Guide de recherche des menaces avec Symantec Endpoint Detection and Response 4.6
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6
Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Table of Contents
Déclaration de copyright.....................................................................................................................3
Introduction........................................................................................................................................... 4
A propos du Guide de repérage de menaces...............................................................................................................4
Détection des menaces....................................................................................................................... 5
Recherche de comportements suspects.......................................................................................................................5
Recherche de processus suspects................................................................................................................................5
Recherche de connexions réseau suspectes............................................................................................................. 10
Recherche de modifications de registre suspectes...................................................................................................10
Recherche de tentatives de détection de vulnérabilités........................................................................................... 11
Identification des vulnérabilités de conformité et de configuration.........................................................................11
Recherche de malware, de chevaux de Troie et d’exploits Java..............................................................................11
Recherche de tentatives de livraison de code malveillant........................................................................................12
Recherche d’une activité de campagne de menace.................................................................................................. 12
Recherche d'événements corrélés............................................................................................................................... 13
Méthodes de recherche et de filtrage de la base de données..................................................................................13
ID d'Event Summary (Récapitulatif d'événements).................................................................................................... 21
2Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Déclaration de copyright
Déclaration de copyright
Broadcom, le logo Pulse, Connecting everything et Symantec font partie des marques commerciales de Broadcom.
Copyright © 2021 Broadcom. Tous droits réservés.
Le terme « Broadcom » se rapporte à Broadcom Inc. et/ou à ses filiales. Pour plus d’informations, consultez le site
www.broadcom.com.
Broadcom se réserve le droit d'apporter des modifications sans préavis à tous les produits ou données fournis ici pour
améliorer la fiabilité, le fonctionnement ou la conception. Les informations fournies par Broadcom sont jugées exactes
et fiables. Toutefois, Broadcom n'assume aucune responsabilité découlant de l'application ou de l'utilisation de ces
informations, ni l'application ou l'utilisation d'un produit ou d'un circuit décrit dans le présent document, et ne transmet
aucune licence dans le cadre de ses droits de brevet ou des droits des autres.
3Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Introduction
A propos du Guide de repérage de menaces
Ce manuel fournit des instructions, notamment des exemples de requêtes et des scénarios d’utilisation, pour vous aider à
détecter les menaces pesant sur votre réseau. Les informations fournies ne sont pas destinées à être un recueil exhaustif,
car le sujet traité est trop vaste pour être contenu dans un seul document. En revanche, elles fournissent une base pour
apprendre les méthodes et les techniques d’utilisation de Symantec EDR pour la recherche de menaces.
L’organisation MITRE™ fournit des informations détaillées sur les cybermenaces qui présentent un danger pour votre
réseau. Pour plus d’informations, reportez-vous à la matrice MITRE Enterprise pour connaître les tactiques et les
techniques appartenant à MITRE ATT&CK®.
Les recherches que vous effectuerez dans ce guide sont effectuées dans la console d’appliance EDR, sous l’onglet
Search (Rechercher) > Database (Base de données) > Events (Événements).
Lorsque vous saisissez ou collez une requête basée sur le texte dans le champ de recherche Database (Base de
données) > Event (Événements), la validité est vérifiée immédiatement. Si la requête est valide, une coche verte
apparaît. En cas de problème avec la requête, une erreur s’affiche.
Dès que vous cliquez sur l’icône de recherche (loupe) à la fin du champ de recherche, la chaîne de requête est convertie
en jetons.
Pour effacer le champ de recherche, cliquez sur Clear Filter Query (Effacer le filtre de requête).
La plupart des requêtes indiquées dans ce guide sont composées d'une valeur type_id. Pour consulter la liste des
valeurs type_id et leur description, reportez-vous à la section ID d'Event Summary (Récapitulatif d'événements).
4Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Détection des menaces
Recherche de comportements suspects
Recherche d’arguments de ligne de commande correspondant à une expression régulière
Reportez-vous à la section Méthodes de recherche et de filtrage de la base de données pour plus d’informations sur les
recherches d’événement basées sur une expression régulière.
type_id:8001 AND operation:1 AND process.cmd_line:[REGEX]
Recherche de connexions utilisateur ou de déplacements latéraux inhabituels
Cette requête est utilisée lorsque les systèmes sont compromis et que les informations d’identification sont volées. Les
pirates utilisent ces comptes pour se déplacer dans l’organisation ou créer d’autres comptes disposant de privilèges. Vous
pouvez les identifier en recherchant une activité de connexion inhabituelle avec des comptes volés ou en recherchant de
nouveaux comptes qui ont été créés.
