Recherches de perceptions sur les attaques de phishing et de programmes malveillants signalées par les utilisateurs

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

11 minutes de lecture

Effectuez des recherches de perception sur des e-mails ou des observables pour déterminer la fréquence à laquelle certains types d’attaques, tels que les attaques de phishing ou les communications avec une adresse IP ou une URL malveillante, se produisent sur votre réseau. Chaque occurrence est considérée comme une observation. Les recherches de perceptions pour les observables doivent être configurées pour vos magasins de journaux ou pour la gestion des informations et événements de sécurité (SIEM).

Regardez cette vidéo de trois minutes pour découvrir comment utiliser la fonctionnalité de recherche de perception pour localiser les utilisateurs hameçonnés et suivre les observables de hameçonnage et de programmes malveillants dans le magasin de journaux de votre réseau.

Les termes suivants sont utilisés pour décrire les attaques de phishing signalées par les utilisateurs :

Utilisateur hameçonné : utilisateur qui a reçu un e-mail d’hameçonnage.
Utilisateur victime : utilisateur qui a interagi avec l’URL d’hameçonnage, généralement en cliquant sur un lien dans l’e-mail d’hameçonnage. Cette action expose potentiellement les informations d’identification à l’attaquant.

Lorsque vous commencez à analyser un incident d’hameçonnage, vous pouvez effectuer une recherche d’observations d’e-mails ou une recherche d’observations d’observables pour identifier les autres utilisateurs de votre organisation qui sont impactés par la même attaque d’hameçonnage. Effectuez des recherches dans vos magasins de journaux pour identifier les utilisateurs hameçonnés et victimes. Une fois que vous avez identifié la liste des utilisateurs affectés, créez des incidents de sécurité enfants pour exécuter des procédures de réponse aux incidents complètes à l’aide des outils disponibles dans Réponse aux incidents de sécurité.

Remarque :

Vous pouvez également utiliser l’approche suivante pour effectuer une recherche d’observations :

Accédez à la Incidents de sécurité > Afficher les incidents et cliquez sur un incident de sécurité.
Cliquez sur Afficher l’IoC sous Liens connexes. La liste des observables s’affiche.
Sélectionnez un observable dans la liste et, dans la liste Actions , sélectionnez l’une des options suivantes :
- Exécuter la recherche de perception du trafic web
- Exécuter la recherche de perception du trafic des e-mails
Spécifiez le délai et cliquez sur Rechercher pour effectuer une recherche de perceptions.

Configurations de recherche de perceptions enregistrées

Configurez les recherches de perception et créez des configurations enregistrées pour les SIEM ou d’autres magasins de journaux pour les instances d’observables afin de déterminer la présence d’observables malveillants dans votre environnement.

Remarque :

Les recherches enregistrées et les requêtes sur place sont prises en charge pour Splunk Integration uniquement.

Effectuer une recherche de perceptions d’e-mails pour les attaques de phishing signalées par un utilisateur

Recherchez les utilisateurs qui ont reçu des e-mails d’hameçonnage en fonction d’observables tels que l’objet de l’e-mail, le nom de l’expéditeur ou l’ID du message. Vous pouvez ensuite contenir et éradiquer ces e-mails d’hameçonnage de votre organisation.

Avant de commencer

Rôle requis : sn_si.analyst

Pourquoi et quand exécuter cette tâche

Recherchez les journaux de trafic des e-mails Splunk pour rassembler la liste des destinataires d’un e-mail suspect. La recherche peut être effectuée en utilisant l’expéditeur de l’e-mail, l’ID de l’e-mail ou l’objet de l’e-mail associé à un incident de sécurité comme critères.

Remarque :

Cette implémentation de la recherche de perceptions pour les observables basés sur l’e-mail a été testée uniquement avec le magasin de journaux Splunk Enterprise.
Les événements de journal Splunk doivent être conformes au modèle CIM (Common Information Model) pour que la requête de recherche de perceptions renvoie des résultats précis.

Procédure

Pour afficher les incidents de sécurité affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle interface utilisateur).
Dans la liste Incidents de sécurité , sélectionnez l’un des filtres, tel que tous les incidents ouverts, tous les incidents qui vous sont affectés ou tous les incidents.

Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails d’hameçonnage, cliquez sur l’un des filtres rapides.
Cliquez sur l’incident de sécurité que vous souhaitez analyser.

L’onglet Vue d’ensemble fournit une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.
Cliquez sur l’onglet Explorer .
Sous Données d’incident, accédez à Examen > Rechercher des e-mails et des observables.
Développez la section Critères de recherche.

Sélectionnez Recherche d’e-mails comme type de recherche que vous souhaitez exécuter et spécifiez le reste des critères de recherche.

