10
   Recherche de tentatives de détection de vulnérabilités........................................................................................... 11
   Identification des vulnérabilités de conformité et de configuration.........................................................................11
   Recherche de malware, de chevaux de Troie et d’exploits Java..............................................................................11
   Recherche de tentatives de livraison de code malveillant........................................................................................12
   Recherche d’une activité de campagne de menace.................................................................................................. 12
   Recherche d'événements corrélés............................................................................................................................... 13
   Méthodes de recherche et de filtrage de la base de données..................................................................................13
   ID d'Event Summary (Récapitulatif d'événements).................................................................................................... 21

                                                                                                                                                                  2
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                               Response 4.6

Déclaration de copyright
Déclaration de copyright
Broadcom, le logo Pulse, Connecting everything et Symantec font partie des marques commerciales de Broadcom.
Copyright © 2021 Broadcom. Tous droits réservés.
Le terme « Broadcom » se rapporte à Broadcom Inc. et/ou à ses filiales. Pour plus d’informations, consultez le site
www.broadcom.com.
Broadcom se réserve le droit d'apporter des modifications sans préavis à tous les produits ou données fournis ici pour
améliorer la fiabilité, le fonctionnement ou la conception. Les informations fournies par Broadcom sont jugées exactes
et fiables. Toutefois, Broadcom n'assume aucune responsabilité découlant de l'application ou de l'utilisation de ces
informations, ni l'application ou l'utilisation d'un produit ou d'un circuit décrit dans le présent document, et ne transmet
aucune licence dans le cadre de ses droits de brevet ou des droits des autres.

                                                                                                                                          3
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                             Response 4.6

Introduction

A propos du Guide de repérage de menaces
Ce manuel fournit des instructions, notamment des exemples de requêtes et des scénarios d’utilisation, pour vous aider à
détecter les menaces pesant sur votre réseau. Les informations fournies ne sont pas destinées à être un recueil exhaustif,
car le sujet traité est trop vaste pour être contenu dans un seul document. En revanche, elles fournissent une base pour
apprendre les méthodes et les techniques d’utilisation de Symantec EDR pour la recherche de menaces.
L’organisation MITRE™ fournit des informations détaillées sur les cybermenaces qui présentent un danger pour votre
réseau. Pour plus d’informations, reportez-vous à la matrice MITRE Enterprise pour connaître les tactiques et les
techniques appartenant à MITRE ATT&CK®.
Les recherches que vous effectuerez dans ce guide sont effectuées dans la console d’appliance EDR, sous l’onglet
Search (Rechercher) > Database (Base de données) > Events (Événements).
Lorsque vous saisissez ou collez une requête basée sur le texte dans le champ de recherche Database (Base de
données) > Event (Événements), la validité est vérifiée immédiatement. Si la requête est valide, une coche verte
apparaît. En cas de problème avec la requête, une erreur s’affiche.
Dès que vous cliquez sur l’icône de recherche (loupe) à la fin du champ de recherche, la chaîne de requête est convertie
en jetons.

Pour effacer le champ de recherche, cliquez sur Clear Filter Query (Effacer le filtre de requête).
La plupart des requêtes indiquées dans ce guide sont composées d'une valeur type_id. Pour consulter la liste des
valeurs type_id et leur description, reportez-vous à la section ID d'Event Summary (Récapitulatif d'événements).

                                                                                                                                        4
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                           Response 4.6

Détection des menaces

Recherche de comportements suspects
Recherche d’arguments de ligne de commande correspondant à une expression régulière
Reportez-vous à la section Méthodes de recherche et de filtrage de la base de données pour plus d’informations sur les
recherches d’événement basées sur une expression régulière.
 type_id:8001 AND operation:1 AND process.cmd_line:[REGEX]

Recherche de connexions utilisateur ou de déplacements latéraux inhabituels
Cette requête est utilisée lorsque les systèmes sont compromis et que les informations d’identification sont volées. Les
pirates utilisent ces comptes pour se déplacer dans l’organisation ou créer d’autres comptes disposant de privilèges. Vous
pouvez les identifier en recherchant une activité de connexion inhabituelle avec des comptes volés ou en recherchant de
nouveaux comptes qui ont été créés.
Ajoutez le champ session.user.name sous forme de colonne, puis recherchez dans Selected Fields (Champs
sélectionnés) les nombres pour chaque compte d’utilisateur utilisé pour la connexion à l’ordinateur.
 type_id:8000 AND device_name:[hostname]

Recherche de processus suspects
Rechercher des instances d’outils de détection sur un terminal
Les attaquants peuvent utiliser un outil de reconnaissance commun pour lancer un ou plusieurs processus afin de
compromettre les hôtes de votre réseau. Utilisez cette requête pour rechercher toutes les instances pour lesquelles ces
outils communs sont présents sur un hôte.
 type_id:8001 AND operation:1 AND
 (process.file.name:net.exe OR
 process.file.name:ipconfig.exe OR
 process.file.name:whoami.exe OR
 process.file.name:quser.exe OR
 process.file.name:ping.exe OR
 process.file.name:netstat.exe OR
 process.file.name:tasklist.exe OR
 process.file.name:Hostname.exe OR
 process.file.name:at.exe)

                                                                                                                                      5
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                           Response 4.6

