Guide de recherche des menaces avec Symantec Endpoint Detection and Response 4.6
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Table of Contents Déclaration de copyright.....................................................................................................................3 Introduction........................................................................................................................................... 4 A propos du Guide de repérage de menaces...............................................................................................................4 Détection des menaces....................................................................................................................... 5 Recherche de comportements suspects.......................................................................................................................5 Recherche de processus suspects................................................................................................................................5 Recherche de connexions réseau suspectes............................................................................................................. 10 Recherche de modifications de registre suspectes...................................................................................................10 Recherche de tentatives de détection de vulnérabilités........................................................................................... 11 Identification des vulnérabilités de conformité et de configuration.........................................................................11 Recherche de malware, de chevaux de Troie et d’exploits Java..............................................................................11 Recherche de tentatives de livraison de code malveillant........................................................................................12 Recherche d’une activité de campagne de menace.................................................................................................. 12 Recherche d'événements corrélés............................................................................................................................... 13 Méthodes de recherche et de filtrage de la base de données..................................................................................13 ID d'Event Summary (Récapitulatif d'événements).................................................................................................... 21 2
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Déclaration de copyright Déclaration de copyright Broadcom, le logo Pulse, Connecting everything et Symantec font partie des marques commerciales de Broadcom. Copyright © 2021 Broadcom. Tous droits réservés. Le terme « Broadcom » se rapporte à Broadcom Inc. et/ou à ses filiales. Pour plus d’informations, consultez le site www.broadcom.com. Broadcom se réserve le droit d'apporter des modifications sans préavis à tous les produits ou données fournis ici pour améliorer la fiabilité, le fonctionnement ou la conception. Les informations fournies par Broadcom sont jugées exactes et fiables. Toutefois, Broadcom n'assume aucune responsabilité découlant de l'application ou de l'utilisation de ces informations, ni l'application ou l'utilisation d'un produit ou d'un circuit décrit dans le présent document, et ne transmet aucune licence dans le cadre de ses droits de brevet ou des droits des autres. 3
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Introduction A propos du Guide de repérage de menaces Ce manuel fournit des instructions, notamment des exemples de requêtes et des scénarios d’utilisation, pour vous aider à détecter les menaces pesant sur votre réseau. Les informations fournies ne sont pas destinées à être un recueil exhaustif, car le sujet traité est trop vaste pour être contenu dans un seul document. En revanche, elles fournissent une base pour apprendre les méthodes et les techniques d’utilisation de Symantec EDR pour la recherche de menaces. L’organisation MITRE™ fournit des informations détaillées sur les cybermenaces qui présentent un danger pour votre réseau. Pour plus d’informations, reportez-vous à la matrice MITRE Enterprise pour connaître les tactiques et les techniques appartenant à MITRE ATT&CK®. Les recherches que vous effectuerez dans ce guide sont effectuées dans la console d’appliance EDR, sous l’onglet Search (Rechercher) > Database (Base de données) > Events (Événements). Lorsque vous saisissez ou collez une requête basée sur le texte dans le champ de recherche Database (Base de données) > Event (Événements), la validité est vérifiée immédiatement. Si la requête est valide, une coche verte apparaît. En cas de problème avec la requête, une erreur s’affiche. Dès que vous cliquez sur l’icône de recherche (loupe) à la fin du champ de recherche, la chaîne de requête est convertie en jetons. Pour effacer le champ de recherche, cliquez sur Clear Filter Query (Effacer le filtre de requête). La plupart des requêtes indiquées dans ce guide sont composées d'une valeur type_id. Pour consulter la liste des valeurs type_id et leur description, reportez-vous à la section ID d'Event Summary (Récapitulatif d'événements). 4