Ajoutez le champ session.user.name sous forme de colonne, puis recherchez dans Selected Fields (Champs
sélectionnés) les nombres pour chaque compte d’utilisateur utilisé pour la connexion à l’ordinateur.
type_id:8000 AND device_name:[hostname]
Recherche de processus suspects
Rechercher des instances d’outils de détection sur un terminal
Les attaquants peuvent utiliser un outil de reconnaissance commun pour lancer un ou plusieurs processus afin de
compromettre les hôtes de votre réseau. Utilisez cette requête pour rechercher toutes les instances pour lesquelles ces
outils communs sont présents sur un hôte.
type_id:8001 AND operation:1 AND
(process.file.name:net.exe OR
process.file.name:ipconfig.exe OR
process.file.name:whoami.exe OR
process.file.name:quser.exe OR
process.file.name:ping.exe OR
process.file.name:netstat.exe OR
process.file.name:tasklist.exe OR
process.file.name:Hostname.exe OR
process.file.name:at.exe)
5Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Rechercher des commandes PowerShell masquées
Des commandes PowerShell malveillantes peuvent être masquées à l’aide d’un certain nombre de techniques, telles que
la concaténation de chaînes et la manipulation de chaînes.
process.file.name:powershell.exe AND
operation:1 AND
(obfuscated.cmd_uses_concat_obfuscation:true OR
obfuscated.cmd_uses_reorder_obfuscation:true OR
obfuscated.cmd_uses_tick_obfuscation:true)
Rechercher des téléchargements powershell.exe
Des processus approuvés connus, tels que PowerShell, sont utilisés pendant les attaques pour télécharger d’autres outils
d’exploitation.
event_actor.file.name:powershell.exe AND
(type_id:8007 OR
(type_id:8003 AND operation:1))
Rechercher des commandes PowerShell codées
PowerShell est également utilisé pendant la phase de mouvement latéral de l’attaque, ce qui permet à une menace
d’exécuter du code sur un ordinateur distant du réseau. PowerShell peut également télécharger et exécuter des
commandes directement à partir de la mémoire, rendant difficile le suivi de l’infection.
Le codage convertit une ligne de commande en une version base64. Il existe des raisons légitimes à cela, notamment
puisque PowerShell peut gérer certains caractères qui ne peuvent pas être utilisés par cmd.exe. Les attaquants utilisent
le codage pour masquer l'intention réelle de la commande. Ces requêtes recherchent toutes les instances de PowerShell
qui ont une ligne de commande codée en base64.
process.file.name=powershell.exe AND
operation:1 AND
(process.cmd_line:"*-enc*" OR
process.cmd_line:"*encoded*")
6Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Attaques sans fichiers à l’aide de wscript pour lancer un script Java ou VBS malveillant
L'outil wscript peut être utilisé pour lancer des scripts malveillants qui lancent des attaques sans fichiers. Cela arrive
souvent lorsque les scripts sont lancés à partir de documents Office. Recherchez les scripts VBS ou Java exécutés à
partir de répertoires tels que download, temp, data et l’historique Internet. Il ne s’agit pas d’emplacements typiques pour
l’exécution du script VBS ou Java.
process.file.name:[cscript.exe OR wscript.exe] AND
process.cmd_line:[vbs OR js]
Rechercher des transferts Windows BITS (Background Intelligent Transfer Service, service de transfert intelligent
en arrière-plan)
Le service de transfert intelligent en arrière-plan (BITS) de Windows peut être utilisé pour transférer des fichiers binaires
malveillants entre des ordinateurs.
process.file.name:bitsadmin.exe AND
(process.cmd_line:"*/transfer*" OR
process.cmd_line="*Addfile*")
Liste des processus qui s’exécutent à partir d’emplacements inhabituels
NOTE
Les attaques qui exécutent des processus et des fichiers binaires à partir d’emplacements inhabituels ou
inattendus font partie de la catégorie de menace appelée Masquerading (Brouillage). Une présentation générale
des attaques par brouillage est fournie par https://attack.mitre.org/techniques/T1036/.
Un malware qui s’injecte dans la mémoire place parfois son fichier dans un emplacement inhabituel. Les processus sont
censés s’exécuter à partir de certains emplacements, tels que Fichiers de programme, Fichiers de programme (x86) et
leurs répertoires enfants. Les processus qui s’exécutent à partir d’autres emplacements doivent être considérés comme
potentiellement malveillants et doivent être examinés selon leur potentiel de menace.
process.file.name:/.*exe/ AND
-process.file.folder:/.*windows.*/ AND
-process.file.folder:/.*program.*/ AND
operation:1
Liste des processus qui s’exécutent à partir de la corbeille
Les attaquants peuvent tenter de masquer un processus malveillant en l’exécutant à partir de la corbeille. Les processus
qui s’exécutent à partir de la corbeille sont évidemment très suspects.