Rechercher des commandes PowerShell masquées
Des commandes PowerShell malveillantes peuvent être masquées à l’aide d’un certain nombre de techniques, telles que
la concaténation de chaînes et la manipulation de chaînes.
 process.file.name:powershell.exe AND
 operation:1 AND
 (obfuscated.cmd_uses_concat_obfuscation:true OR
 obfuscated.cmd_uses_reorder_obfuscation:true OR
 obfuscated.cmd_uses_tick_obfuscation:true)

Rechercher des téléchargements powershell.exe
Des processus approuvés connus, tels que PowerShell, sont utilisés pendant les attaques pour télécharger d’autres outils
d’exploitation.
 event_actor.file.name:powershell.exe AND
 (type_id:8007 OR
 (type_id:8003 AND operation:1))

Rechercher des commandes PowerShell codées
PowerShell est également utilisé pendant la phase de mouvement latéral de l’attaque, ce qui permet à une menace
d’exécuter du code sur un ordinateur distant du réseau. PowerShell peut également télécharger et exécuter des
commandes directement à partir de la mémoire, rendant difficile le suivi de l’infection.
Le codage convertit une ligne de commande en une version base64. Il existe des raisons légitimes à cela, notamment
puisque PowerShell peut gérer certains caractères qui ne peuvent pas être utilisés par cmd.exe. Les attaquants utilisent
le codage pour masquer l'intention réelle de la commande. Ces requêtes recherchent toutes les instances de PowerShell
qui ont une ligne de commande codée en base64.
 process.file.name=powershell.exe AND
 operation:1 AND
 (process.cmd_line:"*-enc*" OR
 process.cmd_line:"*encoded*")

                                                                                                                                      6
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                              Response 4.6

Attaques sans fichiers à l’aide de wscript pour lancer un script Java ou VBS malveillant
L'outil wscript peut être utilisé pour lancer des scripts malveillants qui lancent des attaques sans fichiers. Cela arrive
souvent lorsque les scripts sont lancés à partir de documents Office. Recherchez les scripts VBS ou Java exécutés à
partir de répertoires tels que download, temp, data et l’historique Internet. Il ne s’agit pas d’emplacements typiques pour
l’exécution du script VBS ou Java.
 process.file.name:[cscript.exe OR wscript.exe] AND
 process.cmd_line:[vbs OR js]

Rechercher des transferts Windows BITS (Background Intelligent Transfer Service, service de transfert intelligent
en arrière-plan)
Le service de transfert intelligent en arrière-plan (BITS) de Windows peut être utilisé pour transférer des fichiers binaires
malveillants entre des ordinateurs.
 process.file.name:bitsadmin.exe AND
  (process.cmd_line:"*/transfer*" OR
  process.cmd_line="*Addfile*")

Liste des processus qui s’exécutent à partir d’emplacements inhabituels
          NOTE
          Les attaques qui exécutent des processus et des fichiers binaires à partir d’emplacements inhabituels ou
          inattendus font partie de la catégorie de menace appelée Masquerading (Brouillage). Une présentation générale
          des attaques par brouillage est fournie par https://attack.mitre.org/techniques/T1036/.
Un malware qui s’injecte dans la mémoire place parfois son fichier dans un emplacement inhabituel. Les processus sont
censés s’exécuter à partir de certains emplacements, tels que Fichiers de programme, Fichiers de programme (x86) et
leurs répertoires enfants. Les processus qui s’exécutent à partir d’autres emplacements doivent être considérés comme
potentiellement malveillants et doivent être examinés selon leur potentiel de menace.
 process.file.name:/.*exe/ AND
 -process.file.folder:/.*windows.*/ AND
 -process.file.folder:/.*program.*/ AND
 operation:1

Liste des processus qui s’exécutent à partir de la corbeille
Les attaquants peuvent tenter de masquer un processus malveillant en l’exécutant à partir de la corbeille. Les processus
qui s’exécutent à partir de la corbeille sont évidemment très suspects.
 type_id:8001 AND

                                                                                                                                         7
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                              Response 4.6

 operation:1 AND
 process.file.path:"recycle.bin"

Liste des processus qui s’exécutent à partir des chemins d’accès aux fichiers du navigateur
Les attaquants peuvent tenter de masquer un processus malveillant à l’aide d’un nom semblable au nom d’un service
légitime et l’exécuter à partir du chemin d’accès aux fichiers du navigateur.
 type_id:8001 AND
 operation:1 AND
 process.file.path:["Temporary Internet Files" OR
 "AppData\\Local\\Mozilla\\Firefox\\Profiles" OR
 "AppData\\Local\\Google\\Chrome" OR
 "Downloads"]

Liste des processus qui s’exécutent à partir des chemins d’accès aux fichiers du profil utilisateur
Les attaquants peuvent tenter de masquer un processus malveillant à l’aide d’un nom semblable au nom d’un service
légitime et l’exécuter à partir du chemin d’accès aux fichiers de l'utilisateur.
 type_id:8001 AND
 operation:1 AND
 process.file.normalized_path:CSIDL_PROFILE

Liste des fichiers binaires du service en cours d’exécution qui ne se trouvent pas dans le répertoire System32
Un vecteur d’attaque commun consiste à exécuter des fichiers binaires à partir d’emplacements autres que System32.
 (type_id:8001 AND operation:1) AND
 event_actor.file.name:services.exe AND
 -process.file.normalized_path:CSIDL_SYSTEM

Liste des fichiers exécutables qui s’exécutent à partir d’emplacements autres que les répertoires Windows ou
Fichiers de programme
 type_id:8001 AND operation:1 AND
 -process.file.folder:["windows" OR "Program Files"]

Rechercher les instances de svchost où le processus parent n’est pas services.exe
Services est toujours le processus parent de svchost. S’il existe un processus parent différent, cela peut signifier qu’il
s’agit de malware.