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Détection des menaces Recherche de comportements suspects Recherche d’arguments de ligne de commande correspondant à une expression régulière Reportez-vous à la section Méthodes de recherche et de filtrage de la base de données pour plus d’informations sur les recherches d’événement basées sur une expression régulière. type_id:8001 AND operation:1 AND process.cmd_line:[REGEX] Recherche de connexions utilisateur ou de déplacements latéraux inhabituels Cette requête est utilisée lorsque les systèmes sont compromis et que les informations d’identification sont volées. Les pirates utilisent ces comptes pour se déplacer dans l’organisation ou créer d’autres comptes disposant de privilèges. Vous pouvez les identifier en recherchant une activité de connexion inhabituelle avec des comptes volés ou en recherchant de nouveaux comptes qui ont été créés. Ajoutez le champ session.user.name sous forme de colonne, puis recherchez dans Selected Fields (Champs sélectionnés) les nombres pour chaque compte d’utilisateur utilisé pour la connexion à l’ordinateur. type_id:8000 AND device_name:[hostname] Recherche de processus suspects Rechercher des instances d’outils de détection sur un terminal Les attaquants peuvent utiliser un outil de reconnaissance commun pour lancer un ou plusieurs processus afin de compromettre les hôtes de votre réseau. Utilisez cette requête pour rechercher toutes les instances pour lesquelles ces outils communs sont présents sur un hôte. type_id:8001 AND operation:1 AND (process.file.name:net.exe OR process.file.name:ipconfig.exe OR process.file.name:whoami.exe OR process.file.name:quser.exe OR process.file.name:ping.exe OR process.file.name:netstat.exe OR process.file.name:tasklist.exe OR process.file.name:Hostname.exe OR process.file.name:at.exe) 5
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Rechercher des commandes PowerShell masquées Des commandes PowerShell malveillantes peuvent être masquées à l’aide d’un certain nombre de techniques, telles que la concaténation de chaînes et la manipulation de chaînes. process.file.name:powershell.exe AND operation:1 AND (obfuscated.cmd_uses_concat_obfuscation:true OR obfuscated.cmd_uses_reorder_obfuscation:true OR obfuscated.cmd_uses_tick_obfuscation:true) Rechercher des téléchargements powershell.exe Des processus approuvés connus, tels que PowerShell, sont utilisés pendant les attaques pour télécharger d’autres outils d’exploitation. event_actor.file.name:powershell.exe AND (type_id:8007 OR (type_id:8003 AND operation:1)) Rechercher des commandes PowerShell codées PowerShell est également utilisé pendant la phase de mouvement latéral de l’attaque, ce qui permet à une menace d’exécuter du code sur un ordinateur distant du réseau. PowerShell peut également télécharger et exécuter des commandes directement à partir de la mémoire, rendant difficile le suivi de l’infection. Le codage convertit une ligne de commande en une version base64. Il existe des raisons légitimes à cela, notamment puisque PowerShell peut gérer certains caractères qui ne peuvent pas être utilisés par cmd.exe. Les attaquants utilisent le codage pour masquer l'intention réelle de la commande. Ces requêtes recherchent toutes les instances de PowerShell qui ont une ligne de commande codée en base64. process.file.name=powershell.exe AND operation:1 AND (process.cmd_line:"*-enc*" OR process.cmd_line:"*encoded*") 6
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Attaques sans fichiers à l’aide de wscript pour lancer un script Java ou VBS malveillant L'outil wscript peut être utilisé pour lancer des scripts malveillants qui lancent des attaques sans fichiers. Cela arrive souvent lorsque les scripts sont lancés à partir de documents Office. Recherchez les scripts VBS ou Java exécutés à partir de répertoires tels que download, temp, data et l’historique Internet. Il ne s’agit pas d’emplacements typiques pour l’exécution du script VBS ou Java. process.file.name:[cscript.exe OR wscript.exe] AND process.cmd_line:[vbs OR js] Rechercher des transferts Windows BITS (Background Intelligent Transfer Service, service de transfert intelligent en arrière-plan) Le service de transfert intelligent en arrière-plan (BITS) de Windows peut être utilisé pour transférer des fichiers binaires malveillants entre des ordinateurs. process.file.name:bitsadmin.exe AND (process.cmd_line:"*/transfer*" OR process.cmd_line="*Addfile*") Liste des processus qui s’exécutent à partir d’emplacements inhabituels NOTE Les attaques qui exécutent des processus et des fichiers binaires à partir d’emplacements inhabituels ou inattendus font partie de la catégorie de menace appelée Masquerading (Brouillage). Une présentation générale des attaques par brouillage est fournie par https://attack.mitre.org/techniques/T1036/. Un malware qui s’injecte dans la mémoire place parfois son fichier dans un emplacement inhabituel. Les processus sont censés s’exécuter à partir de certains emplacements, tels que Fichiers de programme, Fichiers de programme (x86) et leurs répertoires enfants. Les processus qui s’exécutent à partir d’autres emplacements doivent être considérés comme potentiellement malveillants et doivent être examinés selon leur potentiel de menace. process.file.name:/.