Recherches de perceptions sur les attaques de phishing et de logiciels malveillants signalées par les utilisateurs

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 11 minutes de lecture

    • Effectuez des recherches de perception sur les e-mails ou les observables pour déterminer la fréquence à laquelle certains types d’attaques, telles que les attaques de hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent dans votre réseau. Chaque occurrence est considérée comme une observation. Les recherches de perception pour les observables doivent être configurées pour vos magasins de journaux ou Gestion des informations et événements de sécurité (SIEM).

    Regardez cette vidéo de trois minutes pour apprendre à utiliser la fonctionnalité de recherche de perception pour localiser les utilisateurs victimes d’hameçonnage et suivre les observables d’hameçonnage et de programme malveillant dans le magasin de journaux sur votre réseau.

    Les termes suivants sont utilisés pour décrire les attaques de phishing signalées par les utilisateurs :
    • Utilisateur victime d’hameçonnage : utilisateur qui a reçu un e-mail d’hameçonnage.
    • Utilisateur victime : utilisateur qui a interagi avec l’URL d’hameçonnage, généralement en cliquant sur un lien dans l’e-mail d’hameçonnage. Cette action expose potentiellement les informations d’identification à l’attaquant.
    Lorsque vous commencez à analyser un incident de hameçonnage, vous pouvez effectuer une recherche de perceptions d’e-mails ou effectuer une recherche de perceptions d’observables pour identifier d’autres utilisateurs de votre organisation qui sont touchés par la même attaque de hameçonnage. Effectuez une recherche dans vos magasins de journaux pour identifier les utilisateurs victimes d’hameçonnage et les victimes. Une fois que vous avez identifié la liste des utilisateurs affectés, créez des incidents de sécurité enfants pour exécuter des procédures complètes de réponse aux incidents à l’aide des outils disponibles dans Réponse aux incidents de sécurité.
    Remarque :
    Vous pouvez également utiliser l’approche suivante pour effectuer une recherche d’observations :
    • Accédez à la Incidents de sécurité > Afficher tous les incidents et cliquez sur un incident de sécurité.
    • Cliquez sur Afficher l’IoC sous Liens connexes. Une liste d’observables s’affiche.
    • Sélectionnez un observable dans la liste, puis sélectionnez l’une des options suivantes dans la liste Actions :
      • Exécuter une recherche de perception de trafic sur le Web
      • Exécuter la recherche de perception du trafic d’e-mail
    • Spécifiez le délai et cliquez sur Rechercher pour effectuer une recherche d’observations.

    Configurations de recherche de perceptions enregistrées

    Configurez les recherches de perception et créez des configurations enregistrées pour les SIEM ou d’autres magasins de journaux pour les instances d’observables afin de déterminer la présence d’observables malveillants dans votre environnement.
    Remarque :
    Les recherches enregistrées et les requêtes sur place sont prises en charge uniquement pour l’intégration Splunk.

    Effectuer une recherche d’observations d’e-mails pour les attaques de phishing signalées par les utilisateurs

    Recherchez les utilisateurs qui ont reçu des e-mails de hameçonnage en vous basant sur des éléments observables tels que l’objet de l’e-mail, le nom de l’expéditeur ou l’ID de message. Vous pouvez ensuite contenir et éradiquer ces e-mails d’hameçonnage de votre organisation.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Effectuez une recherche dans les journaux de trafic de messagerie Splunk pour rassembler la liste des destinataires d’un e-mail suspect. La recherche peut être effectuée à l’aide de l’expéditeur de l’e-mail, de l’ID du message e-mail ou de l’objet de l’e-mail associé dans un incident de sécurité comme critères.
    Remarque :
    • Cette implémentation de la recherche de perceptions pour les observables basés sur l’e-mail a été testée uniquement avec le magasin de journaux Splunk Enterprise.
    • Les événements de journal Splunk doivent être conformes au modèle CIM (Common Information Model) pour que la requête de recherche d’observations renvoie des résultats précis.

    Procédure

    1. Pour afficher les incidents de sécurité affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle UI).
    2. Dans la liste Incidents de sécurité , sélectionnez l’un des filtres, tels que Tous les incidents ouverts, Tous les incidents qui vous sont affectés ou Tous les incidents.

      Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails de hameçonnage, cliquez sur l’un des filtres rapides.

      Incidents de sécurité
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      L’onglet Vue d’ensemble fournit une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

      Onglet Vue d'ensemble
    4. Cliquez sur l’onglet Explorer .
    5. Sous Données d’incident, accédez à Examen > Rechercher un e-mail et des observables.
      Recherche d'e-mail
    6. Développez la section Critères de recherche.
    7. Sélectionnez Recherche d’e-mail comme type de recherche que vous souhaitez exécuter, puis spécifiez le reste des critères de recherche.
      Tableau 1. Formulaire Critères de recherche
      Champ Description
      Intégrations Type d’intégrations. Sélectionnez Log Store dans la liste.
      Remarque :
      Cette fonctionnalité n’est prise en charge qu’avec le magasin de journaux Splunk.
      De Adresse e-mail complète de l’expéditeur (par exemple, jane.doe@example.com).
      ID de message ID de message d’e-mail provenant du magasin de journaux.
      Objet Objet de l’e-mail d’hameçonnage.
      Fenêtre de recherche Fenêtre temporelle de la recherche (par exemple, les dernières 24 heures).
    8. Dans la liste Sélectionner une action , sélectionnez Rechercher , puis cliquez sur Exécuter.