                                                                                                                                         8
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                           Response 4.6

 type_id:8001 AND operation:1 AND
 process.file.name:svchost.exe AND
 -event_actor.file.name:services.exe

Afficher un nom de service spécifié
         NOTE
         La requête ci-dessous est la recherche d’événement. Vous pouvez simplement rechercher l’entité de fichier.
 (process.file.name: AND type_id:8001 AND operation:1)

Répertorier tous les événements CreateService
 enriched_data.rule_name:[eModifyExistingService OR
 eNewService]

Répertorier les fichiers binaires autres que System32 s’exécutant en tant que service hébergé
Pour effectuer cette recherche, dans la console d’appliance EDR, accédez à Search > Database > Endpoint
(Rechercher > Base de données > Terminal).
Commencez par exécuter une recherche pour obtenir toutes les valeurs de registre correspondant à la DLL de service :
 reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\*\\Parameter AND
 reg_value.name:ServiceDll

Recherchez ensuite les résultats comprenant :
 -reg_value.data:"*SYSTEM32*"

Répertorier les services arrêtés et leurs terminaux
Recherchez les ID d'événement 7035 et 7036 dans les journaux d'événements Windows. Pour effectuer cette recherche,
dans la console d’appliance EDR, accédez à Search > Database > Endpoint (Rechercher > Base de données >
Terminal).
Commencez par exécuter une recherche pour obtenir toutes les valeurs de registre correspondantes :
 reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
 \\Services\\*" AND reg_value.name:Start

Recherchez ensuite les résultats :
 reg_value.data:4

Afficher lorsqu’un service de terminal spécifique s’est arrêté
Il s'agit d'un exemple que vous pouvez modifier pour renvoyer des données pour le service qui vous intéresse :
 type_id:8001 AND operation:2 AND process.cmd_line:"defragsvc"

Affichez une liste de pièces jointes lancées à partir d’Outlook qui sont associées à l’un des lecteurs de document
suivants : winword.exe, excel.exe ou POWERPNT.exe.

                                                                                                                                      9
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                          Response 4.6

 type_id:8001 AND operation:1 AND
 event_actor.cmd_line:"*content.outlook*" AND
 event_actor.file.name:[winword.exe OR
 powerpnt.exe OR excel.exe]

Liste des liens ouverts à partir d’Outlook dans une période spécifique
Utilisez la requête suivante pour afficher les événements. Ajoutez le champ process.cmd_line sous forme de colonne
pour afficher rapidement les URL.
 event_actor.file.name:outlook.exe AND
 process.file.name:[chrome.exe OR
 iexplore.exe OR firefox.exe]

Recherche de connexions réseau suspectes
Répertorie le trafic réseau sortant qui se produit sur des ports non standard.
 type_id:8007 AND
 -target_ip:["192.168.0.0/16" OR
 "10.0.0.0/8" OR "172.16.0.0/12" OR
 "127.0.0.0/8"] AND
 -target_port:[80 OR 443]

           NOTE
           Insérez vos propres préfixes d'adresse interne attendue dans la partie -external_ip: de la requête. Vous
           devez également ajouter tous les ports distants supplémentaires que vous considérez comme non standard.
Répertorie toutes les connexions RDP (Remote Desktop Protocol) sur un terminal spécifié.
 type_id:8007 AND
 (source_port:3389 OR target_port:3389) AND
 device_name:

Pour les événements enrichis :
 enriched_data.rule_name:eRemoteDesktopProtocol AND
 device_name:

Recherche de modifications de registre suspectes
Afficher la persistance (touche d’exécution)
Ajouts :

                                                                                                                                    10
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                      Response 4.6

 enriched_data.category_name:"Load Point Modification" AND operation:1

Modifications :
 enriched_data.category_name:"Load Point Modification" AND operation:2

Suppressions :
 enriched_data.category_name:"Load Point Modification" AND operation:3

Recherche de tentatives de détection de vulnérabilités
Recherche de tentatives de création de liste d'utilisateurs ou de groupes à l’aide des commandes net.exe
 (type_id:8001 AND operation:1 AND process.file.name:net.exe AND (process.cmd_line:/.*user.*/ OR
  process.cmd_line:/.*group.*/) AND -process.cmd_line:/.*user:.*/

Identification des vulnérabilités de conformité et de configuration
Répertorie les serveurs Web ou les processus de base de données exécutés sous un compte de système local.
 process.file.name:[w3wp.exe OR sqlservr.exe OR
 httpd.exe OR nginx.exe] AND
 (type_id:8001 AND operation:1) AND
 process.user.name:SYSTEM

Recherche de malware, de chevaux de Troie et d’exploits Java
Répertorier les fichiers JAR écrits dans %AppData%
 type_id:8003 AND operation:1 AND
 file.name:/.*\.jar/ AND file.folder:"*\\appdata\\roaming*"

                                                                                                                                11
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                           Response 4.6

Répertorier les fichiers JAR en cours d'exécution à partir du dossier %AppData%
 type_id:8001 AND operation:1 AND
 process.cmd_line:/.*\.jar/ AND
 process.cmd_line:"*\\appdata\\roaming*"

Répertoriez le processus Java.exe qui écrit les fichiers exécutables :
 type_id:8003 AND operation:1 AND
 file.family_id:3 AND event_actor.file.name:java.exe

