Recherches de perception sur les attaques de hameçonnage et de programme malveillant signalées par les utilisateurs

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 11 minutes de lecture

    • Effectuez des recherches de perceptions sur les e-mails ou les observables pour déterminer la fréquence à laquelle certains types d’attaques, telles que les attaques de hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent dans votre réseau. Chaque occurrence est considérée comme une observation. Les recherches de perceptions pour les observables doivent être configurées pour vos magasins de journaux ou Gestion des informations et des événements et de sécurité (SIEM).

    Regardez cette vidéo de trois minutes pour apprendre à utiliser la fonctionnalité de recherche de perception afin de localiser les utilisateurs victimes d’hameçonnage et de suivre les observables liés au hameçonnage et aux programmes malveillants dans le magasin de journaux de votre réseau.

    Les termes suivants sont utilisés pour décrire les attaques de hameçonnage signalées par les utilisateurs :
    • Utilisateur victime d’hameçonnage : utilisateur qui a reçu un e-mail d’hameçonnage.
    • Utilisateur victime : utilisateur qui a interagi avec l’URL d’hameçonnage, généralement en cliquant sur un lien contenu dans l’e-mail d’hameçonnage. Cette action expose potentiellement les informations d’identification à l’attaquant.
    Lorsque vous commencez à analyser un incident de hameçonnage, vous pouvez effectuer une recherche de perceptions d’e-mails ou unerecherche de perceptions d’observables pour identifier d’autres utilisateurs de votre organisation qui sont touchés par la même attaque de hameçonnage. Effectuez une recherche dans vos magasins de journaux pour identifier les utilisateurs victimes d’hameçonnage et les victimes. Une fois que vous avez identifié la liste des utilisateurs affectés, créez des incidents de sécurité enfants pour exécuter des procédures complètes de réponse aux incidents à l’aide des outils disponibles dans Réponse aux incidents de sécurité.
    Remarque :
    Vous pouvez également utiliser l’approche suivante pour effectuer une recherche de perceptions :
    • Accédez à la Incidents de sécurité > Afficher les incidents et cliquez sur un incident de sécurité.
    • Cliquez sur Afficher IoC sous Liens connexes. Une liste d’observables s’affiche.
    • Sélectionnez un observable dans la liste, puis dans la liste Actions , sélectionnez l’une des options suivantes :
      • Exécuter la recherche de perception du trafic web
      • Exécuter la recherche de perception du trafic des e-mails
    • Spécifiez le délai et cliquez sur Rechercher pour effectuer une recherche d’observations.

    Configurations de recherche de perceptions enregistrées

    Configurez les recherches de perception et créez des configurations enregistrées pour les SIEM ou d’autres magasins de journaux pour les instances d’observables afin de déterminer la présence d’observables malveillants dans votre environnement.
    Remarque :
    Les recherches enregistrées et les requêtes sur place ne sont prises en charge que pour Splunk Integration.

    Effectuer une recherche de perceptions des e-mails pour les attaques de hameçonnage signalées par les utilisateurs

    Recherchez les utilisateurs qui ont reçu des e-mails d’hameçonnage en fonction d’observables tels que l’objet de l’e-mail, le nom de l’expéditeur ou l’ID du message. Vous pouvez ensuite contenir et supprimer ces e-mails d’hameçonnage de votre organisation.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Effectuez une recherche dans les journaux de trafic de messagerie Splunk pour recueillir la liste des destinataires d’un e-mail suspect. La recherche peut être effectuée à l’aide de l’expéditeur de l’e-mail, de l’ID de l’e-mail ou de l’objet de l’e-mail associé à un incident de sécurité comme critères.
    Remarque :
    • Cette implémentation de la recherche de perception pour les observables basés sur l’e-mail a été testée uniquement avec le magasin de journaux Splunk Enterprise.
    • Les événements du journal Splunk doivent être conformes au modèle d’information commun (CIM) pour que la requête de recherche de perceptions renvoie des résultats précis.

    Procédure

    1. Pour afficher les incidents de sécurité affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle UI).
    2. Dans la liste Incidents de sécurité , sélectionnez l’un des filtres, tels que tous les incidents ouverts, tous les incidents qui vous sont affectés ou tous les incidents.

      Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails d’hameçonnage, cliquez sur l’un des filtres rapides.

      Incidents de sécurité
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      L’onglet Vue d’ensemble fournit une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

      Onglet Vue d'ensemble
    4. Cliquez sur l’onglet Explorer .
    5. Sous Données d’incident, accédez à Examen > Rechercher un e-mail et des observables.
      Recherche d'e-mail
    6. Développez la section Critères de recherche.
    7. Sélectionnez Recherche d’e-mail comme type de recherche que vous souhaitez exécuter, puis spécifiez le reste des critères de recherche.
      Tableau 1. Formulaire Critères de recherche
      Champ Description
      Intégrations Type d’intégrations. Sélectionnez Log Store dans la liste.
      Remarque :
      Cette fonctionnalité n’est prise en charge qu’avec le magasin de journaux Splunk.
      De Adresse e-mail complète de l’expéditeur (par exemple, jane.doe@example.com).
      ID de message ID de message électronique du magasin de journaux.
      Objet Objet de l’e-mail d’hameçonnage.
      Fenêtre de recherche Fenêtre de temps pour la recherche (par exemple, les dernières 24 heures).
    8. Dans la liste Sélectionner une action , sélectionnez Rechercher , puis cliquez sur Exécuter.

