78
Splunk ® Enterprise Security 4.7.0 Manuel de l'utilisateur Généré : 20/4/2017 09:41 Copyright (c) 2017 Splunk Inc. All Rights Reserved
Splunk® Enterprise Security 4.7.0
Manuel de l'utilisateur
Généré : 20/4/2017 09:41
Copyright (c) 2017 Splunk Inc. All Rights Reserved
44
555
7
7
10
12
1313131416
171819
19
202022
232324
2626
27
Table of ContentsIntroduction
À propos de Splunk Enterprise Security
Examen des incidentsPrésentation d'Examen des incidents dans Splunk Enterprise SecurityTriage des événements notables dans Examen des incidents dansSplunk Enterprise Security.Investigation sur un événement notable dans Examen des incidentsdans Splunk Enterprise Security.Prise de mesures vis-à-vis d'un événement notable dans Examen desincidents dans Splunk Enterprise Security.Actions de réponse adaptative incluses dans Splunk EnterpriseSecurityComment l'urgence est attribuée à des événements notables dansSplunk Enterprise Security.
InvestigationsInvestigations dans Splunk Enterprise SecurityDémarrage d'une investigation dans Splunk Enterprise SecurityAjout de détails à une investigation dans Splunk Enterprise SecurityApport de modifications à une investigation dans Splunk EnterpriseSecurityCollaboration sur une investigation dans Splunk Enterprise SecurityExamen d'une investigation dans Splunk Enterprise Security.Partage ou impression d'une investigation dans Splunk EnterpriseSecurityConsultation de votre historique d’actions dans Splunk EnterpriseSecurity
Analyse des risquesAnalyse des risques dans Splunk Enterprise SecurityCréation d'une entrée de risque ad hoc dans Splunk EnterpriseSecurity
Glass TablesCréation d'une glass table dans Splunk Enterprise SecurityGestion d'une glass table dans Splunk Enterprise Security
Présentation des tableaux de bordIntroduction aux tableaux de bord disponibles dans Splunk EnterpriseSecurityPersonnalisation des tableaux de bord de Splunk Enterprise Security
27
30303036384248505456576163646971
7676
en fonction de votre cas d'usageIndicateurs clés dans Splunk Enterprise Security
Référence des tableaux de bordTableau de bord Position de sécuritéTableaux de bord AuditTableau de bord Analyse prédictiveTableaux de bord AccèsTableaux de bord TerminalTableaux de bord Actif et identité.Tableaux de bord Inspecteur d'actifs et d'identitésSurveillance de l'activité des utilisateursAnalyse des risquesTableaux de bord RéseauTableaux de bord Centre Web et Modifications de réseauTableau de bord Outil de suivi des ports et des protocolesTableaux de bord Renseignement sur les protocoles.Tableaux de bord Renseignement sur les menaces.Tableaux de bord Intelligence Web.
Extensions inclusesAffichage des données à partir de Splunk UBA dans EnterpriseSecurity
Introduction
À propos de Splunk Enterprise Security
Splunk Enterprise Security permet au spécialiste de la sécurité de comprendre les menaces relatives à la sécuritéque l'on rencontre de nos jours dans l'infrastructure des entreprises Splunk Enterprise Security s’appuie sur laplate-forme de renseignement opérationnel Splunk et utilise les capacités de recherche et de corrélation, pourpermettre aux utilisateurs de capturer, surveiller et signaler des données provenant de périphériques, systèmes etapplications de sécurité. Lorsque les problèmes sont identifiés, les analystes de la sécurité peuvent rapidementenquêter et résoudre les menaces de sécurité sur les domaines d'accès, terminaux et de protection du réseau.
Accès à Splunk Enterprise Security
1. Ouvrez un navigateur Web et accédez à Splunk Web.2. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.3. Dans la liste Apps, cliquez sur Enterprise Security.
Pour commencer
Commencer avec une introduction au tableau de bord disponible dans Splunk Enterprise SecurityAccès à une présentation d'Examen des incidents dans Splunk Enterprise SecurityEn savoir plus à propos des Investigations dans Splunk Enterprise SecurityAnalyse des risques dans Splunk Enterprise SecurityCréation d'une glass table dans Splunk Enterprise Security
Si vous êtes un administrateur Splunk Enterprise Security, accédez à Administration de Splunk Enterprise Securitypour obtenir la documentation propre à vos workflows d'administrateur.
4
Examen des incidents
Présentation d'Examen des incidents dans Splunk EnterpriseSecurity
Le tableau de bord Examen des incidents affiche les événements notables et leur état actuel.
Un événement notable représente un ou plusieurs incidents anormaux détectés par une recherche de corrélationsur les données source. Par exemple, un événement notable peut représenter :
L'occurrence répétée d'un pic d'anomalies dans l'utilisation du réseau pendant une certaine périodeUne occurrence unique d'accès non autorisé à un systèmeUn hôte communiquant avec un serveur figurant sur une liste de menaces connues
En tant qu'analyste, vous pouvez utiliser le tableau de bord pour explorer la gravité des événements qui surviennentsur votre système ou réseau. Vous pouvez utiliser le tableau de bord pour trier de nouveaux événements notables,affecter des événements à des analystes en vue d'un examen et examiner les détails d'un événement notable pourdes pistes d'investigation.
En tant qu'administrateur, vous pouvez gérer personnaliser les paramètres d'Examen des incidents et desévénements notables. Consultez Gestion de l’examen des incidents dans Splunk Enterprise Security pour plusd'informations sur les activités d'administrateur.
Comment Splunk Enterprise Security identifie les événements notables
Splunk Enterprise Security détecte des patterns dans vos données et examine automatiquement les événementspour rechercher des incidents relatifs à la sécurité à l'aide des recherches de corrélation. Lorsqu'une recherchede corrélation détecte un pattern suspect, elle crée un nouvel événement notable.
Le tableau de bord Examen des incidents fait apparaître tous les événements notables et les classe par gravitépotentielle afin que vous puissiez rapidement trier, affecter et suivre les problèmes.
Workflow de l'examen des incidents
Vous pouvez utiliser cet exemple de workflow pour trier et travailler avec des événements notables dans le tableaude bord Examen des incidents.
1. Un analyste administrateur surveille le tableau de bord Examen des incidents, trie et exécute un triage dehaut niveau sur les nouveaux événements notables créés.
2. Lorsqu'un événement notable nécessite une investigation, l'analyste administrateur affecte l'événement à unanalyste examinateur pour lancer une investigation sur l'incident.
3. L'analyste examinateur fait passer l'état de l'événement de Nouveau à En cours, et commence à enquêtersur la cause de l'événement notable.
4. L'analyste examinateur recherche et collecte des informations sur l'événement a l'aide des champs et desactions de champ dans l'événement notable. L'analyste enregistre les détails de ses recherches dans lechamp Commentaires de l'événement notable. Dans le cadre de la recherche, l'analyste peut exécuter desactions de réponse adaptative. Si la recherche montre que l'événement notable nécessite une investigationplus approfondie, l'analyste peut affecter l'événement notable à une investigation.
5. Une fois que l'analyste examinateur a résolu la cause de l'événement notable et que toutes les tâchesd'assainissement ont été exécutées les unes après les autres ou résolues, il fait passer l'état de l'événementnotable sur Résolu.
6. L'analyste affecte l'événement notable à un analyste final en vue d'une vérification.7. L'analyste final examine et valide les modifications apportées pour résoudre le problème et définit l'état sur
Fermé.
Triage des événements notables dans Examen des incidents dansSplunk Enterprise Security.
Utilisez le tableau Examen des incidents dans le cadre de votre workflow de triage des incidents. Vous pouvezsurveiller les événements notables et les mesures que prennent les analystes pour résoudre les problèmes qui ontdéclenché un événement notable.
Accélération du triage à l'aide de libellés et de filtres
Accélérez le triage des événements notables à l'aide de filtres de recherche, de libellés et de tris. Par exemple,
5
concentrez-vous sur des groupes d'événements notables ou un événement notable individuel avec le sélecteur defiltres de recherche et de plage temporelle. Les événements notables contiennent les champs Urgence, État etPropriétaire pour vous aider à classer, suivre et affecter des événements.