type_id:8001 AND
7Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
operation:1 AND
process.file.path:"recycle.bin"
Liste des processus qui s’exécutent à partir des chemins d’accès aux fichiers du navigateur
Les attaquants peuvent tenter de masquer un processus malveillant à l’aide d’un nom semblable au nom d’un service
légitime et l’exécuter à partir du chemin d’accès aux fichiers du navigateur.
type_id:8001 AND
operation:1 AND
process.file.path:["Temporary Internet Files" OR
"AppData\\Local\\Mozilla\\Firefox\\Profiles" OR
"AppData\\Local\\Google\\Chrome" OR
"Downloads"]
Liste des processus qui s’exécutent à partir des chemins d’accès aux fichiers du profil utilisateur
Les attaquants peuvent tenter de masquer un processus malveillant à l’aide d’un nom semblable au nom d’un service
légitime et l’exécuter à partir du chemin d’accès aux fichiers de l'utilisateur.
type_id:8001 AND
operation:1 AND
process.file.normalized_path:CSIDL_PROFILE
Liste des fichiers binaires du service en cours d’exécution qui ne se trouvent pas dans le répertoire System32
Un vecteur d’attaque commun consiste à exécuter des fichiers binaires à partir d’emplacements autres que System32.
(type_id:8001 AND operation:1) AND
event_actor.file.name:services.exe AND
-process.file.normalized_path:CSIDL_SYSTEM
Liste des fichiers exécutables qui s’exécutent à partir d’emplacements autres que les répertoires Windows ou
Fichiers de programme
type_id:8001 AND operation:1 AND
-process.file.folder:["windows" OR "Program Files"]
Rechercher les instances de svchost où le processus parent n’est pas services.exe
Services est toujours le processus parent de svchost. S’il existe un processus parent différent, cela peut signifier qu’il
s’agit de malware.
8Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
type_id:8001 AND operation:1 AND
process.file.name:svchost.exe AND
-event_actor.file.name:services.exe
Afficher un nom de service spécifié
NOTE
La requête ci-dessous est la recherche d’événement. Vous pouvez simplement rechercher l’entité de fichier.
(process.file.name: AND type_id:8001 AND operation:1)
Répertorier tous les événements CreateService
enriched_data.rule_name:[eModifyExistingService OR
eNewService]
Répertorier les fichiers binaires autres que System32 s’exécutant en tant que service hébergé
Pour effectuer cette recherche, dans la console d’appliance EDR, accédez à Search > Database > Endpoint
(Rechercher > Base de données > Terminal).
Commencez par exécuter une recherche pour obtenir toutes les valeurs de registre correspondant à la DLL de service :
reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\*\\Parameter AND
reg_value.name:ServiceDll
Recherchez ensuite les résultats comprenant :
-reg_value.data:"*SYSTEM32*"
Répertorier les services arrêtés et leurs terminaux
Recherchez les ID d'événement 7035 et 7036 dans les journaux d'événements Windows. Pour effectuer cette recherche,
dans la console d’appliance EDR, accédez à Search > Database > Endpoint (Rechercher > Base de données >
Terminal).
Commencez par exécuter une recherche pour obtenir toutes les valeurs de registre correspondantes :
reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\*" AND reg_value.name:Start
Recherchez ensuite les résultats :
reg_value.data:4
Afficher lorsqu’un service de terminal spécifique s’est arrêté
Il s'agit d'un exemple que vous pouvez modifier pour renvoyer des données pour le service qui vous intéresse :
type_id:8001 AND operation:2 AND process.cmd_line:"defragsvc"
Affichez une liste de pièces jointes lancées à partir d’Outlook qui sont associées à l’un des lecteurs de document
suivants : winword.exe, excel.exe ou POWERPNT.exe.
9Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
type_id:8001 AND operation:1 AND
event_actor.cmd_line:"*content.outlook*" AND
event_actor.file.name:[winword.exe OR
powerpnt.exe OR excel.exe]
Liste des liens ouverts à partir d’Outlook dans une période spécifique
Utilisez la requête suivante pour afficher les événements. Ajoutez le champ process.cmd_line sous forme de colonne
pour afficher rapidement les URL.
event_actor.file.name:outlook.exe AND
process.file.name:[chrome.exe OR
iexplore.exe OR firefox.exe]
Recherche de connexions réseau suspectes
Répertorie le trafic réseau sortant qui se produit sur des ports non standard.
type_id:8007 AND
-target_ip:["192.168.0.0/16" OR
"10.0.0.0/8" OR "172.16.0.0/12" OR
"127.0.0.0/8"] AND
-target_port:[80 OR 443]
NOTE
Insérez vos propres préfixes d'adresse interne attendue dans la partie -external_ip: de la requête. Vous
devez également ajouter tous les ports distants supplémentaires que vous considérez comme non standard.