*exe/ AND -process.file.folder:/.*windows.*/ AND -process.file.folder:/.*program.*/ AND operation:1 Liste des processus qui s’exécutent à partir de la corbeille Les attaquants peuvent tenter de masquer un processus malveillant en l’exécutant à partir de la corbeille. Les processus qui s’exécutent à partir de la corbeille sont évidemment très suspects. type_id:8001 AND 7
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 operation:1 AND process.file.path:"recycle.bin" Liste des processus qui s’exécutent à partir des chemins d’accès aux fichiers du navigateur Les attaquants peuvent tenter de masquer un processus malveillant à l’aide d’un nom semblable au nom d’un service légitime et l’exécuter à partir du chemin d’accès aux fichiers du navigateur. type_id:8001 AND operation:1 AND process.file.path:["Temporary Internet Files" OR "AppData\\Local\\Mozilla\\Firefox\\Profiles" OR "AppData\\Local\\Google\\Chrome" OR "Downloads"] Liste des processus qui s’exécutent à partir des chemins d’accès aux fichiers du profil utilisateur Les attaquants peuvent tenter de masquer un processus malveillant à l’aide d’un nom semblable au nom d’un service légitime et l’exécuter à partir du chemin d’accès aux fichiers de l'utilisateur. type_id:8001 AND operation:1 AND process.file.normalized_path:CSIDL_PROFILE Liste des fichiers binaires du service en cours d’exécution qui ne se trouvent pas dans le répertoire System32 Un vecteur d’attaque commun consiste à exécuter des fichiers binaires à partir d’emplacements autres que System32. (type_id:8001 AND operation:1) AND event_actor.file.name:services.exe AND -process.file.normalized_path:CSIDL_SYSTEM Liste des fichiers exécutables qui s’exécutent à partir d’emplacements autres que les répertoires Windows ou Fichiers de programme type_id:8001 AND operation:1 AND -process.file.folder:["windows" OR "Program Files"] Rechercher les instances de svchost où le processus parent n’est pas services.exe Services est toujours le processus parent de svchost. S’il existe un processus parent différent, cela peut signifier qu’il s’agit de malware. 8
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 type_id:8001 AND operation:1 AND process.file.name:svchost.exe AND -event_actor.file.name:services.exe Afficher un nom de service spécifié NOTE La requête ci-dessous est la recherche d’événement. Vous pouvez simplement rechercher l’entité de fichier. (process.file.name: AND type_id:8001 AND operation:1) Répertorier tous les événements CreateService enriched_data.rule_name:[eModifyExistingService OR eNewService] Répertorier les fichiers binaires autres que System32 s’exécutant en tant que service hébergé Pour effectuer cette recherche, dans la console d’appliance EDR, accédez à Search > Database > Endpoint (Rechercher > Base de données > Terminal). Commencez par exécuter une recherche pour obtenir toutes les valeurs de registre correspondant à la DLL de service : reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\*\\Parameter AND reg_value.name:ServiceDll Recherchez ensuite les résultats comprenant : -reg_value.data:"*SYSTEM32*" Répertorier les services arrêtés et leurs terminaux Recherchez les ID d'événement 7035 et 7036 dans les journaux d'événements Windows. Pour effectuer cette recherche, dans la console d’appliance EDR, accédez à Search > Database > Endpoint (Rechercher > Base de données > Terminal). Commencez par exécuter une recherche pour obtenir toutes les valeurs de registre correspondantes : reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\*" AND reg_value.name:Start Recherchez ensuite les résultats : reg_value.data:4 Afficher lorsqu’un service de terminal spécifique s’est arrêté Il s'agit d'un exemple que vous pouvez modifier pour renvoyer des données pour le service qui vous intéresse : type_id:8001 AND operation:2 AND process.cmd_line:"defragsvc" Affichez une liste de pièces jointes lancées à partir d’Outlook qui sont associées à l’un des lecteurs de document suivants : winword.exe, excel.exe ou POWERPNT.exe. 9