Simplifiez la recherche et ajoutez des identificateurs à des événements notables à l'aide de libellés. Cliquez surModifier libellés dans le menu des actions de champ d'un champ d'événement notable, tel que Titre, État ouPropriétaire pour ajouter de nouveaux libellés ou en modifier. Après avoir créé un libellé, vous pouvez l'utiliserpour filtrer le tableau de bord.
Vous pouvez filtrer des événements notables créés par la même recherche de corrélation à l'aide du filtre Nom dela recherche de corrélation pour saisir le nom de la recherche de corrélation qui a créé un événement notable.Les noms de recherche de corrélation s'affichent au fur et à mesure que vous tapez pour vous permettre de faire unchoix.
Saisissez SPL dans le filtre Rechercher pour faire une recherche dans les détails des événements notables dansExamen des incidents.
Si vous avez ajouté des événements à des investigations ou généré des ID courts pour partager des événementsnotables avec d'autres analystes, vous pouvez les filtrer à l'aide du filtre Associations pour rapidement afficher lesévénements notables associés à une investigation spécifique ou l'événement notable représenté par l’identifiantcourt.
Si vous souhaitez afficher une vue filtrée d'Examen des incidents par défaut, demandez à votre administrateur ESde modifier le menu de navigation dans Enterprise Security pour établir un lien direct vers une vue filtrée. ConsultezAjout d'un lien vers une vue filtrée d'Examen des incidents Administration de Splunk Enterprise Security.
Affectation d'événements notables.
Vous pouvez affecter un ou plusieurs événements à la fois.
1. Sélectionnez un événement notable.2. Cliquez sur Modifier la sélection.3. Sélectionnez un Propriétaire à qui affecter les événements. Ou cliquez sur Affecter à moi pour vous attribuer
les événements.4. Enregistrez vos modifications.
Les propriétaires ne sont pas affectés par défaut et vous pouvez affecter des événements notables à n'importe quelutilisateur ayant un rôle administrateur, ess_admin ou ess_analyst. Pour plus informations sur les rôlesd'utilisateurs, consultez Configuration des utilisateurs et des rôles dans le Manuel d'installation et de mise à niveau.
Si vous utilisez une authentification SAML, la mise à jour de la liste des utilisateurs auxquels vous affectez desévénements notables peut prendre jusqu'à 10 minutes.
Mise à jour de l'état d'un événement notable
Les nouveaux événements notables ont l'état Nouveau. Lorsque les analystes trient et déplacent un événementnotable dans le workflow d'examen des incidents, le propriétaire peut mettre à jour l'état de l'événement notable afinde refléter les mesures prises pour résoudre l'événement.
1. Sélectionnez un ou plusieurs événements, puis cliquez sur Modifier tous les éléments sélectionnés. Poureffectuer des actions sur tous les événements affichés, cliquez sur Modifier tous les ## élémentscorrespondants.
2. Dans la fenêtre Modifier les événements, mettez à jour les champs afin de refléter vos actions.3. (optionnel) Ajoutez un Commentaires pour décrire les mesures que vous prenez.4. Enregistrez les modifications.
Remarque : Si vos modifications ne sont pas immédiatement visibles, vérifiez les filtres du tableau de bord. Parexemple, si le filtre est configuré sur « Nouveau » après que vous avez modifié un événement en « En cours »,l'événement que vous avez mis à jour ne s'affiche pas.
Si votre administrateur ES a personnalisé le tableau de bord Examen des événements, vous pouvez être invité àsaisir les commentaires lors de la mise à jour d'un événement notable. Consultez Personnalisation des examensdes incidents dans Splunk Enterprise Security pour plus d'informations sur la manière dont les administrateurspeuvent personnaliser les méthodes d'affichage et d'interaction des analystes avec les événements notables.
Vous pouvez choisir parmi les états d'événement notable suivants.
État Description
6
Non attribué L'événement n'a pas été affecté à un propriétaire.
Nouveau État par défaut. L'événement n'a pas été examiné.
En cours Un propriétaire est en train d'enquêter sur l'événement.
En attente Une action doit se produire avant de pouvoir fermer l'événement.
Résolu Le propriétaire a résolu la cause de l'événement et est en attente de vérification.
Fermé La résolution de l'événement a été vérifiée.
Vous pouvez personnaliser le nom des états d'événements notables et la progression du workflow pour l'adapter àvos processus. Pour plus d'informations, consultez Gestion de l'état des événements notables.
Priorité des événements notables par urgence
Utilisez le niveau d'urgence d'un événement notable pour donner la priorité à l'examen d'un incident. Une urgenceest affectée à chaque événement notable. Les niveaux d'urgence peuvent être inconnu, faible, moyen, informatif,élevé ou critique.
Les niveaux d'urgence sont calculés à l'aide de la gravité de l'événement de la recherche de corrélation et de lapriorité de l'actif ou de l'identité impliqué dans l'événement. Consultez Comment l'urgence est attribuée à desévénements notables dans Splunk Enterprise Security.
Par défaut, les analystes de sécurité peuvent modifier l'urgence d'un événement notable. ConsultezPersonnalisation des examens des incidents dans Splunk Enterprise Security pour découvrir comment modifier lavaleur par défaut.
Investigation sur un événement notable dans Examen des incidentsdans Splunk Enterprise Security.
Lorsque vous avez fini de trier les événements notables, commencez votre investigation. Utilisez les champsdisponibles d'un événement notable pour évaluer l'urgence, les événements contributeurs et les scores de risqueassociés à l'événement notable.
Ouvrez les détails de l'événement pour en savoir plus sur un événement notable.
Examinez l'Historique pour consulter l'activité récente d'investigation sur un événement notable. Cliquez surAfficher toute l'activité récente de cet événement notable pour découvrir les commentaires des analystes,les modifications d'état et les autres activités de l'événement.Déterminez si l'événement notable fait partie d'une investigation existante en examinant la sectionInvestigations connexes. Cliquez sur le nom d'une investigation pour l'ouvrir.Consultez les recherches de corrélations générées par l'événement notable. Cliquez sur le nom de larecherche de corrélation pour effectuer des modifications ou pour examiner la recherche de corrélation etcomprendre pourquoi l'événement notable a été créé.Affichez les Événements contributeurs qui ont provoqué la création de l'événement notable.Examinez les scores de risque répertoriés pour les actifs et les identités impliquées dans un événementnotable. Cliquez sur un score de risque pour ouvrir le tableau de bord Analyse des risques filtré selon cet actifou identité.Si un événement original a créé un événement notable, vous pouvez voir les détails complets de l'événementoriginal.Examinez les Réponses adaptatives pour voir quelles actions de réponse adaptative ont été effectuées pourcet événement notable, si les actions ont été exécutées avec succès et explorez davantage de détails.Cliquez sur le nom de l'action de réponse pour voir les résultats potentiels générés par l'invocation de l'action.Cliquez sur Afficher les invocations de réponse adaptative pour voir les événements d'audit bruts desactions de réponses associées à cette recherche de corrélation. L'affichage des mises à jour dans cette tablepeut prendre jusqu'à cinq minutes.Examinez les Étapes suivantes pour voir si des étapes de triage d'événements notables sont définies.Cliquez sur Créer un ID court pour créer un ID court à partager avec d'autres analystes. Vous pouvezégalement partager un événement notable à l'aide d'un lien. Consultez Prise de mesures vis-à-vis d'unévénement notable dans Examen des incidents dans Splunk Enterprise Security.
Prise de mesures vis-à-vis d'un événement notable dans Examendes incidents dans Splunk Enterprise Security.
Dans Examen des incidents, vous pouvez supprimer ou partager un événement notable, ajouter un ou plusieurs
7
événements notables à une investigation, analyser le risque que pose un actif ou une identité pour votreenvironnement ou enquêter sur un champ de manière plus approfondie dans un autre tableau de bord.