Répertorie toutes les connexions RDP (Remote Desktop Protocol) sur un terminal spécifié.
type_id:8007 AND
(source_port:3389 OR target_port:3389) AND
device_name:
Pour les événements enrichis :
enriched_data.rule_name:eRemoteDesktopProtocol AND
device_name:
Recherche de modifications de registre suspectes
Afficher la persistance (touche d’exécution)
Ajouts :
10Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
enriched_data.category_name:"Load Point Modification" AND operation:1
Modifications :
enriched_data.category_name:"Load Point Modification" AND operation:2
Suppressions :
enriched_data.category_name:"Load Point Modification" AND operation:3
Recherche de tentatives de détection de vulnérabilités
Recherche de tentatives de création de liste d'utilisateurs ou de groupes à l’aide des commandes net.exe
(type_id:8001 AND operation:1 AND process.file.name:net.exe AND (process.cmd_line:/.*user.*/ OR
process.cmd_line:/.*group.*/) AND -process.cmd_line:/.*user:.*/
Identification des vulnérabilités de conformité et de configuration
Répertorie les serveurs Web ou les processus de base de données exécutés sous un compte de système local.
process.file.name:[w3wp.exe OR sqlservr.exe OR
httpd.exe OR nginx.exe] AND
(type_id:8001 AND operation:1) AND
process.user.name:SYSTEM
Recherche de malware, de chevaux de Troie et d’exploits Java
Répertorier les fichiers JAR écrits dans %AppData%
type_id:8003 AND operation:1 AND
file.name:/.*\.jar/ AND file.folder:"*\\appdata\\roaming*"
11Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Répertorier les fichiers JAR en cours d'exécution à partir du dossier %AppData%
type_id:8001 AND operation:1 AND
process.cmd_line:/.*\.jar/ AND
process.cmd_line:"*\\appdata\\roaming*"
Répertoriez le processus Java.exe qui écrit les fichiers exécutables :
type_id:8003 AND operation:1 AND
file.family_id:3 AND event_actor.file.name:java.exe
Rechercher le processus enfant whoami lancé sous le processus Java.exe
event_actor.file.name:java.exe AND
process.file.name:whoami.exe
Recherche de tentatives de livraison de code malveillant
Recherche d’une pièce jointe de document Word contenant un lien cliqué suivi d’un téléchargement de
navigateur
Les malwares sont souvent remis via des documents qui contiennent des liens qui lancent des téléchargements à partir
de sites malveillants, par exemple, un lien dans un document Word.
Vous pouvez également utiliser cette recherche comme modèle pour rechercher des pièces jointes à un message
électronique, des téléchargements de navigateur et des recherches qui joignent plusieurs événements par heure.
event_actor.file.name:winword.exe AND process.file.name:chrome.exe
NOTE
Modifiez-le si nécessaire pour d’autres lecteurs de document et d’autres navigateurs.
Recherche d’une activité de campagne de menace
Récupérer les 30 derniers jours de connexions réseau aux serveurs Dofoil NameCoin connus
12Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
type_id:8007 AND target_ip:["139.59.208.246" OR
"130.255.73.90" OR "31.3.135.232"]
Recherche d'événements corrélés
Utilisez le champ de recherche correlation_uid pour rechercher les événements qui appartiennent à la même chaîne
d'attaque.
Recherchez les événements avec les mêmes correlation_uid.
correlation_uid:73E1C03C-ECA1-11EA-A387-D583DF98E2FC
Recherchez les événements avec le même acteur et le même correlation_uid.
event_actor.file.md5:d0432468fa4b7f66166c430e1334dbda AND correlation_uid:73E1C03C-ECA1-11EA-A387-D583DF98E2FC
Méthodes de recherche et de filtrage de la base de données
Symantec Endpoint Detection and Response fournit plusieurs méthodes pour rechercher et filtrer les données. La section
Méthodes de recherche et de filtrage répertorie et décrit brièvement chaque méthode. Cliquez sur le nom de la méthode
pour consulter la syntaxe de requête et des exemples de la méthode.
NOTE
N'utilisez pas = dans les requêtes de base de données. Utilisez : à la place.
Table 1: Méthodes de recherche et de filtrage
Méthode Description
Saved searches Accédez aux recherches qui ont déjà été créées et enregistrées.
(Recherches
enregistrées)
Quick filters Filtres prédéfinis pour les données généralement recherchées.
(Filtres rapides)
Forme libre Renvoie ou exclut des données uniquement en fonction d'une valeur, indépendamment du ou des champs dans
lesquels apparaît la valeur.
