Ce document décrit comment créer un fichier de signature d'indication de compromission (IOC) via l'éditeur IOC Mandiant, comment le télécharger sur le tableau de bord Cisco FireAMP et comment lancer une analyse IOC de point d'extrémité.
Cisco vous recommande de disposer d'au moins un gigaoctet d'espace libre avant d'essayer d'exécuter les analyses IOC des points d'extrémité.
Les informations de ce document sont basées sur le scanner IOC des points d'extrémité, disponible dans les versions 4.0.2 et ultérieures du connecteur Windows Cisco FireAMP.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La fonction de scanner IOC des points de terminaison est un puissant outil de réponse aux incidents qui est utilisé pour analyser les indicateurs de post-compromission sur plusieurs ordinateurs.
Le fichier de signature du CIO est un schéma XML extensible pour la description des caractéristiques techniques qui identifient une menace connue, une méthodologie d'attaque ou toute autre preuve de compromission.
Vous pouvez importer des IOC de point de terminaison via la console à partir de fichiers OpenIOC écrits afin de déclencher des propriétés de fichier telles que le nom, la taille et le hachage, ainsi que d'autres attributs et propriétés système tels que les informations de processus, les services en cours d'exécution et les entrées du Registre Microsoft Windows. La syntaxe IOC peut être utilisée par les intervenants en cas d'incident afin de trouver des artefacts spécifiques ou dans le but d'utiliser la logique pour créer des détections sophistiquées et corrélées pour les familles de programmes malveillants.
Vous devez effectuer trois étapes pour exécuter une analyse sur un fichier de signature IOC :
Ces étapes sont développées dans les sections suivantes.
Complétez ces étapes afin de créer un fichier de signature IOC :
Pour effectuer une analyse, vous devez télécharger un fichier IOC sur le tableau de bord FireAMP. Vous pouvez utiliser un fichier de signature IOC, un fichier XML ou une archive zip contenant plusieurs fichiers IOC. Le tableau de bord décompresse et analyse le fichier avec les signatures IOC. Vous êtes averti si une syntaxe incorrecte ou une propriété non prise en charge est utilisée.
Complétez ces étapes afin de télécharger le fichier de signature IOC sur le tableau de bord FireAMP :
Après avoir téléchargé un fichier de signature, effectuez une analyse complète. La première analyse doit être une analyse complète car elle doit créer un catalogue de métadonnées pour l'ensemble de l'ordinateur, ce qui peut prendre entre 1 et 2 heures. Vous pouvez effectuer une analyse Flash après avoir catalogué le système à l'aide d'une analyse complète.
Vous pouvez utiliser deux méthodes différentes pour exécuter une analyse IOC. La première méthode consiste à effectuer une analyse immédiate à partir d'un événement ou du tableau de bord. Cela se déclenche la prochaine fois qu'un ordinateur envoie une pulsation au cloud.
La deuxième méthode consiste à créer une analyse IOC de point de terminaison planifiée à partir du menu Contrôle des attaques du tableau de bord. Cette option peut être idéale lorsque vous souhaitez effectuer des analyses pendant les heures creuses. Vous devez fournir les informations d'identification d'un compte disposant d'une autorisation sur l'ordinateur donné afin de créer des tâches planifiées et d'autoriser l'autorisation de stratégie de groupe Connexion en tant que lot.
Lorsque vous planifiez une analyse IOC de point de terminaison, ce message d'avertissement apparaît :
La prochaine fois que votre ordinateur envoie une pulsation et que vos informations d'identification sont valides, vous devriez voir un travail similaire à celui-ci dans le Planificateur de tâches Windows :
Au début de l'analyse, ce message s'affiche :
Une fois l'analyse terminée, vous pouvez afficher le résumé de détection IOC du point de terminaison. Cet exemple montre une correspondance pour le fichier de signature IOC test.txt :
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
08-Apr-2015 |
Première publication |