Exécution d'une action de réponse adaptative
En fonction des détails d'un événement notable, vous pouvez exécuter une action de réponse adaptative afin derassembler davantage d'informations, de prendre une mesure sur un autre système, d'envoyer des informations àun autre système ou modifier un score de risque ou autre chose.
Condition requiseCertaines actions de réponse adaptative nécessitent l'usage d'un magasin d'identifiants pour se connecter à uneapplication ou à un système tiers. Pour exécuter ces actions avec succès, vous devez disposer de la capacitélist_storage_passwords.
Étapes
1. À partir d'un événement notable, sélectionnez la flèche pour développer la colonne Actions.2. Cliquez sur Exécuter des actions de réponse adaptative.3. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez une action de réponse adaptative dans
la liste. Vous pouvez utiliser le filtre de catégorie ou une recherche pour réduire le nombre d'actions que vouspouvez sélectionner.
4. Renseignez les champs du formulaire de l'action de réponse. Utilisez le nom du champ pour spécifier unchamp, plutôt que le nom qui s'affiche dans Examen des incidents. Par exemple, saisissez « src » au lieu de « Source » pour spécifier le champ de source d'une action.
5. Cliquez sur Exécuter.
Vous pouvez consulter l'état de l'action de la réponse dans les détails de l'événement notable. Consultez les nomsdes champs originaux affichés dans Examen des incidents du panneau Examen des incidents - Attributs del'événement du tableau de bord Paramètres d'examen des incidents.
Les extensions Adblock de votre navigateur peuvent provoquer l'échec des actions de réponse. Ajoutez le nom devotre hôte Splunk Enterprise Security à la liste blanche des sites pour l'extension Adblock.
Consultez Actions de réponse adaptative incluses dans Splunk Enterprise Security pour plus d'informations sur lesdifférentes actions de réponse adaptative incluse dans Splunk Enterprise Security.
Partage ou marquage d'un événement notable
Vous pouvez partager un événement notable avec un autre analyste à l'aide d'un ID court ou d'un lien.
1. Dans les actions d'événements, cliquez sur Partager un événement notable. Enterprise Security crée un ID court pour l'événement notable et affiche un lien que vous pouvez copier etpartager avec un analyste. Vous pouvez également enregistrer le lien sous forme d'un signet en faisantglisser l'icône du signet dans la barre d'outils des signets de votre navigateur Web.
Vous ne pouvez pas partager un événement notable à partir du tableau de bord Rechercher.
Analyse des risques d'un actif ou d'une identité
Vous pouvez analyser le risque que pose un actif ou une identité pour votre environnement dans le tableau de bordExamen des incidents.
1. Ouvrez les détails de l'événement.2. Examinez le score de risque en regard des champs d'actifs ou d'identités tels que src ou hôte.3. Cliquez sur le score de risque pour ouvrir le tableau de bord Analyse des risques filtré selon cet actif ou
identité.
Tous les actifs et identités n'affichent pas un score de risque. Les scores de risque qui s'affichent pour un actif ouune identité dans Examen des incidents peuvent ne pas correspondre aux scores de risque du tableau de bordAnalyse des risques de cet objet de risque. Pour plus d'informations, consultez Comment les scores de risque sontaffichés dans Examen des incidents dans Administration de Splunk Enterprise Security.
Ajout d'un événement notable à une investigation
Enquêtez sur les événements notables qui pourraient faire partie d'un incident de sécurité en les ajoutant à uneinvestigation.
Ajout d'un événement notable à une investigation
1. Ajoutez un ou plusieurs événements notables à une investigation.
8
1. Ajoutez un événement notable unique en sélectionnant Ajouter un événement à une investigationdans Actions d'événement.
2. Ajoutez plusieurs événements notables en cochant les cases en regard de ceux-ci et cliquez surAjouter les éléments sélectionnés à l'investigation.
2. Sélectionnez une investigation à laquelle ajouter les événements notables. Si vous avez sélectionné uneinvestigation dans la barre d'investigation, celle-ci est sélectionnée par défaut.
3. Cliquez sur Enregistrer.4. Après avoir ajouté avec succès un ou plusieurs événements notables à l'investigation, cliquez sur Fermer.
Ajout d'un événement notable à une nouvelle investigation
1. Sélectionnez un ou plusieurs événements notables et cliquez sur Ajouter les éléments sélectionnés àl'investigation.
2. Cliquez sur Créer une investigation pour démarrer une nouvelle investigation.3. Saisissez un titre pour l'investigation.4. (optionnel) Saisissez une description.5. Cliquez sur Enregistrer pour enregistrer l'investigation.6. Cliquez sur Enregistrer pour ajouter le ou les événements notables à l'investigation. Cliquer sur Annuler ne
permet pas d'ajouter les événements notables sélectionnés, mais la nouvelle investigation est encore créée.7. Après avoir ajouté avec succès un ou plusieurs événements notables à l'investigation, cliquez sur Fermer.
Consultez Investigations dans Splunk Enterprise Security pour plus informations.
Après que vous avez ajouté un événement notable à une investigation, vous pouvez filtrer cette investigation parévénement notable dans le tableau de bord Examen des incidents à l'aide du filtre Association, ou afficherl'investigation dans les détails de l'événement notable.
Investigation approfondie sur un champ
Prenez des mesures sur un champ spécifique, tel que host, src, src_ip, dest ou dest_ip. Vous pouvez prendredifférentes mesures en fonction du champ que vous sélectionnez.
Libellez les champs en sélectionnant Modifier libellés.Enquêtez sur un actif en sélectionnant Inspecteur d'actifs pour ouvrir le tableau de bord Inspecteur d'actifsfiltré en fonction de l'actif.Recherchez des événements relatifs aux accès pour trouver une adresse IP de destination spécifique ensélectionnant Recherche d'accès (comme destination).Recherchez un domaine en sélectionnant Dossier du domaine.Recherchez d'autres événements notables de signatures de logiciels malveillants correspondantes ensélectionnant Recherche des événements notables.
Suppression d'un événement notable
Masquez des événements notables du tableau de bord Examen des incidents en les supprimant. La création d'unesuppression d'événement notable ne modifie pas le nombre d'événements sur les tableaux de bord Audit etPosition. Consultez Création et gestion de suppressions d'événement notable pour plus de détails.
1. Sélectionnez un événement notable dans le tableau de bord Examen des incidents.2. Dans le menu Actions, sélectionnez Supprimer des événements notables.3. Saisissez un Nom de suppression.
Par exemple, Nombre_excessif_d'échecs_de_connexion.
4. (optionnel) Fournissez une raison pour la suppression à l'aide du champ Description.5. (optionnel) Configurez une plage de dates. Une fois la limite temporelle atteinte, le filtre de suppression expire
et cesse de masquer les événements.6. Examinez les Champs sélectionnés pour valider les champs dont vous souhaitez supprimer des
événements notables. Par exemple le champ src
9
7. (optionnel) Cliquez sur modifier pour modifier les champs d'événements notables utilisés pour lasuppression.
8. Enregistrez les modifications.
Cet exemple de suppression d'événements notables masque tous les événements notables créés après le 10 juin2016 et qui contiennent un champ src=_jdbc_ d'Examen des incidents.
Vous ne pouvez pas supprimer des événements notables du tableau de bord Rechercher.
Actions de réponse adaptative incluses dans Splunk EnterpriseSecurity
Splunk Enterprise Security comprend plusieurs actions de réponse adaptative que vous pouvez exécuter sur unévénement notable à partir d'Examen des incidents.
Modification d'un score de risque à l'aide d'un modificateur de risqueDémarrage d'une capture de flux à l'aide de Splunk StreamObtention du ping d'un hôteExécution de Nbtstat.Exécution de NslookupAjout de renseignements sur les menaces
Remarque : Les administrateurs ES peuvent configurer le déclenchement de ces actions supplémentaires deréponse adaptative par des recherches de corrélation. Consultez Configuration des actions de réponse adaptativepour une recherche de corrélation dans Splunk Enterprise Security dans Administration de Splunk EnterpriseSecurity.