      La recherche s’effectue dans le magasin de journaux Splunk à l’aide des critères que vous entrez, et les utilisateurs ciblés par l’attaque de phishing sont affichés dans l’onglet Résultats de recherche d’e-mails . Le nombre total d’e-mails d’hameçonnage et les détails de chaque e-mail, y compris la date de réception de l’e-mail, le destinataire et l’ID du message, sont affichés.

    9. Pour afficher la liste des utilisateurs ayant reçu l’e-mail d’hameçonnage, cliquez sur le symbole > dans la colonne Date de recherche.
      Résultats de recherche d’e-mails
    10. Pour afficher la liste des utilisateurs ayant reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

      La colonne Utilisateur victime d’hameçonnage identifie les destinataires de l’e-mail.

      Remarque :
      La page Utilisateurs affectés affiche uniquement les enregistrements utilisateur présents sur l’instance ServiceNow.
    11. Pour enquêter plus en détail sur les utilisateurs qui sont la cible de l’attaque de phishing, procédez comme suit :
      1. Cochez les cases en regard des noms d’utilisateur.
      2. Dans la liste, sélectionnez Créer un incident de sécurité enfant, puis cliquez sur Exécuter.
      Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

    Résultats

    La liste des utilisateurs victimes d’hameçonnage s’affiche.

    Effectuer une recherche de perceptions observables pour les attaques de hameçonnage et de programme malveillant signalées par les utilisateurs

    Effectuez des recherches de perception sur les observables pour savoir combien d’utilisateurs ont visité un site Web malveillant ou suspect au cours d’une période spécifique.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez effectuer une recherche de trafic réseau sur des observables tels que l’URL, l’hôte de destination ou l’adresse IP de destination associée à un incident de sécurité.
    Remarque :
    • Cette implémentation de la recherche de perceptions pour les observables a été testée uniquement avec le magasin de journaux Splunk Enterprise.
    • Les événements du journal Splunk doivent être conformes au modèle d’information commun (CIM) pour que la requête de recherche de perceptions renvoie des résultats précis.

    Procédure

    1. Pour afficher les incidents de sécurité qui sont affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle UI).
    2. Dans la liste Incidents de sécurité , sélectionnez un autre filtre, comme Tous les incidents qui me sont affectés, Tous les incidents ouverts ou Tous les incidents.

      Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails d’hameçonnage, cliquez sur l’un des filtres rapides.

      Incidents de sécurité
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Vous pouvez afficher une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

      Onglet Vue d'ensemble

      Dans la section Observables, notez que la colonne Observable affiche l’adresse e-mail, l’objet et l’URL. Notez également que la colonne Résultat indique que l’URL a été automatiquement analysée lors de l’envoi de l’e-mail d’hameçonnage et qu’il a été déterminé qu’il s’agit d’une URL malveillante connue. La colonne Nombre d’incidents affiche les autres incidents qui partagent le même observable. Ces artefacts indiquent que vous êtes probablement prêt à passer aux procédures de maîtrise de cette attaque de hameçonnage, notamment en déterminant combien d’utilisateurs de l’organisation ont été affectés.

      Observables

    4. Accédez à la Explorer > Examen > Rechercher un e-mail et des observables.
    5. Développez la section Search Criteria (Critères de recherche) et cliquez sur Observable Search (Recherche d’observables).
      Recherche d’observables
    6. Entrez l’observable que vous recherchez et une fenêtre de temps pour la recherche (par exemple, 24 dernières heures).
    7. Dans la liste Sélectionner une action , sélectionnez Rechercher.
      La recherche s’effectue dans le magasin de journaux Splunk à l’aide des critères que vous avez saisis et les utilisateurs clés ciblés par l’attaque malveillante sont affichés dans l’onglet Résultats de la recherche d’observables .Résultats de la recherche d’observables
    8. Pour afficher les utilisateurs qui ont reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

      La colonne Utilisateur victime d’hameçonnage identifie les destinataires de l’e-mail d’hameçonnage et la colonne Interaction de l’utilisateur identifie les utilisateurs qui ont cliqué sur une URL d’hameçonnage ou interagi avec une adresse e-mail suspecte. La colonne Interaction de l’utilisateur est définie sur vrai ou faux, selon que l’utilisateur a cliqué sur le lien malveillant ou sur l’adresse IP.