Correspondance Renvoie ou exclut des données correspondant aux noms de champ exacts et à leurs valeurs.
exacte
Plage Renvoie ou exclut des données comprises entre deux valeurs spécifiées d'un champ donné.
Expression Renvoie ou exclut des données correspondant à une expression régulière.
régulière
Note: Symantec EDR utilise un sous-ensemble des fonctionnalités du bouton expression régulière Perl. Reportez-
vous à la page https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-query.html#regexp-
syntax pour les fonctionnalités prises en charge.
Exists Renvoie des données en fonction de la présence ou de l'absence d'un champ donné.
13Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Méthode Description
One-of Renvoie ou exclut des données en fonction de valeurs spécifiées d'un champ donné.
Complexe Au moins deux des précédentes méthodes de recherche qui, lorsqu'elles sont combinées, peuvent créer des
requêtes de complexité presque aléatoire.
Exemple d'ensemble de données
Trois enregistrements ont été utilisés pour les exemples dans cette section, comportant chacun les mêmes champs mais
des valeurs différentes. La section Exemples d'ensemble de données répertorie les enregistrements et leurs données qui
sont utilisés dans les exemples.
NOTE
Un trait d'union ("-") indique que le champ n'est pas présent dans l'enregistrement.
Table 2: Exemples d'ensemble de données
type_id (ID
adresse électronique emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA
4125 Cambridge, CA 2018-03-23T00:00:01.
733Z
4128 automation@ Cambridge, OH get_file
somewhere.com
Quick filters (Filtres rapides)
Les filtres rapides sont des recherches prédéfinies pour des détections et des données fréquemment recherchées. Les
filtres rapides disponibles dépendent du type de recherche que vous effectuez ; base de données, entités, endpoint et
ainsi de suite. Les filtres rapides disponibles pour un type de recherche donné apparaissent dans la boîte de dialogue
Add Filter (Ajouter un filtre). Vous pouvez sélectionner les filtres rapides à partir de la boîte de dialogue contextuelle ou
vous pouvez saisir manuellement le nom d'un filtre rapide dans la barre de recherche de filtre.
NOTE
Les filtres rapides ne sont pas pris en charge sur Internet Explorer. Utilisez Firefox ou Chrome pour utiliser la
fonctionnalité filtre rapide.
Syntaxe
quick:""
NOTE
La valeur du filtre rapide doit être encadrée par des guillemets.
Exemple
Query: quick:"Get File"
Table 3: Résultats de la requête de filtre rapide : "Get File"
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4128 automation@ somewhere.com Cambridge, OH - get_file
14Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Forme libre
Les recherches en forme libre sont des recherches "partielles" ; les résultats sont des correspondances approximatives
basées sur la chaîne de requête. Les restrictions suivantes s'appliquent aux recherches libres :
• Les résultats reflètent tous les événements qui contiennent la valeur spécifiée.
• Les valeurs qui contiennent des espaces ou des points-virgules doivent être encadrées par des guillemets.
• Les valeurs de date ne fonctionnent pas dans les recherches en forme libre. Par exemple, les éléments suivants ne
sont pas autorisés :
– "12:00"
– "2018-02-22 17:15:31 UTC"
Pour les recherches basées sur le temps, reportez-vous à la section Correspondance exacte.
• Les données de type texte ne respectent pas la casse. Les données de type mot-clé respectent la casse.
Syntaxe
value_query
Exemple A
Requête : cambridge
Table 4: Résultats de la requête en forme libre : cambridge
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
Exemple B
Requête : 41*
Table 5: Résultats de la requête en forme libre : 41*
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
4128 automation@ somewhere.com Cambridge, OH - get_file
Exemple C
Requête : -cambridge
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas la valeur Cambridge dans un champ.
15Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Table 6: Résultats de la requête en forme libre : -cambridge
type_id (ID de type) email_address emplacement received_date command_name
(entier) (mot-clé) (texte) (date) (mot-clé)
-cambridge Aucun résultat Aucun résultat Aucun résultat Aucun résultat
Correspondance exacte
La méthode de recherche par correspondance exacte renvoie uniquement les enregistrements qui correspondent
exactement aux paramètres champ:valeur que vous entrez.
Syntaxe : champ:valeur
Les restrictions suivantes s'appliquent à la recherche oar correspondance exacte :
• Les champs sont sensibles à la casse.
• Les valeurs qui contiennent des espaces ou des points-virgules doivent être encadrées par des guillemets.