Modification d'un score de risque à l'aide d'un modificateur de risque
Modifiez un score de risque comme résultat d'une recherche de corrélation ou en réponse aux détails d'unévénement notable avec l'action de réponse adaptative Analyse des risques. L'action de réponse adaptative durisque crée un événement modificateur de risque. Vous pouvez consulter les événements modificateurs de risquedans le tableau de bord Analyse des risques d'Enterprise Security.
1. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Analyse des risques.2. Saisissez le score à attribuer à l'objet de risque.3. Saisissez un champ dans la recherche à laquelle appliquer le score de risque pour le Champ de l'objet de
risque. Par exemple, saisissez « src » pour spécifier le champ source.
4. Sélectionnez le Type d'objet de risque auquel appliquer le score de risque.
Exécuter un script
Exécutez un script stocké dans $SPLUNK_HOME/bin/scripts.
1. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Exécuter un script.2. Saisissez le nom de fichier du script.
Vous pouvez trouver davantage d'informations à propos des alertes de script dans la documentation de la plate-10
forme Splunk.
Pour Splunk Enterprise, consultez Configuration d'alertes de script dans le Manuel des alertes de SplunkEnterprise.Pour Splunk Cloud, consultez Configuration d'alertes de script dans le Manuel des alertes de Splunk Cloud.
Démarrage d'une capture de flux à l'aide de Splunk Stream
Démarrez une capture Stream pour capturer des paquets sur les adresses IP des protocoles sélectionnés pendantla période que vous avez choisie. Vous pouvez afficher les résultats de la session de capture dans les tableaux debord Renseignement sur les protocoles.
Une capture de flux ne fonctionne que si vous avez intégré Splunk Stream à Splunk Enterprise Security. ConsultezIntégration de Splunk Stream.
1. Cliquez sur Ajout d'une nouvelle action de réponse et sélectionnez Capture de flux pour démarrer unecapture de paquets en réponse à un résultat de la recherche de corrélation.
2. Saisissez une Description pour décrire le flux créé en réponse aux résultats de la recherche de corrélation.3. Saisissez une Catégorie pour définir le type de capture de flux. Vous pouvez afficher les flux par catégorie
dans Splunk Stream.4. Saisissez des champs d'événements séparés par des virgules pour rechercher des adresses IP pour la
capture du flux. Le premier champ non nul est utilisé pour la capture.5. Saisissez une liste de protocoles à capturer séparés par des virgules.6. Sélectionnez une Durée de capture pour définir la longueur de la capture des paquets.7. Saisissez une Limite de capture de flux pour limiter le nombre de captures de flux démarrées par la
recherche de corrélation.
Obtention du ping d'un hôte
Déterminez si un hôte est encore actif sur le réseau en obtenant le ping de l'hôte.
1. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Ping.2. Saisissez le champ d'événement qui contient l'hôte dont vous souhaitez obtenir le ping dans le Champ de
l'hôte.3. Saisissez le nombre maximum de résultats que le ping doit renvoyer. La valeur par défaut est 1.
Exécution de nbtstat
Apprenez en plus à propos d'un hôte et des services qu'il exécute en lançant nbstat.
1. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Nbstat.2. Saisissez le champ d'événement qui contient l'hôte pour lequel vous souhaitez exécuter nbstat dans le
Champ de l'hôte.3. Saisissez le nombre maximum de résultats que nbstat doit renvoyer. La valeur par défaut est 1.
Exécution de nslookup
Recherchez le nom de domaine d'une adresse IP, ou l'adresse IP d'un nom de domaine, en exécutant nslookup.
1. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Nslookup.2. Saisissez le champ d'événement qui contient l'hôte Pour lequel vous souhaitez exécuter nslookup dans le
Champ de l'hôte.3. Saisissez le nombre maximum de résultats que nslookup doit renvoyer. La valeur par défaut est 1.
Ajout de renseignements sur les menaces
Créez des artefacts de menaces dans une collection de menaces.
1. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Ajouter des renseignements sur lesmenaces.
2. Sélectionnez le Groupe de menaces auquel attribuer cet artefact.3. Sélectionnez la Collection de menaces dans laquelle insérer l'artefact de menace.4. Saisissez le Champ de recherche qui contient la valeur à insérer dans l'artefact de menace.5. Saisissez une Description de l'artefact de menace.6. Saisissez une Pondération associée à la liste de menaces. La valeur par défaut est 1.7. Saisissez le nombre de Résultats max. pour spécifier le nombre de résultats à traiter comme artefacts de
menace. Chaque valeur unique de champ de recherche compte pour un résultat. La valeur par défaut est 100.
11
Comment l'urgence est attribuée à des événements notables dansSplunk Enterprise Security.
Les événements notables se voient affecter un niveau d'urgence qui représente une combinaison de la gravité de larecherche de corrélation et du niveau de priorité de l'identité ou de l'actif correspondant. Vous pouvez utiliser lechamp Urgence pour donner la priorité à l'investigation des événements notables.
Vous pouvez modifier quelles valeurs de gravité et de priorité produisent quelles valeurs d'urgence calculées pourdes événements notables dans Enterprise Security. Vous ne pouvez pas modifier le nom des valeurs d'urgence desévénements notables.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Configurer > Enrichissement des données >Listes/lookups.
2. Choisissez la lookup Niveaux d'urgence. Un tableau modifiable avec code couleur s'affiche, représentant lefichier de la lookup d'urgence.
3. Sur une ligne où priorité ou gravité est indiquée comme inconnue, examinez l'Urgence affectée.4. (optionnel) Modifiez le tableau et passez l'Urgence de inconnue à l'une des valeurs acceptées.5. Enregistrez les modifications
Remarque : Lors du calcul du niveau de gravité, un événement notable affiche par défaut une urgence « faible »lorsqu'un actif ou une identité est classée comme « inconnue ». La classification « inconnue » représente engénéral un objet qui n'a pas de correspondance dans le système des actifs et des identités.
Remarque : Il est possible d'affecter un niveau d'urgence inconnu à un événement notable si la valeur de gravitéaffectée par la recherche de corrélation ou un événement déclencheur n'est pas reconnue par Enterprise Security.Ceci indique une erreur dans la valeur de gravité fournie par la syntaxe de la recherche de corrélation. Vérifiez quela gravité de la recherche de corrélation est inconnue, informative, faible, moyenne, élevée ou critique.
12
Investigations
Investigations dans Splunk Enterprise Security
Visualisez et documentez les étapes que vous effectuez pendant une investigation en créant et en ajoutant desdétails à une investigations dans Splunk Enterprise Security.
Démarrez une investigation dans Splunk Enterprise Security.Ajoutez des détails à une investigation dans Splunk Enterprise Security.Apportez des modifications à une investigation dans Splunk Enterprise Security.Collaborez sur une investigation dans Splunk Enterprise Security.Analysez une investigation dans Splunk Enterprise Security.Partagez ou imprimez une investigation dans Splunk Enterprise Security.
Dans le tableau de bord Investigations, vous pouvez gérer et démarrer des investigations, puis leur ajouter desdétails. Affichez ou filtrez les investigations qui vous sont affectées ou créez-en une. Vous pouvez afficher toutes lesinvestigations auxquelles vous collaborez à l'aide du tableau de bord Investigations. Les administrateurs EnterpriseSecurity peuvent également afficher et gérer toutes les investigations qui existent dans Splunk Enterprise Security.Pour plus d'informations sur les administrateurs, consultez Gestion des investigations dans Splunk EnterpriseSecurity dans Administration de Splunk Enterprise Security.
En tant qu'analyste, vous ne pouvez voir que les investigations qui vous sont affectées, à moins que vous nedisposiez également de la capacité de gérer toutes les investigations.
Gestion de vos investigations
Gérez les investigations en cours à partir de la vue Investigation. Vous pouvez voir les titres, descriptions, heure decréation, heure de la dernière modification et collaborateurs de l'investigation qui vous est affectée. Si vous avez lacapacité de gérer toutes les investigations, vous pouvez voir l'ensemble de ces détails pour toutes lesinvestigations, et pas seulement pour les investigations auxquelles vous collaborez.