Rechercher le processus enfant whoami lancé sous le processus Java.exe
 event_actor.file.name:java.exe AND
 process.file.name:whoami.exe

Recherche de tentatives de livraison de code malveillant
Recherche d’une pièce jointe de document Word contenant un lien cliqué suivi d’un téléchargement de
navigateur
Les malwares sont souvent remis via des documents qui contiennent des liens qui lancent des téléchargements à partir
de sites malveillants, par exemple, un lien dans un document Word.
Vous pouvez également utiliser cette recherche comme modèle pour rechercher des pièces jointes à un message
électronique, des téléchargements de navigateur et des recherches qui joignent plusieurs événements par heure.
 event_actor.file.name:winword.exe AND process.file.name:chrome.exe

         NOTE
         Modifiez-le si nécessaire pour d’autres lecteurs de document et d’autres navigateurs.

Recherche d’une activité de campagne de menace
Récupérer les 30 derniers jours de connexions réseau aux serveurs Dofoil NameCoin connus

                                                                                                                                     12
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                                    Response 4.6

 type_id:8007 AND target_ip:["139.59.208.246" OR
 "130.255.73.90" OR "31.3.135.232"]

Recherche d'événements corrélés
Utilisez le champ de recherche correlation_uid pour rechercher les événements qui appartiennent à la même chaîne
d'attaque.
Recherchez les événements avec les mêmes correlation_uid.
 correlation_uid:73E1C03C-ECA1-11EA-A387-D583DF98E2FC

Recherchez les événements avec le même acteur et le même correlation_uid.
 event_actor.file.md5:d0432468fa4b7f66166c430e1334dbda AND correlation_uid:73E1C03C-ECA1-11EA-A387-D583DF98E2FC

Méthodes de recherche et de filtrage de la base de données
Symantec Endpoint Detection and Response fournit plusieurs méthodes pour rechercher et filtrer les données. La section
Méthodes de recherche et de filtrage répertorie et décrit brièvement chaque méthode. Cliquez sur le nom de la méthode
pour consulter la syntaxe de requête et des exemples de la méthode.
          NOTE
          N'utilisez pas = dans les requêtes de base de données. Utilisez : à la place.

Table 1: Méthodes de recherche et de filtrage

    Méthode                                                            Description

Saved searches Accédez aux recherches qui ont déjà été créées et enregistrées.
(Recherches
enregistrées)
Quick filters       Filtres prédéfinis pour les données généralement recherchées.
(Filtres rapides)
Forme libre         Renvoie ou exclut des données uniquement en fonction d'une valeur, indépendamment du ou des champs dans
                    lesquels apparaît la valeur.
Correspondance Renvoie ou exclut des données correspondant aux noms de champ exacts et à leurs valeurs.
exacte
Plage               Renvoie ou exclut des données comprises entre deux valeurs spécifiées d'un champ donné.
Expression          Renvoie ou exclut des données correspondant à une expression régulière.
régulière
                    Note: Symantec EDR utilise un sous-ensemble des fonctionnalités du bouton expression régulière Perl. Reportez-
                    vous à la page https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-query.html#regexp-
                    syntax pour les fonctionnalités prises en charge.

Exists              Renvoie des données en fonction de la présence ou de l'absence d'un champ donné.

                                                                                                                                              13
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                                Response 4.6

    Méthode                                                         Description

One-of            Renvoie ou exclut des données en fonction de valeurs spécifiées d'un champ donné.
Complexe          Au moins deux des précédentes méthodes de recherche qui, lorsqu'elles sont combinées, peuvent créer des
                  requêtes de complexité presque aléatoire.

Exemple d'ensemble de données
Trois enregistrements ont été utilisés pour les exemples dans cette section, comportant chacun les mêmes champs mais
des valeurs différentes. La section Exemples d'ensemble de données répertorie les enregistrements et leurs données qui
sont utilisés dans les exemples.
          NOTE
          Un trait d'union ("-") indique que le champ n'est pas présent dans l'enregistrement.

Table 2: Exemples d'ensemble de données

 type_id (ID
                      adresse électronique                emplacement                received_date                 command_name
   de type)
                           (mot-clé)                        (texte)                      (date)                       (mot-clé)
   (entier)
4118            sender111@ someplace.com            Cambridge, MA
4125                                                Cambridge, CA              2018-03-23T00:00:01.
                                                                               733Z
4128            automation@                         Cambridge, OH                                             get_file
                somewhere.com

Quick filters (Filtres rapides)
Les filtres rapides sont des recherches prédéfinies pour des détections et des données fréquemment recherchées. Les
filtres rapides disponibles dépendent du type de recherche que vous effectuez ; base de données, entités, endpoint et
ainsi de suite. Les filtres rapides disponibles pour un type de recherche donné apparaissent dans la boîte de dialogue
Add Filter (Ajouter un filtre). Vous pouvez sélectionner les filtres rapides à partir de la boîte de dialogue contextuelle ou
vous pouvez saisir manuellement le nom d'un filtre rapide dans la barre de recherche de filtre.
          NOTE
          Les filtres rapides ne sont pas pris en charge sur Internet Explorer. Utilisez Firefox ou Chrome pour utiliser la
          fonctionnalité filtre rapide.
Syntaxe
quick:""
          NOTE
          La valeur du filtre rapide doit être encadrée par des guillemets.
Exemple
Query: quick:"Get File"