Tableau 1. Formulaire Critères de recherche
Champ	Description
Intégrations	Type d’intégration. Sélectionnez Magasin de journaux dans la liste. Remarque : Cette fonctionnalité n’est prise en charge qu’avec le magasin de journaux Splunk.
De	Adresse e-mail complète de l’expéditeur (par exemple, jane.doe@example.com).
ID de message	ID de message électronique du magasin de journaux.
Objet	Objet de l’e-mail d’hameçonnage.
Fenêtre de recherche	Intervalle de temps pour la recherche (par exemple, les dernières 24 heures).

Dans la liste Sélectionner une action , sélectionnez Rechercher , puis cliquez sur Exécuter.

Les recherches dans le magasin de journaux Splunk sont effectuées à l’aide des critères que vous avez saisis, et les utilisateurs ciblés par l’attaque de phishing sont affichés dans l’onglet Résultats de recherche d’e-mails . Le nombre total d’e-mails d’hameçonnage et les détails de chaque e-mail, y compris la date de réception de l’e-mail, le destinataire et l’ID du message, sont affichés.
Pour afficher la liste des utilisateurs qui ont reçu l’e-mail d’hameçonnage, cliquez sur le symbole de > dans la colonne Date de recherche.
Pour afficher la liste des utilisateurs qui ont reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

La colonne Utilisateur hameçonné identifie les destinataires de l’e-mail.

Remarque :
La page Utilisateurs affectés affiche uniquement les enregistrements utilisateur présents sur l’instance ServiceNow.
Pour enquêter plus en détail sur les utilisateurs cibles de l’attaque d’hameçonnage, procédez comme suit :
1. Cochez les cases en regard des noms d’utilisateurs.
2. Dans la liste, sélectionnez Créer un incident de sécurité enfant, puis cliquez sur Exécuter.
Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

Résultats

La liste des utilisateurs hameçonnés s’affiche.

Effectuer une recherche de perceptions observables pour les attaques de hameçonnage et de programmes malveillants signalées par un utilisateur

Effectuez des recherches de perception sur les observables pour savoir combien d’utilisateurs ont visité un site Web malveillant ou suspect au cours d’une période spécifique.

Avant de commencer

Rôle requis : sn_si.analyst

Pourquoi et quand exécuter cette tâche

Vous pouvez effectuer une recherche de trafic réseau sur des observables tels que l’URL, l’hôte de destination ou l’adresse IP de destination associée à un incident de sécurité.

Remarque :

Cette implémentation de la recherche de perceptions pour les observables a été testée uniquement avec le magasin de journaux Splunk Enterprise.
Les événements de journal Splunk doivent être conformes au modèle CIM (Common Information Model) pour que la requête de recherche de perceptions renvoie des résultats précis.

Procédure

Pour afficher les incidents de sécurité qui sont affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle interface utilisateur).
Dans la liste Incidents de sécurité , sélectionnez un autre filtre, tel que Tous les incidents qui me sont affectés, Tous les incidents ouverts ou Tous les incidents.

Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails d’hameçonnage, cliquez sur l’un des filtres rapides.
Cliquez sur l’incident de sécurité que vous souhaitez analyser.

Vous pouvez voir une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

Dans la section Observables, notez que la colonne Observable affiche l’adresse e-mail, l’objet et l’URL. Notez également que la colonne Recherche indique que l’URL a été automatiquement analysée lorsque l’e-mail d’hameçonnage a été soumis et qu’il a été déterminé qu’il s’agissait d’une URL malveillante connue. La colonne Nombre d’incidents affiche les autres incidents qui partagent le même observable. Ces artefacts indiquent que vous êtes probablement prêt à passer aux procédures de maîtrise de cette attaque de phishing, notamment à déterminer combien d’utilisateurs de l’organisation ont été affectés.
Accédez à la Explorer > Examen > Rechercher des e-mails et des observables.
Développez la section Critères de recherche et cliquez sur Recherche d’observables.
Entrez l’observable que vous recherchez et une fenêtre de temps pour la recherche (par exemple, 24 dernières heures).
Dans la liste Sélectionner une action , sélectionnez Rechercher.
Les recherches dans le magasin de journaux Splunk sont effectuées à l’aide des critères que vous avez entrés et les principaux utilisateurs ciblés par l’attaque malveillante sont affichés dans l’onglet Résultats de recherche d’observables .
Pour afficher les utilisateurs qui ont reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

La colonne Utilisateur hameçonné identifie les destinataires de l’e-mail d’hameçonnage et la colonne Interaction de l’utilisateur identifie les utilisateurs qui ont cliqué sur une URL d’hameçonnage ou interagi avec une adresse e-mail suspecte. La colonne Interaction de l’utilisateur est définie sur vrai ou faux, selon que l’utilisateur a cliqué sur le lien malveillant ou sur l’adresse IP.

Remarque :
La page Utilisateurs affectés affiche uniquement les enregistrements utilisateur présents sur l’instance ServiceNow.
Pour enquêter plus en détail sur les utilisateurs qui ont cliqué sur l’e-mail d’hameçonnage et potentiellement compromis leurs informations d’identification :
1. Dans les colonnes Utilisateur hameçonné et Interaction de l’utilisateur, cochez les cases en regard des noms d’utilisateur qui affichent vrai.
2. Cliquez sur Créer un incident de sécurité enfant , puis sur Exécuter.
  Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

Résultats

La liste des utilisateurs hameçonnés s’affiche.