Recherchez une investigation ou affinez la liste des investigations par filtrage. Renseigner la zone Filtre pourrechercher les champs de titre et de description des investigations.
Exemple de workflow d'investigation
1. Vous êtes averti d'un incident de sécurité qui nécessite une investigation via un événement notable, uneaction d'alerte, e-mail, un ticket du service d'assistance ou un appel téléphonique.
2. Créez une investigation dans Splunk Enterprise Security.3. Si vous devez travailler avec quelqu'un d'autre sur l'investigation, ajoutez-le en tant que collaborateur.4. Enquêtez sur l'incident. Au cours de l’enquête, ajoutez des étapes utiles ou pertinentes à l'investigation.
1. Exécutez des recherches en ajoutant des recherches utiles à l'investigation à partir de votre historiqued’actions à l'aide de la barre d'investigations, ou des événements utiles à l'aide des actionsd’événements. À l'avenir, cela facilitera la réplication de votre travail, les investigations similaires et lacréation d'un dossier complet de votre processus d'investigation.
2. Filtrez les tableaux de bord afin de vous concentrer sur des éléments spécifiques tels que la réductionde la recherche à un couloir d'activité pour vous focaliser sur un actif ou une identité spécifique dans lestableaux de bord d'investigateur d'actif ou d'identité. À l'aide de la barre d'investigation, ajoutez àl’investigation des actions de filtrage pertinentes à partir de votre historique d'actions.
3. Triez et enquêtez sur les événements notables potentiellement concernés. Ajoutez des événementsnotables à l'investigation.
4. Ajoutez des notes pour enregistrer d'autres étapes d'investigation, telles que des notes provenant d'unappel téléphonique, d'un e-mail ou de conversation par messagerie, de liens vers des médias ou despublications de médias sociaux. Chargez des fichiers tels que des captures d'écran ou des fichiersd'investigation d'expertise.
5. Terminez l'investigation et ajoutez une note pour enregistrer un résumé de vos découvertes.
Démarrage d'une investigation dans Splunk Enterprise Security
Vous pouvez démarrer une investigation de plusieurs manières dans Splunk Enterprise Security.
Démarrez une investigation à partir d'Examen des incidents pendant le triage d'événements notables.Consultez Ajout d'un événement notable à une investigation.Démarrez une investigation à l'aide d'une action de workflow d'événement. Consultez Ajout d'un événementSplunk à une investigation.Démarrez une investigation à partir du tableau de bord Investigation.
13
Démarrez une investigation pendant la consultation d'un tableau de bord à l'aide de la barre d'investigation.
Par défaut, les utilisateurs disposant des rôles ess_admin et ess_analyst peuvent démarrer une investigation.
Démarrage d'une investigation à partir du tableau de bord Investigations
Démarrez une investigation à partir du tableau de bord Investigation.
1. Cliquez sur Créer une nouvelle investigation.2. Saisissez un titre.3. (optionnel) Saisissez une description.4. Cliquez sur Enregistrer.
Démarrage d'une investigation à partir de la barre d'investigation
Lors de l'affichage de tableaux de bord dans Splunk Enterprise Security, vous pouvez afficher une barred'investigation en bas de la page. Vous pouvez utiliser la barre d’investigation pour suivre la progression de votreinvestigation à partir de n'importe quelle page de Splunk Enterprise Security.
1. Cliquez sur l'icône pour créer une investigation.2. Saisissez un titre.3. (optionnel) Saisissez une description.4. Cliquez sur Enregistrer.
L’investigation est chargée dans la barre d'investigation.
Ajout de détails à une investigation dans Splunk Enterprise Security
En tant qu'analyste travaillant sur une investigation, ajoutez des détails et des preuves à votre investigation enajoutant des événements, des actions et des notes. Lorsque vous effectuez votre investigation à l'aide de SplunkEnterprise Security, vous pouvez ajouter des événements notables ou des événements Splunk qui apportent desinformations pertinentes à l'investigation. Ajoutez des recherches, des filtres de suppression et des vues de tableaude bord à l'investigation à partir de votre historique d'actions. Enregistrez les étapes importantes de l'investigationque vous effectuez, telles que des appels téléphoniques, des e-mails ou des conversations par messagerie sousforme de notes dans l'investigation. Vous pouvez utiliser les notes pour ajouter des informations pertinentes, tellesque des liens vers une couverture médiatique en ligne ou des tweets, ou charger des captures d'écran et lesfichiers.
Exécution d'une recherche rapide à partir de la barre d'investigation
Exécutez une recherche sans ouvrir de tableaux de bord de recherche en cliquant sur Recherche rapide dansla barre d'investigation.
Ajoutez la recherche à l'investigation dans la barre d'investigation en cliquant sur Ajouter à l'investigation.Utilisez les Actions d'événement pour ajouter des événements spécifiques aux résultats de la recherche àune investigation.Pour enregistrer les résultats de la recherche au moment de l'investigation, cliquez sur Exporter pour exporterles résultats de la recherche sous forme d'un fichier CSV. Ajoutez les résultats de la recherche sous formed'une pièce jointe à une note dans l'investigation.Cliquez sur Ouvrir dans la recherche pour afficher les résultats de la recherche dans le tableau de bordRechercher.Élargissez ou réduisez votre vue des résultats de la recherche en cliquant sur le coin de la fenêtre et en lefaisant glisser. Double-cliquez pour développer la vue de la recherche afin qu'elle recouvre l'essentiel del'écran ou double-cliquez à nouveau pour la réduire.
Ajout d'un événement notable à une investigation
Vous pouvez ajouter un événement notable à une investigation à partir du tableau de bord Examen des incidents.Consultez Ajout d'un événement notable à une investigation.
Si l'état d'un événement notable change, ou si une action de réponse adaptative est exécutée à partir del'événement notable, l'investigation est mise à jour avec ces informations.
Ajout d'un événement Splunk à une investigation
1. Développez les détails de l'événement pour afficher le menu Actions d'événement et d'autres informations.2. Cliquez sur Actions d'événement et sélectionnez Ajouter à l'investigation.
14
3. Un onglet s'ouvre. Sélectionnez une investigation ou créez-en une.4. Cliquez sur Enregistrer.
Ajout d'une entrée à une investigation à partir de votre historique d'actions
L'historique des actions conserve un historique des actions que vous avez effectuées dans Splunk EnterpriseSecurity, notamment les recherches que vous avez exécutées, les tableaux de bord que vous avez affichés et lesactions de filtrage par panneau que vous avez effectuées.
Ajoutez une entrée à partir de votre historique d'action à une investigation à partir d'un tableau de bord à l'aide de labarre d'investigation. Vous pouvez filtrer les éléments de l'historique d'actions par type ou heure pour rechercherdes éléments de l'historique d'actions.
1. À partir de la barre d'investigation, cliquez sur l'icône .2. Recherchez les actions que vous souhaitez ajouter à l'investigation.
1. Les actions les plus récentes que vous avez effectuées s'affichent dans la boîte de dialogue del'historique des actions Vous ne pouvez ajouter des actions qu'à partir de votre propre historique desactions.
2. Recherchez, triez en fonction de l'heure ou filtrez par type d'action (exécution de recherche, tableau debord affiché, panneau filtré, modification d'état notable ou événements notables supprimés) pourlocaliser l'action que vous souhaitez ajouter.
3. Pour les recherches, cliquez sur le signe plus pour afficher l'intégralité de la chaîne de recherche etvérifier que votre ajout se fait dans la recherche appropriée.
3. Cochez la case en regard de l'action ou des actions que vous souhaitez ajouter à la chronologie del'investigation.
4. Cliquez sur Ajouter à l'investigation. Les actions sont ajoutées à l'investigation que vous êtes en train de consulter ou qui est sélectionnée dans labarre d'investigation.
Consultez Reportez-vous à votre historique des actions.