Exemple A
Requête : type_id: 4118
Table 7: Résultats de la requête par correspondance exacte type_id: 4118
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
Exemple B
Query : location: "Cambridge, CA"
Table 8: Résultats de la requête par correspondance exacte location:"Cambridge, CA"
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
Exemple C
Requête : -type_id: 4118
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas la valeur "4118" dans le champ "type_id".
Table 9: Résultats de la requête par correspondance exacte -type_id: 4118
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
4128 automation@ somewhere.com Cambridge, OH - get_file
Plage
16Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Les recherches sur plage vous permettent de rechercher des valeurs qui apparaissent dans une plage numérique
donnée.
Syntaxe : > field:{TO}
= « supérieur ou égal à » et = « inférieur ou égal à ». Remplacer ou par '*' pour indiquer une
absence de limite supérieure ou inférieure. Par exemple, {* TO *} renvoie toutes les valeurs du champ.
NOTE
Les expressions régulières ne sont pas prises en charge pour les éléments ou . Par exemple, age:{3
TO 10} fonctionne, mais pas age:{10 TO 3*}.
Exemple A
Requête : type_id:{4000 TO *}
Table 10: Résultats de la requête par plage : type_id: {4000 TO *}
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
4128 automation@ somewhere.com Cambridge, OH - get_file
Exemple B
Les requêtes sur plage fonctionnent également avec du texte. Le texte est testé de manière lexicale (ordre alphabétique
progressif) pour inclusion dans la plage.
Requête : location: {"Cambridge, CA" TO "Cambridge, OH" }
Table 11: Résultats de la requête par plage : location: {"Cambridge, CA" TO "Cambridge, OH" }
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
4125 - - 2018-03-23T00:00:01. 733Z -
Cambridge, CA
4128 automation@ somewhere.com Cambridge, OH - get_file
Exemple C
Requête : -type_id:{* TO 4118}
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas les valeurs « de 0 à 4118 » dans le champ « type_id ».
17Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Table 12: Résultats de la requête par plage : -type_id: {* TO 4118} Résultats de la requête par plage : -type_id: {*
TO 4118}
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
4128 automation@ somewhere.com Cambridge, OH - get_file
Expression régulière
Les recherches par expression régulière vous permettent d'utiliser des expressions régulières pour tester les valeurs de
champ pour une inclusion dans les résultats de recherche.
NOTE
Symantec EDR utilise un sous-ensemble des fonctionnalités du bouton expression régulière Perl.
Reportez-vous à la page https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-
query.html#regexp-syntax pour les fonctionnalités prises en charge.
Les requêtes par expression régulière fonctionnent uniquement sur les champs de mot-clé et de texte.
Syntaxe : field://
Exemple A
Requête : email_address:/.*some.*/
Table 13: Résultats de la requête par expression régulière : email_address:/.*some.*/
type_id (ID de type) email_address emplacement received_date command_name
(entier) (mot-clé) (texte) (date) (mot-clé)
4188 sender111@ someplace.com Cambridge, MA - -
4128 automation@ somewhere.com Cambridge, OH - get_file
Exemple B
Requête : email_address:/.*some(one|place).*/
Table 14: Résultats de la requête par expression régulière : email_address:/.*some(one|place).*/ Résultats de la
requête par expression régulière : email_address:/.*some(one|place).*/
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4125 sender111@ someplace.com Cambridge, MA - -
Requête : -command_name:/.*/
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne correspondent pas à l'expression régulière command_name:/.*/
18Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Table 15: Résultats de la requête par expression régulière : command_name:/.*/
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
Exists
La requête « exists » recherche les enregistrements qui contiennent (ou qui ne contiennent pas) un champ spécifique.
Syntaxe : exists:field
Exemple A
Requête : exists:command_name
Table 16: Résultats pour la requête exists : exists:command_name
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4128 automation@ somewhere.com Cambridge, OH - get_file
Exemple B
Requête : -exists:email_address
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas le champ email_address
Table 17: Résultats de la requête exists : -exists:email_address
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
One-of
Les recherches One-of vous permettent de rechercher des valeurs différentes pour un champ donné.
Syntaxe : field:[ OR ...]
NOTE
Vous pouvez ajouter des valeurs supplémentaires pour étendre la recherche.
Exemple A
Requête : type_id:[4118]
19Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Table 18: Résultats pour une requête one-of : type_id:[4118]
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
Exemple B
Requête : type_id:[4118 OR 4125]
Table 19: Résultats pour la requête one-of : type_id:[4118 OR 4125]
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4118 sender111@ someplace.com Cambridge, MA - -
4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z -
Exemple C
Requête : -type_id:[4118 OR 4125]
Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les
documents qui ne contiennent pas le type_id « 4118 » ou « 4125 »
Table 20: Résultats de la requête one-of : -type_id:[4118 OR 4125]
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4128 automation@ somewhere.com Cambridge, OH - get_file
Complexe
Les requêtes complexes contiennent au moins deux des autres méthodes de recherche.