      Remarque :
      La page Utilisateurs affectés affiche uniquement les enregistrements utilisateur présents sur l’instance ServiceNow.
    9. Pour enquêter plus en détail sur les utilisateurs qui ont cliqué sur l’e-mail d’hameçonnage et potentiellement compromis leurs informations d’identification :
      1. Dans les colonnes Utilisateur victime d’hameçonnage et Interaction de l’utilisateur, cochez les cases en regard des noms d’utilisateur qui affichent vrai.
      2. Cliquez sur Créer un incident de sécurité enfant , puis sur Exécuter.
        Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

    Résultats

    La liste des utilisateurs victimes d’hameçonnage s’affiche.

    Créer des enregistrements de configuration de recherche d’observations

    Créez plusieurs enregistrements de configuration de recherche de perceptions et utilisez-les lors de l’interrogation de plusieurs magasins de journaux ou de la modification des paramètres de recherche.

    Avant de commencer

    Rôle requis : sn_si.admin

    • Le module complémentaire CIM doit être installé sur l’instance Splunk.
    • Les recherches enregistrées et les requêtes sur place ne sont prises en charge que pour Splunk Integration.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez également créer des enregistrements de configuration de recherche de perceptions pour appeler des recherches enregistrées dans le magasin de journaux d’entreprise Splunk.
    Remarque :
    Les requêtes de configuration de recherche s’appuient sur les données du journal Splunk pour être conformes au modèle d’information commun (CIM) Splunk.
    Avec les configurations de recherche enregistrées, vous pouvez :
    • Créez des recherches personnalisées qui combinent plusieurs enregistrements d’événements.
    • Concevez des recherches efficaces et efficientes.
    • Utiliser des entrées paramétrées dans la recherche enregistrée Splunk.

    Le système de base inclut les exemples de configurations, comme illustré dans cette image :

    Figure 1. Configurations de recherche enregistrées
    Configuration de recherche
    La recherche enregistrée et les requêtes de configuration sur place sont des exemples de requêtes et peuvent être remplacées par des paramètres appropriés pour votre environnement. Créez des configurations de recherche enregistrées supplémentaires selon vos besoins. Lorsque vous définissez une configuration de recherche enregistrée, le nom et les paramètres de la requête de recherche doivent correspondre à la configuration enregistrée définie sur votre instance Splunk. Si le nom et les paramètres ne sont pas les mêmes, vous risquez de ne pas voir de résultats précis lorsque vous effectuez une recherche d’observations.
    Remarque :
    Sur votre instance Splunk, accédez à la page Recherches, rapports et alertes et localisez votre requête de recherche enregistrée. Cliquez sur le lien Autorisations pour accéder à la page Autorisations. Sélectionnez la case d’option Toutes les applications et activez l’option Autorisation de lecture pour Tout le monde. Cela modifiera la valeur de la colonne Partage de Privé à Application pour votre requête de recherche enregistrée. Si cette option n’est pas définie, la requête de recherche enregistrée peut ne pas renvoyer de résultats.

    Pour vérifier si la configuration de recherche enregistrée correspond à la configuration définie sur votre instance Splunk :

    1. Accédez à la Paramètres > Recherches, rapports et alertes.
    2. Définissez tous lescontextes de l’application.

      Une liste des rapports de recherche s’affiche.

    3. Confirmez que la requête de recherche enregistrée figure dans la liste.
    Par exemple, le formulaire de configuration de recherche de perceptions contient l’adresse e-mail et l’expéditeur d’e-mail comme paramètres de recherche :
    Figure 2. Formulaire de configuration de la recherche de perceptions
    Configuration enregistrée

    Dans votre instance Splunk, définissez la recherche enregistrée avec le même nom, la recherche enregistrée par défaut : e-mails, et les mêmes paramètres de recherche pour l’adresse e-mail et l’objet de l’e-mail. Si le nom et les paramètres de recherche ne sont pas les mêmes, la recherche de perceptions ne génère pas de résultat précis.

    Procédure

    1. Accédez à la Security Operations > Intégrations > Configuration de la recherche de perceptions et créez un nouvel enregistrement (voir la table des descriptions de champ).
      Tableau 2. Formulaire de configuration de la recherche de perceptions
      Champ Description
      Nom Nom de la configuration.
      Est une recherche enregistrée La configuration de recherche enregistrée est créée si vous sélectionnez cette option.
      Source de recherche de perceptions La source de la recherche d’observations. Sélectionnez le magasin de journaux Splunk comme source.
      Actif Option pour l’état de la recherche enregistrée. Seules les configurations de recherche actives peuvent être utilisées pour effectuer une recherche de perceptions.
      Type d'observable Le type d’observable peut être n’importe quel type d’observable tel qu’une adresse IP, une valeur de hachage, une URL, un nom de domaine, etc.
      Nombre maximum d'observables par recherche Nombre maximal d’observables à renvoyer à partir de la recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par le magasin de journaux Splunk.
    2. Cliquez sur Envoyer.

    Résultats

    Vous avez créé un enregistrement de configuration de recherche de perceptions.

    Que faire ensuite

    Après avoir défini la requête de recherche, cliquez sur Générer une requête de test de recherche de détections, puis spécifiez une liste de valeurs observables pour générer une requête de test basée sur cette configuration de recherche enregistrée.