Ajout d'une note à une investigation
Ajoutez une note à une investigation pour enregistrer des informations sur l'investigation ou ajouter des piècesjointes. Vous pouvez ajouter une note à partir des tableaux de bord dans Splunk Enterprise Security.
1. À partir de la barre d'investigation, cliquez sur l'icône .2. Saisissez un titre.
Par exemple, « Conversation téléphonique avec la police ».3. (optionnel) Sélectionnez une heure. La valeur par défaut correspond à la date et à l'heure actuelles.
Par exemple, sélectionnez l'heure de l'appel téléphonique.4. (optionnel) Saisissez une description.
Par exemple, une note visant à enregistrer une conversation téléphonique peut comprendre la descriptionsuivante : Ai appelé la police. Ai parlé au détective Reggie Martin. Ai signalé qu’un employé vole les identitésd'autres employés.
15
5. (Optionnel) : Joignez un fichier à une note.1. À partir de la note, cliquez sur l'icône ou faites glisser le fichier sur la note.2. Sélectionnez le fichier à ajouter sur votre ordinateur.
La taille maximale du fichier est de 4 Mo. Vous pouvez ajouter plusieurs fichiers à une note. Le premierfichier que vous ajoutez à la note donne un aperçu de la chronologie de l'investigation.
6. Cliquez sur Ajouter à l'investigation pour ajouter la note à l'investigation ouverte ou cliquez sur Enregistreren tant que brouillon.
Remarque : Lorsque vous enregistrez une note en tant que brouillon, elle demeure associée à l'investigation qui aété sélectionnée lorsque vous avez créé la note, mais n'apparaît pas dans l'investigation. Récupérez les brouillonsde notes en cliquant sur l'icône .
Apport de modifications à une investigation dans Splunk EnterpriseSecurity
Effectuez des modifications sur les entrées d'une investigation à partir de la vue des listes ou de la vue de lachronologie.
Modification du titre de la description d'une investigation
Modifiez le titre et la description d'une investigation à partir de la barre d'investigation. Par exemple, modifiez le nomde l'investigation à mesure qu'elle progresse afin de décrire plus précisément l'incident de sécurité sur lequel vousenquêtez.
1. À partir de la barre d'investigation, cliquez sur l'icône . À partir de la vue d'investigation, cliquez surModifier.
2. Modifiez le titre ou la description.3. Cliquez sur Enregistrer.
Suppression d'une entrée unique d'investigation à partir de la vue de la chronologie
1. Recherchez l'entrée dans la vue de la chronologie.2. Cliquez sur Action > Supprimer l'entrée.3. Cliquez sur Supprimer pour confirmer la suppression de l'entrée.
Suppression d'entrées d'investigation à partir de la vue de la liste
1. Cliquez sur Liste pour afficher l'investigation sous la forme d'une liste d'entrées.2. Cochez la case en regard des entrées de l'investigation que vous souhaitez supprimer.
16
3. Cliquez sur Action et sélectionnez Supprimer.4. Cliquez sur Supprimer pour confirmer la suppression de l'entrée.
Modification d'une note
1. Recherchez la note dans l'investigation et ouvrez-la pour la modifier.1. À partir de la vue de la chronologie de l'investigation, cliquez sur Action > Modifier la note2. À partir de la vue de la liste de l'investigation, cliquez sur Modifier dans la colonne Actions.
2. Procédez aux modifications. Par exemple, ajoutez une nouvelle pièce jointe et ajoutez une phrase à ladescription qui présente la nouvelle pièce jointe.
3. Supprimez un fichier en pièce jointe en cliquant sur le X en regard du nom du fichier.4. Cliquez sur Enregistrer.
Modification du titre d'une entrée
Vous pouvez modifier le titre d'une entrée pour la rendre plus claire.
1. Localisez l'événement notable, l'événement Splunk, l’élément de l'historique des actions ou autre entrée dansl'investigation.
2. À partir du menu Actions, cliquez sur Modifier.3. Modifiez le titre.
Fermeture d'une investigation
Vous pouvez indiquer qu'une investigation est fermée de plusieurs manières.
Modifiez le titre pour intégrer le mot « Fermé » afin de vous permettre de filtrer les investigations fermées dansMes investigations.Ajoutez une note à la fin de l'investigation pour identifier l'investigation comme étant fermée.
Collaboration sur une investigation dans Splunk Enterprise Security
Vous pouvez collaborer sur une investigation avec d'autres analystes.
Ajout d'un collaborateur à une investigation
1. Ouvrez l'investigation à laquelle vous souhaitez ajouter un collaborateur.2. Cliquez sur l'icône .3. Saisissez le nom de la personne que vous souhaitez ajouter et sélectionnez le nom dans la liste pour l'ajouter
à l'investigation. 4. Leurs initiales s'affichent dans un cercle pour confirmer qu'ils ont été ajoutés.
Vous pouvez ajouter n'importe quel utilisateur Splunk de votre déploiement comme collaborateur. Par défaut, uncollaborateur dispose de permissions en écriture sur l'investigation.
Affichage des collaborateurs affectés à une investigation
Vous pouvez afficher les collaborateurs affectés à une investigation à partir d'une investigation individuelle ou dutableau de bord Investigations.
Passez le curseur de la souris sur l'icône des collaborateurs pour voir le nom des collaborateurs à votreinvestigation.Si un collaborateur ne dispose pas de permission en écriture pour une investigation, l'icône est grisée et(lecture seule) est ajouté à son nom.Cliquez sur l'icône d'un collaborateur pour voir les informations le concernant. Consultez le nom et lespermissions de l'utilisateur pour l'investigation.
17
Apport de modifications aux collaborateurs d'une investigation
Si vous êtes un collaborateur d'une investigation avec des permissions en écriture, vous pouvez modifier lespermissions des autres collaborateurs à l'investigation.
1. Cliquez sur l'icône d'un collaborateur.2. Modifiez les Permissions en écriture. Par défaut, tous les collaborateurs ont l'option Oui pour les
Permissions en écriture. Toutes les investigations doivent avoir au moins un collaborateur disposant despermissions en écriture.
Vous pouvez supprimer un collaborateur s'il n'est pas le seul collaborateur à l'investigation à disposer depermissions en écriture.
1. Cliquez sur l'icône d'un collaborateur.2. Cliquez sur Supprimer.
Examen d'une investigation dans Splunk Enterprise Security.
Réexaminez les investigations passées ou affichez une investigation en cours en cliquant sur le titre dans la barred'investigation ou à partir du tableau de bord Investigations. Les utilisateurs ayant de la capacité de gérer toutes lesinvestigations peuvent afficher toutes les investigations. Seuls des collaborateurs disposant de permissions enécriture peuvent modifier une investigation. Consultez Gestion de l'accès aux investigations dans Administration deSplunk Enterprise Security.
Analysez une investigation à des fins de formation ou de recherche. Cliquez sur une entrée dans une investigationpour afficher tous les détails qui s'y rapportent.
Pour les notes comportant des fichiers en pièce jointe, cliquez sur le nom du fichier pour le télécharger.Pour les événements notables, cliquez sur Afficher dans Examen des incidents pour ouvrir le tableau debord Examen des incidents filtré selon cet événement notable particulier.Pour les entrées de l'historique d’actions, vous pouvez répéter les actions exécutées précédemment. Pourune entrée de l'historique d’actions de recherche, cliquez sur la chaîne de recherche pour l'ouvrir dans larecherche. Pour une entrée de l'historique d’actions d'un tableau de bord, cliquez sur le nom du tableau debord pour l'afficher.
Obtenez un aperçu d'une attaque ou d'une investigation en affichant la totalité de la chronologie de l'investigation
18
ou uniquement une partie de celle-ci en agrandissant ou en réduisant la chronologie.
Cliquez sur la chronologie pour la déplacer et analyser les entrées. Affichez une liste chronologique de toutes lesentrées de la chronologie en cliquant sur l'icône de la liste ou affinez votre vue de la chronologie à l'aide de filtres.Vous pouvez effectuer un filtrage par type ou utiliser la zone Filtre pour effectuer un filtrage par titre.