      La recherche s’effectue dans le magasin de journaux Splunk à l’aide des critères que vous saisissez, et les utilisateurs ciblés par l’attaque de phishing sont affichés dans l’onglet Résultats de recherche d’e-mail . Le nombre total d’e-mails d’hameçonnage et les détails de chaque e-mail, y compris la date de réception de l’e-mail, le destinataire et l’ID du message, sont affichés.

    9. Pour afficher la liste des utilisateurs ayant reçu l’e-mail d’hameçonnage, cliquez sur le symbole du > dans la colonne Date de recherche.
      Résultats de recherche d’e-mails
    10. Pour afficher une liste des utilisateurs ayant reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

      La colonne Utilisateur hameçonnage identifie les destinataires de l’e-mail.

      Remarque :
      La page Utilisateurs affectés affiche uniquement les enregistrements d’utilisateurs présents sur l’instance ServiceNow.
    11. Pour en savoir plus sur les utilisateurs qui sont la cible de l’attaque de phishing, procédez comme suit :
      1. Cochez les cases situées en regard des noms d’utilisateur.
      2. Dans la liste, sélectionnez Créer un incident de sécurité enfant, puis cliquez sur Exécuter.
      Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

    Résultats

    La liste des utilisateurs hameçonnés s’affiche.

    Effectuer une recherche d’observations observables pour les attaques de hameçonnage et de programmes malveillants signalées par les utilisateurs

    Effectuez des recherches d’observations sur les observables pour savoir combien d’utilisateurs ont visité un site Web malveillant ou suspect au cours d’une période spécifique.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez effectuer une recherche de trafic réseau sur des observables tels que l’URL, l’hôte de destination ou l’adresse IP de destination associée à un incident de sécurité.
    Remarque :
    • Cette implémentation de la recherche de perceptions pour les observables a été testée uniquement avec le magasin de journaux Splunk Enterprise.
    • Les événements de journal Splunk doivent être conformes au modèle CIM (Common Information Model) pour que la requête de recherche d’observations renvoie des résultats précis.

    Procédure

    1. Pour afficher les incidents de sécurité qui sont affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle UI).
    2. Dans la liste Incidents de sécurité , sélectionnez un autre filtre, par exemple Tous les incidents qui me sont affectés, Tous les incidents ouverts ou Tous les incidents.

      Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails de hameçonnage, cliquez sur l’un des filtres rapides.

      Incidents de sécurité
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Vous pouvez voir une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

      Onglet Vue d'ensemble

      Dans la section Observables, notez que la colonne Observable affiche l’adresse e-mail, l’objet et l’URL. Notez également que la colonne Résultat indique que l’URL a été automatiquement analysée lors de l’envoi de l’e-mail d’hameçonnage et qu’il a été déterminé qu’il s’agissait d’une URL malveillante connue. La colonne Nombre d’incidents affiche les autres incidents qui partagent le même observable. Ces artefacts indiquent que vous êtes probablement prêt à passer aux procédures de maîtrise de cette attaque de hameçonnage, notamment en déterminant combien d’utilisateurs de l’organisation ont été affectés.

      Observables

    4. Accédez à la Explorer > Examen > Rechercher un e-mail et des observables.
    5. Développez la section Search Criteria (Critères de recherche) et cliquez sur Observable Search (Recherche d’observables).
      Recherche d’observables
    6. Saisissez l’observable que vous recherchez et une fenêtre temporelle pour la recherche (par exemple, Dernières 24 heures).
    7. Dans la liste Sélectionner une action , sélectionnez Rechercher.
      Le magasin de journaux Splunk est recherché à l’aide des critères que vous avez saisis et les utilisateurs clés ciblés par l’attaque malveillante sont affichés dans l’onglet Résultats de recherche d’observables .Résultats de la recherche d’observables
    8. Pour afficher les utilisateurs qui ont reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

      La colonne Utilisateur d’hameçonnage identifie les destinataires de l’e-mail d’hameçonnage et la colonne Interaction de l’utilisateur identifie les utilisateurs qui ont cliqué sur une URL d’hameçonnage ou interagi avec une adresse e-mail suspecte. La colonne Interaction de l’utilisateur est définie sur vrai ou faux, selon que l’utilisateur a cliqué sur le lien ou l’adresse IP malveillante.