Syntaxe : ( ) ...
NOTE
Vous pouvez ajouter d'autres fonctions de recherche (avec leurs champs et leurs valeurs) pour atteindre
n'importe quel niveau de spécificité souhaité. Utilisez des parenthèses pour définir l'ordre de priorité de la
recherche.
Exemple
Requête : (quick:"Get File" AND -type_id:{4118 TO 4125})
Cet exemple combine un filtre rapide et une requête de plage en une requête complexe unique. Le signe moins précédant
une plage inverse la requête.
20Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Table 21: Résultats de la requête complexe : (quick:"Get File" AND -type_id:{4118 TO 4125})
type_id (ID
email_address emplacement received_date command_name
de type)
(mot-clé) (texte) (date) (mot-clé)
(entier)
4128 automation@ somewhere.com Cambridge, OH - get_file
ID d'Event Summary (Récapitulatif d'événements)
Les données d'Event Summary (Récapitulatif d'événements) sont organisées par type_id: description. Par exemple, si
vous analysez les événements Vantage, ils sont représentés dans Symantec EDR comme 4113: Vantage Detection.
Utilisation de la vue Events Summary (Récapitulatif des événements)
Pour en savoir plus sur les descriptions des champs Events Summary (Récapitulatif des événements), consultez la
section Champs de recherche et descriptions.
Table 22: type_ids
Type d'événement et numéro d'identification Description
1 : Activité d'application Signale les informations d'état à propos d'une activité d'application
effectuée par un utilisateur final. Par exemple, un administrateur
exécute une recherche de base de données ou une recherche de
terminal. L'administrateur exécute une commande d'interface de
ligne de commande (par exemple, expand_storage).
20 : audit de session utilisateur Rapports d'activité de connexion à une console de gestion ou à un
client géré et déconnexion de l'utilisateur.
21 : audit d'entité Génère des rapports d'activité d'un client géré, d'un micro-service
ou d'un utilisateur sur une console de gestion. L'activité peut être
une opération de création, de mise à jour et de suppression sur
une entité gérée. Par exemple, le service de politique enregistre
les événements de modification de politique, le client SEP signale
les modifications de la politique locale et l'administrateur de
politique met à jour les politiques sur la console.
238 : contrôle des périphériques Signale un périphérique de contrôle de périphérique désactivé.
239 : contrôle des périphériques Signale un événement de débordement de mémoire tampon.
240 : contrôle des périphériques Signale que la protection de logiciel a lancé une exception.
502 : contrôle des applications Signale les événements de comportement de l'agent.
1 000 : Intégrité du système Signale toute modification apportée à l'intégrité d'un composant
qui affecte l'intégrité globale de l'appliance, du logiciel ou du
matériel Symantec EDR. Par exemple, « Échec/succès de la
connexion DB », « Disque faible », ou « UC élevée ».
4096: Reputation Lookup (Recherche de réputation) Signale lorsqu'une demande est effectuée à Symantec Insight ou
Symantec Mobile Insight pour plus d'informations sur la réputation
d'un fichier.
4098: Intrusion Prevention (Prévention d'intrusion) Signale lorsqu'un système de prévention d'intrusion Symantec a
détecté une signature IPS potentiellement malveillante.
4099: Suspicious File Detection (Détection de fichier suspect) Signale lorsqu'un fichier suspect a été détecté.
4100: SONAR Detection (Détection SONAR) Signale lorsque la technologie Symantec Online Network for
Advanced Response (SONAR) a détecté une nouvelle menace.
SEDR n'affiche aucun événement 4100 ou 4102
21Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Type d'événement et numéro d'identification Description
4102 : détection antivirus (terminal) Signale lorsqu'un antivirus a été détecté sur un terminal.
Un grand nombre d’événements 4102 sont enregistrés
SEDR n'affiche aucun événement 4100 ou 4102
4109 : Dynamic Adversary Intelligence (DAI) (Renseignements Renseignements sur les adversaires depuis le point de contrôle
dynamiques sur les adversaires) depuis un terminal du terminal.
4110 : Dynamic Adversary Intelligence (Renseignements Renseignements sur les adversaires depuis le point de contrôle
dynamiques sur les adversaires) depuis le réseau du réseau.
4112 : Liste d'interdictions (adresse IP, adresse URL, domaine) Indique la détection d'une adresse IP, d'une adresse URL ou d'un
domaine qui se trouve dans une liste d'interdictions fournie par
Symantec ou la liste d'interdictions de Symantec EDR.