Partage ou impression d'une investigation dans Splunk EnterpriseSecurity
Pour partager une investigation avec une personne qui n'utilise pas Splunk Enterprise Security, par exemple à desfins d'audit, vous pouvez enregistrer une investigation ou l'enregistrer sous forme d'un fichier PDF.
1. À partir de l'investigation, cliquez sur l'icône . Splunk Enterprise Security génère une version formatée de lachronologie de l'investigation avec les entrées dans l'ordre chronologique.
2. Imprimez l'investigation ou enregistrez-la sous forme d'un fichier PDF à l'aide des options de la boîte dedialogue d'impression.
Consultation de votre historique d’actions dans Splunk EnterpriseSecurity
Lorsque vous enquêtez sur une attaque ou un autre incident de sécurité, les mesures que vous prenez dans SplunkEnterprise Security sont enregistrées dans votre historique d’actions. Vous ne pouvez afficher que vous vos propresentrées dans votre historique d’actions. Une fois que vous avez ajouté un élément à une investigation, tous lescollaborateurs à l'investigation peuvent voir cette entrée.
Votre historique d’actions suit les types d'action suivants à l'aide des recherches enregistrées :
Les tableaux de bord que vous consultezLes recherches que vous exécutezLes actions de filtrage par panneau que vous effectuezLes modifications que vous apportez à un événement notableLes modifications que vous apportez aux filtres de suppression d'un événement notable
Splunk Enterprise Security suit ces actions pour vous aider à ajouter du contexte à une investigation, à faire unaudit d'investigation et à fournir un historique complet des mesures prises au cours d'une investigation qui ontproduit des résultats pertinents. Par exemple, si vous exécutez une recherche qui fournit des informations utiles àune investigation, vous pouvez ajouter cette recherche à l'investigation. Vous pouvez alors retrouver cette chaînede recherche dans l'investigation, l'exécuter à nouveau ou revisiter une recherche pour l'enregistrer sous forme d'unrapport une fois l'investigation terminée. Consultez Ajout d'une entrée à partir de votre historique d'action à uneinvestigation pour plus de détails à propos de l'utilisation de votre historique des actions lors d'une investigationdans Splunk Enterprise Security.
Les éléments de l'historique des actions ne s'affichent pas immédiatement dans la liste de l'historique des actions.Cinq recherches enregistrées créent des éléments d'historique d’actions. Après l'exécution de ces recherchesenregistrées, vous pouvez afficher les éléments de l'historique d’actions et les ajouter à une investigation.
19
Analyse des risques
Analyse des risques dans Splunk Enterprise Security
Un score de risque est un indicateur unique qui montre le risque relatif d'un périphérique ou d'un utilisateur dansl'environnement réseau au fil du temps. Splunk Enterprise Security classe un périphérique comme système, unutilisateur comme utilisateur, et les périphériques ou utilisateurs non reconnus comme « autre ».
Enterprise Security utilise l'analyse de risque pour noter et calculer le risque de petits événements et d'uncomportement suspect, au fil du temps, pour votre environnement. Le tableau de bord Analyse des risques afficheces scores de risque et d'autres informations relatives aux risques. Enterprise Security indexe tous les risquescomme des événements dans l'index risk.
Comment Splunk Enterprise Security affecte les scores de risque
Un score de risque est un indicateur unique qui montre le risque relatif d'un objet périphérique ou d'un utilisateurdans l'environnement réseau au cours du temps. Un objet représente un système, un utilisateur ou un autre nonspécifié.
Enterprise Security utilise des recherches de corrélation pour corréler des données machine avec des donnéesd'actif et d'identité, qui comprennent les périphériques et objets utilisateur dans un environnement réseau. Lesrecherches de corrélation recherchent une correspondance conditionnelle à une question. Lorsqu'unecorrespondance est trouvée, une alerte est générée en tant qu'événement notable, modificateur de risque ou lesdeux.
Un événement notable devient une tâche. Il s'agit d'un événement qui doit être affecté, examiné et fermé.Un modificateur de risque devient un nombre. Il s'agit d'un événement qui s'ajoutera au score de risque d'unpériphérique ou d'un objet utilisateur.
Exemple de score de risque
L'hôte RLOG-10 est un serveur intermédiaire qui génère plusieurs événements notables. Les recherches decorrélation Nombre excessif d'échecs de connexion et Activité des comptes par défaut détectée créent unévénement notable par jour pour ce système. Comme RLOG-10 est un serveur intermédiaire, plusieurs identifiantsréseau sont utilisés pour cet hôte, et des logiciels et autres utilitaires peuvent avoir été installés. Comme il s'agitd'un serveur intermédiaire, ce comportement est moins intéressant que s’il était observé sur le serveur DNS deproduction. Plutôt que d'ignorer ou de supprimer les événements notables générés par les serveurs intermédiaires,vous pouvez créer des règles propres aux serveurs intermédiaires afin de les surveiller différemment.
Vous pouvez le faire en créant une recherche de corrélation qui affecte un modificateur de risques lorsque lacorrélation correspond à des serveurs utilisés comme serveurs intermédiaires.
1. Isolez les serveurs intermédiaires des recherches de corrélation existantes à l'aide d'une liste blanche.Consultez Événements de la liste blanche dans Administration de Splunk Enterprise Security pour plusd'informations.
2. Créez et planifiez une nouvelle recherche de corrélation basée sur Nombre excessif d'échecs deconnexion, mais isolez la recherche aux hôtes de serveurs intermédiaires et affectez seulement un typed'alerte à modificateur de risque.
3. Vérifiez que les modificateurs de risque sont appliqués aux hôtes de serveurs intermédiaires en augmentantde manière incrémentielle leurs scores de risque. Avec la nouvelle recherche de corrélation, aucunévénement notable n'est créé à partir des échecs de connexion pour ces hôtes.
Comme le score de risque relatif augmente, RLOG-10 peut être comparé à tous les serveurs réseau et à d'autresserveurs intermédiaires. Si le score de risque relatif de RLOG-10 excède celui de ses peers, cet hôte fera l'objetd'une investigation par un analyste. Si les scores de risque de tous les serveurs intermédiaires sont supérieursrelativement à celui de tous les autres hôtes du réseau, il peut être souhaitable d'examiner la stratégie de sécuritéinterne ou de la mettre en œuvre d'une manière différente. Consultez le billet de blog Analyse des risques avecEnterprise Security 3.1 pour davantage d'exemples.
Affectation d'un risque à un objet
Créez une action de réponse d'analyse de risque. ou un modificateur de risque pour affecter un risque à un objet.Vous pouvez affecter un risque à des objets de plusieurs manières.
Affectez automatiquement un risque dans le cadre d'une recherche de corrélation. Consultez Modificationd'un score de risque à l'aide d'un modificateur de risque dans Administration de Splunk Enterprise Security.Affectez un risque en tant qu'action de réponse adaptative ad hoc à partir d'Examens des incidents. Consultez
20
Modification d'un score de risque à l'aide d'un modificateur de risque dans ce manuel.Créez une entrée de risque ad hoc à partir du tableau de bord Analyse des risques. Consultez Création d'uneentrée de risque ad hoc dans Splunk Enterprise Security dans ce manuel.Affectez un risque au moyen d'une recherche. Consultez l'exemple ci-dessous.
Exemple d'affectation d'un score de risque au moyen d'une recherche
Une recherche de corrélation ou autre peut directement modifier un score de risque sans utiliser d'alerte. De cettemanière, elle peut modifier le score de risque d'un système ou d'un utilisateur en fonction des résultats d'unerecherche, et non seulement lorsque les résultats d'une recherche correspondent à un jeu particulier de conditions.
Par exemple, la recherche de corrélation Activités menaçantes détectées utilise un risque affecté par unerecherche en plus d'un modificateur de risque de type alerte. Lorsque la recherche trouve qu'un actif ou une identitécommunique avec un hôte figurant dans une liste définie de menaces, la recherche modifie le score de risque enconséquence. Dans ce cas, le modificateur de risques reflète le nombre de fois où le système ou un utilisateur acommuniqué avec la liste des menaces, multiplié par la pondération de la liste des menaces.