Créer des enregistrements de configuration de recherche de perceptions

Créez plusieurs enregistrements de configuration de recherche de perceptions et utilisez-les lors de l’interrogation de plusieurs magasins de journaux ou de la variation des paramètres de recherche.

Avant de commencer

Rôle requis : sn_si.admin

Le module complémentaire CIM doit être installé sur l’instance Splunk.
Les recherches enregistrées et les requêtes sur place sont prises en charge pour Splunk Integration uniquement.

Pourquoi et quand exécuter cette tâche

Vous pouvez également créer des enregistrements de configuration de recherche de perceptions pour invoquer les recherches enregistrées dans le magasin de journaux d’entreprise Splunk.

Remarque :

Les requêtes de configuration de recherche s’appuient sur les données de journal Splunk pour être conformes à Splunk Common Information Model (CIM).

Avec les configurations de recherche enregistrées, vous pouvez :

Créez des recherches personnalisées qui combinent plusieurs enregistrements d’événements.
Des recherches efficaces et efficientes en matière de conception.
Utiliser les entrées paramétrées dans la recherche enregistrée Splunk.

Le système de base inclut les exemples de configurations, comme illustré dans cette image :

Configuration de recherche — Figure 1. Configurations de recherche enregistrées

Les requêtes de recherche enregistrées et de configuration sur place sont des exemples de requêtes qui peuvent être remplacées par des paramètres appropriés pour votre environnement. Créez des configurations de recherche enregistrées supplémentaires au besoin. Lorsque vous définissez une configuration de recherche enregistrée, le nom et les paramètres de la requête de recherche doivent correspondre à la configuration enregistrée définie sur votre instance Splunk. Si le nom et les paramètres ne sont pas identiques, vous risquez de ne pas voir de résultats précis lorsque vous effectuez une recherche d’observations.

Remarque :

Sur votre instance Splunk, accédez à la page Recherches, rapports et alertes et localisez votre requête de recherche enregistrée. Cliquez sur le lien Autorisations pour accéder à la page Autorisations. Sélectionnez la case d’option Toutes les applications et activez l’option Autorisation de lecture pour tout le monde. Cela changera la valeur de la colonne de partage de Privé à Application pour votre requête de recherche enregistrée. Si cette option n’est pas définie, la requête de recherche enregistrée peut ne pas renvoyer de résultats.

Pour vérifier si la configuration de recherche enregistrée correspond à la configuration définie sur votre instance Splunk :

Accédez à la Paramètres > Recherches, rapports et alertes.
Modifiez le contexte de l’application sur Tous.
Une liste de rapports de recherche s’affiche.
Confirmez que la requête de recherche enregistrée figure dans la liste.

Par exemple, le formulaire de configuration de la recherche de perceptions contient l’adresse e-mail et l’expéditeur comme paramètres de recherche :

Configuration enregistrée — Figure 2. Formulaire Configuration de la recherche de perceptions

Dans votre instance Splunk, définissez la recherche enregistrée avec le même nom, la recherche enregistrée par défaut - E-mails, et les mêmes paramètres de recherche pour l’adresse e-mail et l’objet de l’e-mail. Si le nom et les paramètres de recherche ne sont pas identiques, la recherche de perceptions ne génère pas de résultat précis.

Procédure

Accédez à la Opérations de sécurité > Intégrations > Configuration de la recherche de perceptions et créez un nouvel enregistrement (voir la table des descriptions de champ).

Tableau 2. Formulaire Configuration de la recherche de perceptions
Champ	Description
Nom	Nom de la configuration.
Est une recherche enregistrée	La configuration de recherche enregistrée est créée si vous sélectionnez cette option.
Source de recherche de perceptions	La source de la recherche d’observations. Sélectionnez le magasin de journaux Splunk comme source.
Actif	Option pour l’état de recherche enregistré. Seules les configurations de recherche actives peuvent être utilisées pour effectuer une recherche de perceptions.
Type d'observable	Le type d’observable peut être n’importe quel type d’observable tel qu’une adresse IP, une valeur de hachage, une URL, un nom de domaine, et ainsi de suite.
Nombre maximum d'observables par recherche	Nombre maximal d’observables à renvoyer à partir de la recherche.
Rechercher	La chaîne de recherche par défaut est `$(observable),` mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par le magasin de journaux Splunk.

Cliquez sur Envoyer.

Résultats

Vous avez créé un enregistrement de configuration de recherche de perceptions.

Que faire ensuite

Après avoir défini la requête de recherche, cliquez sur Générer une requête de test de recherche de perceptions et spécifiez une liste de valeurs observables pour générer une requête de test basée sur cette configuration de recherche enregistrée.