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 type_id:8001 AND operation:1 AND event_actor.cmd_line:"*content.outlook*" AND event_actor.file.name:[winword.exe OR powerpnt.exe OR excel.exe] Liste des liens ouverts à partir d’Outlook dans une période spécifique Utilisez la requête suivante pour afficher les événements. Ajoutez le champ process.cmd_line sous forme de colonne pour afficher rapidement les URL. event_actor.file.name:outlook.exe AND process.file.name:[chrome.exe OR iexplore.exe OR firefox.exe] Recherche de connexions réseau suspectes Répertorie le trafic réseau sortant qui se produit sur des ports non standard. type_id:8007 AND -target_ip:["192.168.0.0/16" OR "10.0.0.0/8" OR "172.16.0.0/12" OR "127.0.0.0/8"] AND -target_port:[80 OR 443] NOTE Insérez vos propres préfixes d'adresse interne attendue dans la partie -external_ip: de la requête. Vous devez également ajouter tous les ports distants supplémentaires que vous considérez comme non standard. Répertorie toutes les connexions RDP (Remote Desktop Protocol) sur un terminal spécifié. type_id:8007 AND (source_port:3389 OR target_port:3389) AND device_name: Pour les événements enrichis : enriched_data.rule_name:eRemoteDesktopProtocol AND device_name: Recherche de modifications de registre suspectes Afficher la persistance (touche d’exécution) Ajouts : 10
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 enriched_data.category_name:"Load Point Modification" AND operation:1 Modifications : enriched_data.category_name:"Load Point Modification" AND operation:2 Suppressions : enriched_data.category_name:"Load Point Modification" AND operation:3 Recherche de tentatives de détection de vulnérabilités Recherche de tentatives de création de liste d'utilisateurs ou de groupes à l’aide des commandes net.exe (type_id:8001 AND operation:1 AND process.file.name:net.exe AND (process.cmd_line:/.*user.*/ OR process.cmd_line:/.*group.*/) AND -process.cmd_line:/.*user:.*/ Identification des vulnérabilités de conformité et de configuration Répertorie les serveurs Web ou les processus de base de données exécutés sous un compte de système local. process.file.name:[w3wp.exe OR sqlservr.exe OR httpd.exe OR nginx.exe] AND (type_id:8001 AND operation:1) AND process.user.name:SYSTEM Recherche de malware, de chevaux de Troie et d’exploits Java Répertorier les fichiers JAR écrits dans %AppData% type_id:8003 AND operation:1 AND file.name:/.*\.jar/ AND file.folder:"*\\appdata\\roaming*" 11
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Répertorier les fichiers JAR en cours d'exécution à partir du dossier %AppData% type_id:8001 AND operation:1 AND process.cmd_line:/.*\.jar/ AND process.cmd_line:"*\\appdata\\roaming*" Répertoriez le processus Java.exe qui écrit les fichiers exécutables : type_id:8003 AND operation:1 AND file.family_id:3 AND event_actor.file.name:java.exe Rechercher le processus enfant whoami lancé sous le processus Java.exe event_actor.file.name:java.exe AND process.file.name:whoami.exe Recherche de tentatives de livraison de code malveillant Recherche d’une pièce jointe de document Word contenant un lien cliqué suivi d’un téléchargement de navigateur Les malwares sont souvent remis via des documents qui contiennent des liens qui lancent des téléchargements à partir de sites malveillants, par exemple, un lien dans un document Word. Vous pouvez également utiliser cette recherche comme modèle pour rechercher des pièces jointes à un message électronique, des téléchargements de navigateur et des recherches qui joignent plusieurs événements par heure. event_actor.file.name:winword.exe AND process.file.name:chrome.exe NOTE Modifiez-le si nécessaire pour d’autres lecteurs de document et d’autres navigateurs. Recherche d’une activité de campagne de menace Récupérer les 30 derniers jours de connexions réseau aux serveurs Dofoil NameCoin connus 12
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 type_id:8007 AND target_ip:["139.59.208.246" OR "130.255.73.90" OR "31.3.135.232"] Recherche d'événements corrélés Utilisez le champ de recherche correlation_uid pour rechercher les événements qui appartiennent à la même chaîne d'attaque. Recherchez les événements avec les mêmes correlation_uid. correlation_uid:73E1C03C-ECA1-11EA-A387-D583DF98E2FC Recherchez les événements avec le même acteur et le même correlation_uid. event_actor.file.md5:d0432468fa4b7f66166c430e1334dbda AND correlation_uid:73E1C03C-ECA1-11EA-A387-D583DF98E2FC Méthodes de recherche et de filtrage de la base de données Symantec Endpoint Detection and Response fournit plusieurs méthodes pour rechercher et filtrer les données. La section Méthodes de recherche et de filtrage répertorie et décrit brièvement chaque méthode. Cliquez sur le nom de la méthode pour consulter la syntaxe de requête et des exemples de la méthode. NOTE N'utilisez pas = dans les requêtes de base de données. Utilisez : à la place. Table 1: Méthodes de recherche et de filtrage Méthode Description Saved searches Accédez aux recherches qui ont déjà été créées et enregistrées. (Recherches enregistrées) Quick filters Filtres prédéfinis pour les données généralement recherchées. (Filtres rapides) Forme libre Renvoie ou exclut des données uniquement en fonction d'une valeur, indépendamment du ou des champs dans lesquels apparaît la valeur. Correspondance Renvoie ou exclut des données correspondant aux noms de champ exacts et à leurs valeurs. exacte Plage Renvoie ou exclut des données comprises entre deux valeurs spécifiées d'un champ donné. Expression Renvoie ou exclut des données correspondant à une expression régulière. régulière Note: Symantec EDR utilise un sous-ensemble des fonctionnalités du bouton expression régulière Perl. Reportez- vous à la page https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-query.html#regexp- syntax pour les fonctionnalités prises en charge. Exists Renvoie des données en fonction de la présence ou de l'absence d'un champ donné. 13