      Remarque :
      La page Utilisateurs affectés affiche uniquement les enregistrements d’utilisateurs présents sur l’instance ServiceNow.
    9. Pour enquêter plus en détail sur les utilisateurs qui ont cliqué sur l’e-mail d’hameçonnage et potentiellement compromis leurs informations d’identification :
      1. Dans les colonnes Utilisateur victime d’hameçonnage et Interaction de l’utilisateur, cochez les cases situées en regard des noms d’utilisateur qui affichent vrai.
      2. Cliquez sur Créer un incident de sécurité enfant , puis sur Exécuter.
        Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

    Résultats

    La liste des utilisateurs hameçonnés s’affiche.

    Créer des enregistrements de configuration de recherche d’observations

    Créez plusieurs enregistrements de configuration de recherche de perceptions et utilisez-les lors de l’interrogation de plusieurs magasins de journaux ou de la modification des paramètres de recherche.

    Avant de commencer

    Rôle requis : sn_si.admin

    • Le module complémentaire CIM doit être installé sur l’instance Splunk.
    • Les recherches enregistrées et les requêtes sur place sont prises en charge uniquement pour l’intégration Splunk.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez également créer des enregistrements de configuration de recherche de perceptions pour appeler des recherches enregistrées dans le magasin de journaux d’entreprise Splunk.
    Remarque :
    Les requêtes de configuration de recherche reposent sur les données de journal Splunk pour être conformes au modèle CIM (Common Information Model) Splunk.
    Avec les configurations de recherche enregistrées, vous pouvez :
    • Créez des recherches personnalisées qui combinent plusieurs enregistrements d’événements.
    • Concevez des recherches efficaces et efficientes.
    • Utilisez des entrées paramétrées dans la recherche enregistrée Splunk.

    Le système de base inclut les exemples de configurations illustrées dans l’image ci-dessous :

    Figure 1. Configurations de recherche enregistrées
    Configuration de recherche
    Les requêtes de recherche enregistrées et de configuration sur place sont des exemples de requêtes et peuvent être remplacées par des paramètres appropriés pour votre environnement. Créez des configurations de recherche enregistrées supplémentaires selon vos besoins. Lorsque vous définissez une configuration de recherche enregistrée, le nom et les paramètres de la requête de recherche doivent correspondre à la configuration enregistrée définie sur votre instance Splunk. Si le nom et les paramètres ne sont pas les mêmes, il se peut que vous ne voyiez pas de résultats précis lorsque vous effectuez une recherche d’observations.
    Remarque :
    Sur votre instance Splunk, accédez à la page Recherches, rapports et alertes et localisez votre requête de recherche enregistrée. Cliquez sur le lien Autorisations pour accéder à la page Autorisations. Sélectionnez la case d’option Toutes les applications et activez l’option Autorisation de lecture pour tout le monde. Cela changera la valeur de la colonne Partage de Privé à Application pour votre requête de recherche enregistrée. Si cette option n’est pas définie, la requête de recherche enregistrée peut ne pas renvoyer de résultats.

    Pour vérifier si la configuration de recherche enregistrée correspond à la configuration définie sur votre instance Splunk :

    1. Accédez à la Paramètres > Recherches, rapports et alertes.
    2. Remplacez le contexte de l’application par Tous.

      Une liste des rapports de recherche s’affiche.

    3. Vérifiez que la requête de recherche enregistrée figure bien dans la liste.
    Par exemple, le formulaire Configuration de la recherche de perceptions contient l’adresse e-mail et l’expéditeur d’e-mail comme paramètres de recherche :
    Figure 2. Formulaire Configuration de la recherche de perceptions
    Configuration enregistrée

    Dans votre instance Splunk, définissez la recherche enregistrée avec le même nom, Recherche enregistrée par défaut - E-mails, et les mêmes paramètres de recherche pour l’adresse e-mail et l’objet de l’e-mail. Si le nom et les paramètres de recherche ne sont pas les mêmes, la recherche de perceptions ne génère pas de résultat précis.

    Procédure

    1. Accédez à la Security Operations > Intégrations > Configuration de la recherche de perceptions et créez un nouvel enregistrement (voir la table des descriptions de champ).
      Tableau 2. Formulaire Configuration de la recherche de perceptions
      Champ Description
      Nom Nom de la configuration.
      Est une recherche enregistrée Si vous sélectionnez cette option, la configuration de recherche enregistrée est créée.
      Source de recherche de perceptions Source de la recherche d’observations. Sélectionnez le magasin de journaux Splunk comme source.
      Actif Option pour l’état de recherche enregistré. Seules les configurations de recherche actives peuvent être utilisées pour effectuer une recherche d’observations.
      Type d'observable Le type d’observable peut être n’importe quel type d’observable tel que l’adresse IP, la valeur de hachage, l’URL, le nom de domaine, etc.
      Nombre maximum d'observables par recherche Nombre maximal d’observables à renvoyer à partir de la recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par le magasin de journaux Splunk.
    2. Cliquez sur Envoyer.

    Résultats

    Vous avez créé un enregistrement de configuration de recherche de perceptions.

    Que faire ensuite

    Après avoir défini la requête de recherche, cliquez sur Générer une requête de test de recherche de détections, puis spécifiez une liste de valeurs observables pour générer une requête de test en fonction de cette configuration de recherche enregistrée.