Table 3: Résultats de la requête de filtre rapide : "Get File"

  type_id (ID
                           email_address                     emplacement                      received_date                     command_name
    de type)
                             (mot-clé)                         (texte)                            (date)                           (mot-clé)
    (entier)
4128            automation@ somewhere.com             Cambridge, OH                                   -                  get_file

                                                                                                                                          14
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                             Response 4.6

Forme libre
Les recherches en forme libre sont des recherches "partielles" ; les résultats sont des correspondances approximatives
basées sur la chaîne de requête. Les restrictions suivantes s'appliquent aux recherches libres :
• Les résultats reflètent tous les événements qui contiennent la valeur spécifiée.
• Les valeurs qui contiennent des espaces ou des points-virgules doivent être encadrées par des guillemets.
• Les valeurs de date ne fonctionnent pas dans les recherches en forme libre. Par exemple, les éléments suivants ne
     sont pas autorisés :
     – "12:00"
     – "2018-02-22 17:15:31 UTC"
     Pour les recherches basées sur le temps, reportez-vous à la section Correspondance exacte.
•    Les données de type texte ne respectent pas la casse. Les données de type mot-clé respectent la casse.
Syntaxe
value_query
Exemple A
Requête : cambridge

Table 4: Résultats de la requête en forme libre : cambridge

    type_id (ID
                           email_address                  emplacement                      received_date                     command_name
      de type)
                             (mot-clé)                      (texte)                            (date)                           (mot-clé)
      (entier)
4118              sender111@ someplace.com         Cambridge, MA                                   -                                  -
4125                             -                 Cambridge, CA                  2018-03-23T00:00:01. 733Z                           -

Exemple B
Requête : 41*

Table 5: Résultats de la requête en forme libre : 41*

    type_id (ID
                           email_address                  emplacement                      received_date                     command_name
      de type)
                             (mot-clé)                      (texte)                            (date)                           (mot-clé)
      (entier)
4118               sender111@ someplace.com        Cambridge, MA                                   -                                  -
4125                             -                 Cambridge, CA                  2018-03-23T00:00:01. 733Z                           -
4128               automation@ somewhere.com       Cambridge, OH                                   -                  get_file

Exemple C
Requête : -cambridge
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas la valeur Cambridge dans un champ.

                                                                                                                                          15
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                              Response 4.6

Table 6: Résultats de la requête en forme libre : -cambridge

 type_id (ID de type)         email_address               emplacement                       received_date                     command_name
       (entier)                 (mot-clé)                   (texte)                             (date)                           (mot-clé)
-cambridge                     Aucun résultat             Aucun résultat                    Aucun résultat                     Aucun résultat

Correspondance exacte
La méthode de recherche par correspondance exacte renvoie uniquement les enregistrements qui correspondent
exactement aux paramètres champ:valeur que vous entrez.
Syntaxe : champ:valeur
Les restrictions suivantes s'appliquent à la recherche oar correspondance exacte :
• Les champs sont sensibles à la casse.
• Les valeurs qui contiennent des espaces ou des points-virgules doivent être encadrées par des guillemets.
Exemple A
Requête : type_id: 4118

Table 7: Résultats de la requête par correspondance exacte type_id: 4118

 type_id (ID
                           email_address                  emplacement                       received_date                     command_name
   de type)
                             (mot-clé)                      (texte)                             (date)                           (mot-clé)
   (entier)
4118            sender111@ someplace.com           Cambridge, MA                                    -                                  -

Exemple B
Query : location: "Cambridge, CA"

Table 8: Résultats de la requête par correspondance exacte location:"Cambridge, CA"

  type_id (ID
                           email_address                  emplacement                       received_date                     command_name
    de type)
                             (mot-clé)                      (texte)                             (date)                           (mot-clé)
    (entier)
4125                              -                Cambridge, CA                    2018-03-23T00:00:01. 733Z                          -

Exemple C
Requête : -type_id: 4118
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas la valeur "4118" dans le champ "type_id".

Table 9: Résultats de la requête par correspondance exacte -type_id: 4118

  type_id (ID
                             email_address                   emplacement                      received_date                   command_name
    de type)
                               (mot-clé)                       (texte)                            (date)                         (mot-clé)
    (entier)
4125                                  -                Cambridge, CA                  2018-03-23T00:00:01. 733Z                         -
4128              automation@ somewhere.com            Cambridge, OH                                    -               get_file

Plage

                                                                                                                                           16
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                              Response 4.6

Les recherches sur plage vous permettent de rechercher des valeurs qui apparaissent dans une plage numérique
donnée.
Syntaxe : > field:{TO}
= « supérieur ou égal à » et = « inférieur ou égal à ». Remplacer  ou  par '*' pour indiquer une
absence de limite supérieure ou inférieure. Par exemple, {* TO *} renvoie toutes les valeurs du champ.
          NOTE
          Les expressions régulières ne sont pas prises en charge pour les éléments  ou . Par exemple, age:{3
          TO 10} fonctionne, mais pas age:{10 TO 3*}.
Exemple A
Requête : type_id:{4000 TO *}

Table 10: Résultats de la requête par plage : type_id: {4000 TO *}

   type_id (ID
                            email_address                    emplacement                      received_date                   command_name
     de type)
                              (mot-clé)                        (texte)                            (date)                         (mot-clé)
     (entier)
4118                  sender111@ someplace.com         Cambridge, MA                                  -                                 -
4125                               -                   Cambridge, CA                  2018-03-23T00:00:01. 733Z                         -
4128              automation@ somewhere.com            Cambridge, OH                                  -                 get_file