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Méthode Description One-of Renvoie ou exclut des données en fonction de valeurs spécifiées d'un champ donné. Complexe Au moins deux des précédentes méthodes de recherche qui, lorsqu'elles sont combinées, peuvent créer des requêtes de complexité presque aléatoire. Exemple d'ensemble de données Trois enregistrements ont été utilisés pour les exemples dans cette section, comportant chacun les mêmes champs mais des valeurs différentes. La section Exemples d'ensemble de données répertorie les enregistrements et leurs données qui sont utilisés dans les exemples. NOTE Un trait d'union ("-") indique que le champ n'est pas présent dans l'enregistrement. Table 2: Exemples d'ensemble de données type_id (ID adresse électronique emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA 4125 Cambridge, CA 2018-03-23T00:00:01. 733Z 4128 automation@ Cambridge, OH get_file somewhere.com Quick filters (Filtres rapides) Les filtres rapides sont des recherches prédéfinies pour des détections et des données fréquemment recherchées. Les filtres rapides disponibles dépendent du type de recherche que vous effectuez ; base de données, entités, endpoint et ainsi de suite. Les filtres rapides disponibles pour un type de recherche donné apparaissent dans la boîte de dialogue Add Filter (Ajouter un filtre). Vous pouvez sélectionner les filtres rapides à partir de la boîte de dialogue contextuelle ou vous pouvez saisir manuellement le nom d'un filtre rapide dans la barre de recherche de filtre. NOTE Les filtres rapides ne sont pas pris en charge sur Internet Explorer. Utilisez Firefox ou Chrome pour utiliser la fonctionnalité filtre rapide. Syntaxe quick:"" NOTE La valeur du filtre rapide doit être encadrée par des guillemets. Exemple Query: quick:"Get File" Table 3: Résultats de la requête de filtre rapide : "Get File" type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4128 automation@ somewhere.com Cambridge, OH - get_file 14
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Forme libre Les recherches en forme libre sont des recherches "partielles" ; les résultats sont des correspondances approximatives basées sur la chaîne de requête. Les restrictions suivantes s'appliquent aux recherches libres : • Les résultats reflètent tous les événements qui contiennent la valeur spécifiée. • Les valeurs qui contiennent des espaces ou des points-virgules doivent être encadrées par des guillemets. • Les valeurs de date ne fonctionnent pas dans les recherches en forme libre. Par exemple, les éléments suivants ne sont pas autorisés : – "12:00" – "2018-02-22 17:15:31 UTC" Pour les recherches basées sur le temps, reportez-vous à la section Correspondance exacte. • Les données de type texte ne respectent pas la casse. Les données de type mot-clé respectent la casse. Syntaxe value_query Exemple A Requête : cambridge Table 4: Résultats de la requête en forme libre : cambridge type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - Exemple B Requête : 41* Table 5: Résultats de la requête en forme libre : 41* type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - 4128 automation@ somewhere.com Cambridge, OH - get_file Exemple C Requête : -cambridge Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les documents qui ne contiennent pas la valeur Cambridge dans un champ. 15
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Table 6: Résultats de la requête en forme libre : -cambridge type_id (ID de type) email_address emplacement received_date command_name (entier) (mot-clé) (texte) (date) (mot-clé) -cambridge Aucun résultat Aucun résultat Aucun résultat Aucun résultat Correspondance exacte La méthode de recherche par correspondance exacte renvoie uniquement les enregistrements qui correspondent exactement aux paramètres champ:valeur que vous entrez. Syntaxe : champ:valeur Les restrictions suivantes s'appliquent à la recherche oar correspondance exacte : • Les champs sont sensibles à la casse. • Les valeurs qui contiennent des espaces ou des points-virgules doivent être encadrées par des guillemets. Exemple A Requête : type_id: 4118 Table 7: Résultats de la requête par correspondance exacte type_id: 4118 type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - Exemple B Query : location: "Cambridge, CA" Table 8: Résultats de la requête par correspondance exacte location:"Cambridge, CA" type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - Exemple C Requête : -type_id: 4118 Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les documents qui ne contiennent pas la valeur "4118" dans le champ "type_id". Table 9: Résultats de la requête par correspondance exacte -type_id: 4118 type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - 4128 automation@ somewhere.com Cambridge, OH - get_file Plage 16