4113: Vantage Detection (Détection Vantage) Signale lorsque la technologie Symantec Vantage a détecté une
activité malveillante sur un terminal ou que des menaces basées
sur les signatures Vantage ont été trouvées dans le système de
réseau.
4115: Insight Detection (Détection Insight) Signale lorsque Symantec Endpoint Protection a interrogé le
serveur de réputation de fichiers concernant un fichier sur un
terminal géré ou qu'Insight a détecté une activité malveillante
survenue dans votre réseau.
4116 : détection Mobile Insight Signale lorsque la technologie Symantec Mobile Insight a détecté
des problèmes avec un fichier exécutable Android.
4117: Sandboxing Detection (Détection de sandboxing) Signale lorsque la technologie de sandboxing a observé un fichier
malveillant dans votre réseau.
4118 : liste d'interdictions (fichier) Indique la détection d'un fichier qui se trouve dans une liste
d'interdictions fournie par Symantec ou la liste d'interdictions de
Symantec EDR.
4123 : détection sur un terminal (fichier) Signale lorsqu'un fichier suspect a été détecté sur un terminal.
Depuis la version Symantec EDR 4.5 et les versions ultérieures
et SEPM 14.3 RU1 et les versions ultérieures, cet événement
inclut également les événements de blocage de hachage
SHA256.
4124 : détection sur un terminal (adresse IP, adresse URL, Signale lorsqu'une adresse IP, une URL ou un domaine
domaine) suspect(e) a été détecté(e) sur un terminal. Signale également
les événements de contrôle des applications et de contrôle des
appareils.
4125: Email Detection (Détection de message électronique) Signale lorsqu'un message électronique suspect a été détecté.
4353 : détection antivirus (réseau) Signale lorsqu'un antivirus a été détecté sur un réseau.
8000: Session Event (Événement de session) Signale lorsqu'un utilisateur tente une connexion ou une
déconnexion, avec succès ou non.
8001: Process Event (Événement de processus) Signale lorsqu'un processus lance, termine ou ouvre un autre
processus, avec succès ou non.
8002: Module Event (Événement de module) Signale lorsqu'un processus charge ou décharge un module.
8003: File Event (Événement de fichier) Signale les opérations sur les objets de système de fichiers.
8004: Directory Event (Événement de répertoire) Signale les opérations sur les répertoires.
8005: Registry Key Event (Événement de clé de registre) Signale les actions sur les clés de registre Windows.
8006: Registry Value Event (Événement de valeur de registre) Signale les actions sur les valeurs de registre Windows.
8007: Network Event (Événement réseau) Signale les tentatives de connexion réseau, avec succès ou non.
8009: Kernel Event (Événement de noyau) Signale lorsqu'un processus acteur crée, lit ou supprime un objet
de noyau.
22Guide de recherche des menaces avec Symantec™ Endpoint Detection and
Response 4.6
Type d'événement et numéro d'identification Description
8015 : événement ETW (Event Tracing for Windows) (Suivi des Génère des rapports sur l'activité ETW.
événements pour Windows)
8016: Startup Application Configuration Change (Changement de Signale la création, suppression ou modification d'une
configuration de l'application de démarrage) configuration d'application de démarrage.
8018 : événement AMSI (AntiMalware Scan Interface (Interface de Rapport d'activité AMSI.
recherche de programmes malveillants)
8080: Session Query Result (Résultat de requête de session) Signale des informations sur les sessions utilisateur existantes.
8081: Process Query Result (Résultat de requête de processus) Signale des informations sur un processus en cours d'exécution.
8082: Module Query Result (Résultat de requête de module) Signale des informations sur les modules chargés.
8083: File Query Result (Résultat de requête de fichier) Signale des informations sur les objets de système de fichiers.
8084: Directory Query Result (Résultat de requête de répertoire) Signale des informations de répertoire.
8085: Registry Key Query Result (Résultat de registre de clé de Signale des informations sur les clés de registre Windows.
registre)
8086: Registry Value Query Result (Résultat de requête de valeur Signale des informations sur les valeurs de registre Windows.
de registre)
8089: Kernel Object Query Result (Résultat de requête d'objet de Signale des informations sur les objets de noyau.
noyau)
8090: Service Query Result (Résultat de requête de service) Signale des informations sur les requêtes de service.
8099: Query Command Errors (Erreurs de commande de requête) Signale des informations sur les erreurs de commande de requête
EOC (preuve de compromission).
8103: File Remediation (Remédiation de fichier) Signale des informations sur les objets de système de fichiers.
8119: File Remediation Errors (Erreurs de remédiation de fichier) Signale des informations sur les erreurs qui résultent d'une action
de remédiation de fichier EOC (preuve de compromission).
23Vous pouvez aussi lire