Exemple B
Les requêtes sur plage fonctionnent également avec du texte. Le texte est testé de manière lexicale (ordre alphabétique
progressif) pour inclusion dans la plage.
Requête : location: {"Cambridge, CA" TO "Cambridge, OH" }

Table 11: Résultats de la requête par plage : location: {"Cambridge, CA" TO "Cambridge, OH" }

    type_id (ID
                             email_address                   emplacement                      received_date                   command_name
      de type)
                               (mot-clé)                       (texte)                            (date)                         (mot-clé)
      (entier)
4118                   sender111@ someplace.com        Cambridge, MA                  -                                                 -
4125                                   -               -                              2018-03-23T00:00:01. 733Z                         -
                                                       Cambridge, CA
4128                automation@ somewhere.com          Cambridge, OH                                  -                 get_file

Exemple C
Requête : -type_id:{* TO 4118}
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas les valeurs « de 0 à 4118 » dans le champ « type_id ».

                                                                                                                                        17
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                              Response 4.6

Table 12: Résultats de la requête par plage : -type_id: {* TO 4118} Résultats de la requête par plage : -type_id: {*
TO 4118}

    type_id (ID
                              email_address                  emplacement                      received_date                   command_name
      de type)
                                (mot-clé)                      (texte)                            (date)                         (mot-clé)
      (entier)
4125                                 -                 Cambridge, CA                  2018-03-23T00:00:01. 733Z                         -
4128               automation@ somewhere.com           Cambridge, OH                                  -                 get_file

Expression régulière
Les recherches par expression régulière vous permettent d'utiliser des expressions régulières pour tester les valeurs de
champ pour une inclusion dans les résultats de recherche.
          NOTE
          Symantec EDR utilise un sous-ensemble des fonctionnalités du bouton expression régulière Perl.
          Reportez-vous à la page https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-
          query.html#regexp-syntax pour les fonctionnalités prises en charge.
          Les requêtes par expression régulière fonctionnent uniquement sur les champs de mot-clé et de texte.
Syntaxe : field://
Exemple A
Requête : email_address:/.*some.*/

Table 13: Résultats de la requête par expression régulière : email_address:/.*some.*/

type_id (ID de type)           email_address                 emplacement                      received_date                   command_name
      (entier)                   (mot-clé)                     (texte)                            (date)                         (mot-clé)
4188                     sender111@ someplace.com      Cambridge, MA                  -                                                 -
4128                   automation@ somewhere.com       Cambridge, OH                                  -                 get_file

Exemple B
Requête : email_address:/.*some(one|place).*/

Table 14: Résultats de la requête par expression régulière : email_address:/.*some(one|place).*/ Résultats de la
requête par expression régulière : email_address:/.*some(one|place).*/

    type_id (ID
                              email_address                  emplacement                      received_date                   command_name
      de type)
                                (mot-clé)                      (texte)                            (date)                         (mot-clé)
      (entier)
4125                     sender111@ someplace.com      Cambridge, MA                  -                                                 -

Requête : -command_name:/.*/
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne correspondent pas à l'expression régulière command_name:/.*/

                                                                                                                                        18
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                              Response 4.6

Table 15: Résultats de la requête par expression régulière : command_name:/.*/

   type_id (ID
                              email_address                  emplacement                      received_date                   command_name
     de type)
                                (mot-clé)                      (texte)                            (date)                         (mot-clé)
     (entier)
4118                     sender111@ someplace.com      Cambridge, MA                  -                                                 -
4125              -                                    Cambridge, CA                  2018-03-23T00:00:01. 733Z -

Exists
La requête « exists » recherche les enregistrements qui contiennent (ou qui ne contiennent pas) un champ spécifique.
Syntaxe : exists:field
Exemple A
Requête : exists:command_name

Table 16: Résultats pour la requête exists : exists:command_name

    type_id (ID
                               email_address                 emplacement                      received_date                   command_name
      de type)
                                 (mot-clé)                     (texte)                            (date)                         (mot-clé)
      (entier)
4128                  automation@ somewhere.com        Cambridge, OH                                  -                 get_file

Exemple B
Requête : -exists:email_address
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas le champ email_address

Table 17: Résultats de la requête exists : -exists:email_address

   type_id (ID
                              email_address                  emplacement                      received_date                   command_name
     de type)
                                (mot-clé)                      (texte)                            (date)                         (mot-clé)
     (entier)
4125                                -                  Cambridge, CA                  2018-03-23T00:00:01. 733Z                         -

One-of
Les recherches One-of vous permettent de rechercher des valeurs différentes pour un champ donné.
Syntaxe : field:[ OR ...]
          NOTE
          Vous pouvez ajouter des valeurs supplémentaires pour étendre la recherche.
Exemple A
Requête : type_id:[4118]

                                                                                                                                        19
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                               Response 4.6

Table 18: Résultats pour une requête one-of : type_id:[4118]

   type_id (ID
                             email_address                     emplacement                     received_date                   command_name
     de type)
                               (mot-clé)                         (texte)                           (date)                         (mot-clé)
     (entier)
4118                   sender111@ someplace.com         Cambridge, MA                  -                                                 -

Exemple B
Requête : type_id:[4118 OR 4125]

Table 19: Résultats pour la requête one-of : type_id:[4118 OR 4125]

    type_id (ID
                              email_address                    emplacement                     received_date                   command_name
      de type)
                                (mot-clé)                        (texte)                           (date)                         (mot-clé)
      (entier)
4118                    sender111@ someplace.com        Cambridge, MA                  -                                                 -
4125                                 -                  Cambridge, CA                  2018-03-23T00:00:01. 733Z                         -