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Les recherches sur plage vous permettent de rechercher des valeurs qui apparaissent dans une plage numérique donnée. Syntaxe : > field:{TO} = « supérieur ou égal à » et = « inférieur ou égal à ». Remplacer ou par '*' pour indiquer une absence de limite supérieure ou inférieure. Par exemple, {* TO *} renvoie toutes les valeurs du champ. NOTE Les expressions régulières ne sont pas prises en charge pour les éléments ou . Par exemple, age:{3 TO 10} fonctionne, mais pas age:{10 TO 3*}. Exemple A Requête : type_id:{4000 TO *} Table 10: Résultats de la requête par plage : type_id: {4000 TO *} type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - 4128 automation@ somewhere.com Cambridge, OH - get_file Exemple B Les requêtes sur plage fonctionnent également avec du texte. Le texte est testé de manière lexicale (ordre alphabétique progressif) pour inclusion dans la plage. Requête : location: {"Cambridge, CA" TO "Cambridge, OH" } Table 11: Résultats de la requête par plage : location: {"Cambridge, CA" TO "Cambridge, OH" } type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - 4125 - - 2018-03-23T00:00:01. 733Z - Cambridge, CA 4128 automation@ somewhere.com Cambridge, OH - get_file Exemple C Requête : -type_id:{* TO 4118} Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les documents qui ne contiennent pas les valeurs « de 0 à 4118 » dans le champ « type_id ». 17
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Table 12: Résultats de la requête par plage : -type_id: {* TO 4118} Résultats de la requête par plage : -type_id: {* TO 4118} type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - 4128 automation@ somewhere.com Cambridge, OH - get_file Expression régulière Les recherches par expression régulière vous permettent d'utiliser des expressions régulières pour tester les valeurs de champ pour une inclusion dans les résultats de recherche. NOTE Symantec EDR utilise un sous-ensemble des fonctionnalités du bouton expression régulière Perl. Reportez-vous à la page https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp- query.html#regexp-syntax pour les fonctionnalités prises en charge. Les requêtes par expression régulière fonctionnent uniquement sur les champs de mot-clé et de texte. Syntaxe : field:// Exemple A Requête : email_address:/.*some.*/ Table 13: Résultats de la requête par expression régulière : email_address:/.*some.*/ type_id (ID de type) email_address emplacement received_date command_name (entier) (mot-clé) (texte) (date) (mot-clé) 4188 sender111@ someplace.com Cambridge, MA - - 4128 automation@ somewhere.com Cambridge, OH - get_file Exemple B Requête : email_address:/.*some(one|place).*/ Table 14: Résultats de la requête par expression régulière : email_address:/.*some(one|place).*/ Résultats de la requête par expression régulière : email_address:/.*some(one|place).*/ type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4125 sender111@ someplace.com Cambridge, MA - - Requête : -command_name:/.*/ Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les documents qui ne correspondent pas à l'expression régulière command_name:/.*/ 18
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Table 15: Résultats de la requête par expression régulière : command_name:/.*/ type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - Exists La requête « exists » recherche les enregistrements qui contiennent (ou qui ne contiennent pas) un champ spécifique. Syntaxe : exists:field Exemple A Requête : exists:command_name Table 16: Résultats pour la requête exists : exists:command_name type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4128 automation@ somewhere.com Cambridge, OH - get_file Exemple B Requête : -exists:email_address Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les documents qui ne contiennent pas le champ email_address Table 17: Résultats de la requête exists : -exists:email_address type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - One-of Les recherches One-of vous permettent de rechercher des valeurs différentes pour un champ donné. Syntaxe : field:[ OR ...] NOTE Vous pouvez ajouter des valeurs supplémentaires pour étendre la recherche. Exemple A Requête : type_id:[4118] 19