Exemple C
Requête : -type_id:[4118 OR 4125]
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas le type_id « 4118 » ou « 4125 »

Table 20: Résultats de la requête one-of : -type_id:[4118 OR 4125]

    type_id (ID
                              email_address                    emplacement                     received_date                   command_name
      de type)
                                (mot-clé)                        (texte)                           (date)                         (mot-clé)
      (entier)
4128                automation@ somewhere.com           Cambridge, OH                                  -                 get_file

Complexe
Les requêtes complexes contiennent au moins deux des autres méthodes de recherche.
Syntaxe : (    ) ...
          NOTE
          Vous pouvez ajouter d'autres fonctions de recherche (avec leurs champs et leurs valeurs) pour atteindre
          n'importe quel niveau de spécificité souhaité. Utilisez des parenthèses pour définir l'ordre de priorité de la
          recherche.
Exemple
Requête : (quick:"Get File" AND -type_id:{4118 TO 4125})
Cet exemple combine un filtre rapide et une requête de plage en une requête complexe unique. Le signe moins précédant
une plage inverse la requête.

                                                                                                                                         20
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                                   Response 4.6

Table 21: Résultats de la requête complexe : (quick:"Get File" AND -type_id:{4118 TO 4125})

    type_id (ID
                                    email_address                emplacement                       received_date                   command_name
      de type)
                                      (mot-clé)                    (texte)                             (date)                         (mot-clé)
      (entier)
4128                  automation@ somewhere.com             Cambridge, OH                                  -                 get_file

ID d'Event Summary (Récapitulatif d'événements)
Les données d'Event Summary (Récapitulatif d'événements) sont organisées par type_id: description. Par exemple, si
vous analysez les événements Vantage, ils sont représentés dans Symantec EDR comme 4113: Vantage Detection.
Utilisation de la vue Events Summary (Récapitulatif des événements)
Pour en savoir plus sur les descriptions des champs Events Summary (Récapitulatif des événements), consultez la
section Champs de recherche et descriptions.

Table 22: type_ids

          Type d'événement et numéro d'identification                                            Description

1 : Activité d'application                                        Signale les informations d'état à propos d'une activité d'application
                                                                  effectuée par un utilisateur final. Par exemple, un administrateur
                                                                  exécute une recherche de base de données ou une recherche de
                                                                  terminal. L'administrateur exécute une commande d'interface de
                                                                  ligne de commande (par exemple, expand_storage).
20 : audit de session utilisateur                                 Rapports d'activité de connexion à une console de gestion ou à un
                                                                  client géré et déconnexion de l'utilisateur.
21 : audit d'entité                                               Génère des rapports d'activité d'un client géré, d'un micro-service
                                                                  ou d'un utilisateur sur une console de gestion. L'activité peut être
                                                                  une opération de création, de mise à jour et de suppression sur
                                                                  une entité gérée. Par exemple, le service de politique enregistre
                                                                  les événements de modification de politique, le client SEP signale
                                                                  les modifications de la politique locale et l'administrateur de
                                                                  politique met à jour les politiques sur la console.
238 : contrôle des périphériques                                  Signale un périphérique de contrôle de périphérique désactivé.
239 : contrôle des périphériques                                  Signale un événement de débordement de mémoire tampon.
240 : contrôle des périphériques                                  Signale que la protection de logiciel a lancé une exception.
502 : contrôle des applications                                   Signale les événements de comportement de l'agent.
1 000 : Intégrité du système                                      Signale toute modification apportée à l'intégrité d'un composant
                                                                  qui affecte l'intégrité globale de l'appliance, du logiciel ou du
                                                                  matériel Symantec EDR. Par exemple, « Échec/succès de la
                                                                  connexion DB », « Disque faible », ou « UC élevée ».
4096: Reputation Lookup (Recherche de réputation)                 Signale lorsqu'une demande est effectuée à Symantec Insight ou
                                                                  Symantec Mobile Insight pour plus d'informations sur la réputation
                                                                  d'un fichier.
4098: Intrusion Prevention (Prévention d'intrusion)               Signale lorsqu'un système de prévention d'intrusion Symantec a
                                                                  détecté une signature IPS potentiellement malveillante.
4099: Suspicious File Detection (Détection de fichier suspect)    Signale lorsqu'un fichier suspect a été détecté.
4100: SONAR Detection (Détection SONAR)                           Signale lorsque la technologie Symantec Online Network for
                                                                  Advanced Response (SONAR) a détecté une nouvelle menace.
                                                                  SEDR n'affiche aucun événement 4100 ou 4102

                                                                                                                                             21
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                                 Response 4.6

          Type d'événement et numéro d'identification                                          Description