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Table 18: Résultats pour une requête one-of : type_id:[4118] type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - Exemple B Requête : type_id:[4118 OR 4125] Table 19: Résultats pour la requête one-of : type_id:[4118 OR 4125] type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4118 sender111@ someplace.com Cambridge, MA - - 4125 - Cambridge, CA 2018-03-23T00:00:01. 733Z - Exemple C Requête : -type_id:[4118 OR 4125] Le signe moins précédant la valeur inverse la requête, de inclure à exclure. Cette requête renvoie ainsi tous les documents qui ne contiennent pas le type_id « 4118 » ou « 4125 » Table 20: Résultats de la requête one-of : -type_id:[4118 OR 4125] type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4128 automation@ somewhere.com Cambridge, OH - get_file Complexe Les requêtes complexes contiennent au moins deux des autres méthodes de recherche. Syntaxe : ( ) ... NOTE Vous pouvez ajouter d'autres fonctions de recherche (avec leurs champs et leurs valeurs) pour atteindre n'importe quel niveau de spécificité souhaité. Utilisez des parenthèses pour définir l'ordre de priorité de la recherche. Exemple Requête : (quick:"Get File" AND -type_id:{4118 TO 4125}) Cet exemple combine un filtre rapide et une requête de plage en une requête complexe unique. Le signe moins précédant une plage inverse la requête. 20
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Table 21: Résultats de la requête complexe : (quick:"Get File" AND -type_id:{4118 TO 4125}) type_id (ID email_address emplacement received_date command_name de type) (mot-clé) (texte) (date) (mot-clé) (entier) 4128 automation@ somewhere.com Cambridge, OH - get_file ID d'Event Summary (Récapitulatif d'événements) Les données d'Event Summary (Récapitulatif d'événements) sont organisées par type_id: description. Par exemple, si vous analysez les événements Vantage, ils sont représentés dans Symantec EDR comme 4113: Vantage Detection. Utilisation de la vue Events Summary (Récapitulatif des événements) Pour en savoir plus sur les descriptions des champs Events Summary (Récapitulatif des événements), consultez la section Champs de recherche et descriptions. Table 22: type_ids Type d'événement et numéro d'identification Description 1 : Activité d'application Signale les informations d'état à propos d'une activité d'application effectuée par un utilisateur final. Par exemple, un administrateur exécute une recherche de base de données ou une recherche de terminal. L'administrateur exécute une commande d'interface de ligne de commande (par exemple, expand_storage). 20 : audit de session utilisateur Rapports d'activité de connexion à une console de gestion ou à un client géré et déconnexion de l'utilisateur. 21 : audit d'entité Génère des rapports d'activité d'un client géré, d'un micro-service ou d'un utilisateur sur une console de gestion. L'activité peut être une opération de création, de mise à jour et de suppression sur une entité gérée. Par exemple, le service de politique enregistre les événements de modification de politique, le client SEP signale les modifications de la politique locale et l'administrateur de politique met à jour les politiques sur la console. 238 : contrôle des périphériques Signale un périphérique de contrôle de périphérique désactivé. 239 : contrôle des périphériques Signale un événement de débordement de mémoire tampon. 240 : contrôle des périphériques Signale que la protection de logiciel a lancé une exception. 502 : contrôle des applications Signale les événements de comportement de l'agent. 1 000 : Intégrité du système Signale toute modification apportée à l'intégrité d'un composant qui affecte l'intégrité globale de l'appliance, du logiciel ou du matériel Symantec EDR. Par exemple, « Échec/succès de la connexion DB », « Disque faible », ou « UC élevée ». 4096: Reputation Lookup (Recherche de réputation) Signale lorsqu'une demande est effectuée à Symantec Insight ou Symantec Mobile Insight pour plus d'informations sur la réputation d'un fichier. 4098: Intrusion Prevention (Prévention d'intrusion) Signale lorsqu'un système de prévention d'intrusion Symantec a détecté une signature IPS potentiellement malveillante. 4099: Suspicious File Detection (Détection de fichier suspect) Signale lorsqu'un fichier suspect a été détecté. 4100: SONAR Detection (Détection SONAR) Signale lorsque la technologie Symantec Online Network for Advanced Response (SONAR) a détecté une nouvelle menace. SEDR n'affiche aucun événement 4100 ou 4102 21
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Type d'événement et numéro d'identification Description 4102 : détection antivirus (terminal) Signale lorsqu'un antivirus a été détecté sur un terminal. Un grand nombre d’événements 4102 sont enregistrés SEDR n'affiche aucun événement 4100 ou 4102 4109 : Dynamic Adversary Intelligence (DAI) (Renseignements Renseignements sur les adversaires depuis le point de contrôle dynamiques sur les adversaires) depuis un terminal du terminal. 4110 : Dynamic Adversary Intelligence (Renseignements Renseignements sur les adversaires depuis le point de contrôle dynamiques sur les adversaires) depuis le réseau du réseau. 