4102 : détection antivirus (terminal)                             Signale lorsqu'un antivirus a été détecté sur un terminal.
                                                                  Un grand nombre d’événements 4102 sont enregistrés
                                                                  SEDR n'affiche aucun événement 4100 ou 4102
4109 : Dynamic Adversary Intelligence (DAI) (Renseignements       Renseignements sur les adversaires depuis le point de contrôle
dynamiques sur les adversaires) depuis un terminal                du terminal.
4110 : Dynamic Adversary Intelligence (Renseignements             Renseignements sur les adversaires depuis le point de contrôle
dynamiques sur les adversaires) depuis le réseau                  du réseau.
4112 : Liste d'interdictions (adresse IP, adresse URL, domaine)   Indique la détection d'une adresse IP, d'une adresse URL ou d'un
                                                                  domaine qui se trouve dans une liste d'interdictions fournie par
                                                                  Symantec ou la liste d'interdictions de Symantec EDR.
4113: Vantage Detection (Détection Vantage)                       Signale lorsque la technologie Symantec Vantage a détecté une
                                                                  activité malveillante sur un terminal ou que des menaces basées
                                                                  sur les signatures Vantage ont été trouvées dans le système de
                                                                  réseau.
4115: Insight Detection (Détection Insight)                       Signale lorsque Symantec Endpoint Protection a interrogé le
                                                                  serveur de réputation de fichiers concernant un fichier sur un
                                                                  terminal géré ou qu'Insight a détecté une activité malveillante
                                                                  survenue dans votre réseau.
4116 : détection Mobile Insight                                   Signale lorsque la technologie Symantec Mobile Insight a détecté
                                                                  des problèmes avec un fichier exécutable Android.
4117: Sandboxing Detection (Détection de sandboxing)              Signale lorsque la technologie de sandboxing a observé un fichier
                                                                  malveillant dans votre réseau.
4118 : liste d'interdictions (fichier)                            Indique la détection d'un fichier qui se trouve dans une liste
                                                                  d'interdictions fournie par Symantec ou la liste d'interdictions de
                                                                  Symantec EDR.
4123 : détection sur un terminal (fichier)                        Signale lorsqu'un fichier suspect a été détecté sur un terminal.
                                                                    Depuis la version Symantec EDR 4.5 et les versions ultérieures
                                                                  et SEPM 14.3 RU1 et les versions ultérieures, cet événement
                                                                  inclut également les événements de blocage de hachage
                                                                  SHA256.
4124 : détection sur un terminal (adresse IP, adresse URL,        Signale lorsqu'une adresse IP, une URL ou un domaine
domaine)                                                          suspect(e) a été détecté(e) sur un terminal. Signale également
                                                                  les événements de contrôle des applications et de contrôle des
                                                                  appareils.
4125: Email Detection (Détection de message électronique)         Signale lorsqu'un message électronique suspect a été détecté.
4353 : détection antivirus (réseau)                               Signale lorsqu'un antivirus a été détecté sur un réseau.
8000: Session Event (Événement de session)                        Signale lorsqu'un utilisateur tente une connexion ou une
                                                                  déconnexion, avec succès ou non.
8001: Process Event (Événement de processus)                      Signale lorsqu'un processus lance, termine ou ouvre un autre
                                                                  processus, avec succès ou non.
8002: Module Event (Événement de module)                          Signale lorsqu'un processus charge ou décharge un module.
8003: File Event (Événement de fichier)                           Signale les opérations sur les objets de système de fichiers.
8004: Directory Event (Événement de répertoire)                   Signale les opérations sur les répertoires.
8005: Registry Key Event (Événement de clé de registre)           Signale les actions sur les clés de registre Windows.
8006: Registry Value Event (Événement de valeur de registre)      Signale les actions sur les valeurs de registre Windows.
8007: Network Event (Événement réseau)                            Signale les tentatives de connexion réseau, avec succès ou non.
8009: Kernel Event (Événement de noyau)                           Signale lorsqu'un processus acteur crée, lit ou supprime un objet
                                                                  de noyau.

                                                                                                                                           22
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
                                                                                                                                   Response 4.6

         Type d'événement et numéro d'identification                                             Description

8015 : événement ETW (Event Tracing for Windows) (Suivi des         Génère des rapports sur l'activité ETW.
événements pour Windows)
8016: Startup Application Configuration Change (Changement de       Signale la création, suppression ou modification d'une
configuration de l'application de démarrage)                        configuration d'application de démarrage.
8018 : événement AMSI (AntiMalware Scan Interface (Interface de Rapport d'activité AMSI.
recherche de programmes malveillants)
8080: Session Query Result (Résultat de requête de session)         Signale des informations sur les sessions utilisateur existantes.
8081: Process Query Result (Résultat de requête de processus)       Signale des informations sur un processus en cours d'exécution.
8082: Module Query Result (Résultat de requête de module)           Signale des informations sur les modules chargés.
8083: File Query Result (Résultat de requête de fichier)            Signale des informations sur les objets de système de fichiers.
8084: Directory Query Result (Résultat de requête de répertoire)    Signale des informations de répertoire.
8085: Registry Key Query Result (Résultat de registre de clé de     Signale des informations sur les clés de registre Windows.
registre)
8086: Registry Value Query Result (Résultat de requête de valeur Signale des informations sur les valeurs de registre Windows.
de registre)
8089: Kernel Object Query Result (Résultat de requête d'objet de    Signale des informations sur les objets de noyau.
noyau)
8090: Service Query Result (Résultat de requête de service)         Signale des informations sur les requêtes de service.
8099: Query Command Errors (Erreurs de commande de requête) Signale des informations sur les erreurs de commande de requête
                                                            EOC (preuve de compromission).
8103: File Remediation (Remédiation de fichier)                     Signale des informations sur les objets de système de fichiers.
8119: File Remediation Errors (Erreurs de remédiation de fichier)   Signale des informations sur les erreurs qui résultent d'une action
                                                                    de remédiation de fichier EOC (preuve de compromission).

                                                                                                                                             23
Vous pouvez aussi lire