4112 : Liste d'interdictions (adresse IP, adresse URL, domaine) Indique la détection d'une adresse IP, d'une adresse URL ou d'un domaine qui se trouve dans une liste d'interdictions fournie par Symantec ou la liste d'interdictions de Symantec EDR. 4113: Vantage Detection (Détection Vantage) Signale lorsque la technologie Symantec Vantage a détecté une activité malveillante sur un terminal ou que des menaces basées sur les signatures Vantage ont été trouvées dans le système de réseau. 4115: Insight Detection (Détection Insight) Signale lorsque Symantec Endpoint Protection a interrogé le serveur de réputation de fichiers concernant un fichier sur un terminal géré ou qu'Insight a détecté une activité malveillante survenue dans votre réseau. 4116 : détection Mobile Insight Signale lorsque la technologie Symantec Mobile Insight a détecté des problèmes avec un fichier exécutable Android. 4117: Sandboxing Detection (Détection de sandboxing) Signale lorsque la technologie de sandboxing a observé un fichier malveillant dans votre réseau. 4118 : liste d'interdictions (fichier) Indique la détection d'un fichier qui se trouve dans une liste d'interdictions fournie par Symantec ou la liste d'interdictions de Symantec EDR. 4123 : détection sur un terminal (fichier) Signale lorsqu'un fichier suspect a été détecté sur un terminal. Depuis la version Symantec EDR 4.5 et les versions ultérieures et SEPM 14.3 RU1 et les versions ultérieures, cet événement inclut également les événements de blocage de hachage SHA256. 4124 : détection sur un terminal (adresse IP, adresse URL, Signale lorsqu'une adresse IP, une URL ou un domaine domaine) suspect(e) a été détecté(e) sur un terminal. Signale également les événements de contrôle des applications et de contrôle des appareils. 4125: Email Detection (Détection de message électronique) Signale lorsqu'un message électronique suspect a été détecté. 4353 : détection antivirus (réseau) Signale lorsqu'un antivirus a été détecté sur un réseau. 8000: Session Event (Événement de session) Signale lorsqu'un utilisateur tente une connexion ou une déconnexion, avec succès ou non. 8001: Process Event (Événement de processus) Signale lorsqu'un processus lance, termine ou ouvre un autre processus, avec succès ou non. 8002: Module Event (Événement de module) Signale lorsqu'un processus charge ou décharge un module. 8003: File Event (Événement de fichier) Signale les opérations sur les objets de système de fichiers. 8004: Directory Event (Événement de répertoire) Signale les opérations sur les répertoires. 8005: Registry Key Event (Événement de clé de registre) Signale les actions sur les clés de registre Windows. 8006: Registry Value Event (Événement de valeur de registre) Signale les actions sur les valeurs de registre Windows. 8007: Network Event (Événement réseau) Signale les tentatives de connexion réseau, avec succès ou non. 8009: Kernel Event (Événement de noyau) Signale lorsqu'un processus acteur crée, lit ou supprime un objet de noyau. 22
Guide de recherche des menaces avec Symantec™ Endpoint Detection and Response 4.6 Type d'événement et numéro d'identification Description 8015 : événement ETW (Event Tracing for Windows) (Suivi des Génère des rapports sur l'activité ETW. événements pour Windows) 8016: Startup Application Configuration Change (Changement de Signale la création, suppression ou modification d'une configuration de l'application de démarrage) configuration d'application de démarrage. 8018 : événement AMSI (AntiMalware Scan Interface (Interface de Rapport d'activité AMSI. recherche de programmes malveillants) 8080: Session Query Result (Résultat de requête de session) Signale des informations sur les sessions utilisateur existantes. 8081: Process Query Result (Résultat de requête de processus) Signale des informations sur un processus en cours d'exécution. 8082: Module Query Result (Résultat de requête de module) Signale des informations sur les modules chargés. 8083: File Query Result (Résultat de requête de fichier) Signale des informations sur les objets de système de fichiers. 8084: Directory Query Result (Résultat de requête de répertoire) Signale des informations de répertoire. 8085: Registry Key Query Result (Résultat de registre de clé de Signale des informations sur les clés de registre Windows. registre) 8086: Registry Value Query Result (Résultat de requête de valeur Signale des informations sur les valeurs de registre Windows. de registre) 8089: Kernel Object Query Result (Résultat de requête d'objet de Signale des informations sur les objets de noyau. noyau) 8090: Service Query Result (Résultat de requête de service) Signale des informations sur les requêtes de service. 8099: Query Command Errors (Erreurs de commande de requête) Signale des informations sur les erreurs de commande de requête EOC (preuve de compromission). 8103: File Remediation (Remédiation de fichier) Signale des informations sur les objets de système de fichiers. 8119: File Remediation Errors (Erreurs de remédiation de fichier) Signale des informations sur les erreurs qui résultent d'une action de remédiation de fichier EOC (preuve de compromission). 23
Vous pouvez aussi lire