En tant que formule, le score de risque d'un système ou d'un utilisateur + (pondération de la liste des menaces xnombre d'événements) = risque supplémentaire.
À titre d'exemple plus spécifique, si une recherche détecte que l'hôte DPTHOT communique avec un hôte sur uneliste de menaces de logiciels espions au cours d'une période particulière, le score de risque de base est défini sur40. Puis, comme DPTHOT1 a communiqué à deux reprises avec l'hôte figurant dans la liste des menaces, et que laliste des menaces des logiciels espions a une pondération de 1, la recherche modifie le score de risque pouratteindre un total de 42.
Consultez Framework de l'analyse des risques pour plus d'informations à propos de l'affectation de scores derisque avec une recherche.
Plages de scores d'un risque
Les scores de risque offrent une manière de capturer et d'agréger les activités d'un actif ou d'une identité sous laforme d’un indicateur unique grâce aux modificateurs de risque.
La recherche de corrélation incluse dans Enterprise Security affecte un score de risque compris entre 20 et 100 enfonction de la gravité relative de l'activité trouvée dans la recherche de corrélation. Les recherches établissent lesscores par défaut dans une plage pratique. Cette plage ne constitue pas une norme du secteur. Enterprise Securityne définit pas de limite supérieure pour le score de risque total d'une identité ou d'un actif, mais les systèmesd'exploitation peuvent imposer une limite. Par exemple, les systèmes d'exploitation 32 bits limitent un score derisque à deux millions.
Les niveaux de scores de risque utilisent les mêmes conventions de nommage que la gravité des événements.Vous pouvez évaluer des scores de risque relatifs en comparant des hôtes ayant des rôles et des priorités d'actifssimilaires.
20 - Informative40 - Faible60 - Moyenne80 - Élevée100 - Critique
Les administrateurs ES peuvent éditer les recherches de corrélation afin de modifier le score de risque affecté parl'action de réponse d'analyse du risque à un objet. Consultez Actions de réponse adaptative incluses dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Gestion des objets de risque
Enterprise Security associe les modificateurs de risque à des objets de risque.
Champ d'objet de risque
Le champ d'objet de risque est une référence à un champ de recherche renvoyé par une recherche de corrélation.Les recherches de corrélation utilisent des champs tels que src et dest pour signaler les résultats correspondants.Le champ d'objet de risque représente un système, un hôte, un périphérique, un utilisateur, un rôle, un identifiant outout autre objet que la recherche de corrélation est conçue pour signaler. Examinez toutes les recherches decorrélation qui affectent un score de risque pour trouver des exemples de champs qui reçoivent un score de risque.
Types d’objet de risque
21
Splunk Enterprise Security définit trois types d'objets de risque.
Type d'objet Description
Système Technologie ou périphérique réseau. Peut représenter un périphérique dans une lookup d'actifs.
Utilisateur Utilisateur, identifiant ou rôle réseau. Peut représenter une identité dans une lookup d'identités.
Autre Tout objet non défini représenté en tant que champ dans une source de données.
Si un objet de risque correspond à un objet dans la table d'actifs ou d'identités, Enterprise Security mappe l'objetselon le type associé. Par exemple, un objet qui correspond à un actif dans la lookup d'actifs est mappé vers le typed'objet de risque du « système ». Toutefois, les périphériques et utilisateurs n'ont pas à être représentés dans lestables correspondantes d'actifs et d'identités pour être identifiés comme des objets de risque système ou utilisateur.ES classe les types d'objets non définis ou expérimentaux à l'aide du type d'objet de risque Autre.
Création d'une entrée de risque ad hoc dans Splunk EnterpriseSecurity
La création d'une entrée de risque ad hoc vous permet de procéder à un ajustement manuel à usage unique pour lescore de risque d'un objet. Vous pouvez l'utiliser pour ajouter un nombre positif ou négatif au score de risque d'unobjet.
1. Accédez à Renseignement de sécurité > Analyse des risques.2. Cliquez sur Créer une entrée de risque ad hoc.3. Renseignez le formulaire.
Champ Score derisque ad-hoc
Description
Score Le nombre ajouté à un Objet de risque. Peut être un entier positif ou négatif.
DescriptionUne raison ou une note expliquant l'ajustement manuel du score de risque de l’objet. Lechamp Description est obligatoire pour un score de risque ad hoc.
Objet de risque Champ de texte. Caractère générique avec un astérisque (*)
Type d’objet derisque
Liste déroulante : sélectionnez pour filtrer.
22
Glass Tables
Création d'une glass table dans Splunk Enterprise Security
Créez une glass table pour visualiser et surveiller l'état de la sécurité dans votre environnement. Vous pouvezajouter des indicateurs de sécurité tels que des indicateurs clés ou des recherches ad hoc qui s’actualisent entemps réel sur un arrière-plan de votre conception
1. Dans le menu principal de Splunk Enterprise Security, cliquez sur Glass tables.2. Cliquez sur Créer une nouvelle glass table.3. Saisissez un Titre et une Description, puis configurez des Permissions pour votre nouvelle glass table.4. Cliquez sur Créer une glass table pour créer la glass table.
Consultez Surveillance de l'activité des menaces dans votre environnement grâce à une glass table pour uneprésentation de la configuration d'une glass table dans le contexte d'un cas d'usage de sécurité.
Développement d'une visualisation de glass table
Créez une glass table à l'aide du canevas et des outils d'édition flexibles de l'éditeur de glass table.
1. Dans la liste des glass tables, cliquez sur le nom de la glass table.2. Utilisez les outils d'édition pour charger des images, dessiner des formes, ajouter des icônes, ajouter du texte
et faire des connexions qui reflètent les relations entre les indicateurs.3. Dans le panneau des indicateurs de sécurité, cliquez sur un indicateur pour afficher les widgets de recherche
des indicateurs clés que vous pouvez ajouter. Si vous ne trouvez pas celui dont vous avez besoin, unadministrateur ES peut créer une nouvelle recherche d'indicateur clé. Consultez Création et gestion desrecherches d'indicateurs clés dans Administration de Splunk Enterprise Security.
4. Cliquez sur un ou plusieurs widgets de recherche d'indicateurs clés et faites-les glisser sur le canevas dedessin. Un widget apparaît sur le canevas et affiche les valeurs de la recherche associée, qui sont mises à jour entemps réel. Consultez Configuration des widgets pour plus de détails.
5. Ajoutez des widgets supplémentaires pour développer les éléments dynamiques de votre visualisation.6. Cliquez et faites glisser Recherche ad hoc sur le canevas de dessin pour ajouter un widget personnalisé qui
affiche les résultats d'une recherche. Consultez Créations et configurations de widgets de recherche pour plusde détails.
7. Cliquez sur Enregistrer.
Configuration de widgets
Après avoir ajouté un widget à votre glass table, configurez-le pour optimiser les performances, ajoutez uneexploration personnalisée et personnalisez l'aspect du widget pour un design particulier de glass table. Lesrecherches d'indicateurs clés renseignent les widgets inclus dans la glass table. Apportez des modifications auxrecherches des indicateurs clés dans le tableau de bord Gestion du contenu.
1. Cliquez sur un widget dans l'éditeur Glass table.2. Pour Exploration personnalisée, cliquez sur Activé.3. Sélectionnez une destination d'exploration ou un type d'URL.4. Pour Type de vis., sélectionnez une option appropriée pour afficher les résultats de vos recherches. Les
types de visualisation comprennent valeur unique, jauge, sparkline et delta de valeur unique.5. Cliquez sur Mettre à jour pour actualiser la configuration du widget.6. Cliquez sur Enregistrer.
Mettez à jour les valeurs de recherche des indicateurs clés à intervalles réguliers en fonction de la planification derecherche que vous avez définie lorsque vous avez créé la recherche d'indicateur clé.
Création et configuration de widgets de recherche
Vous pouvez également créer un widget personnalisé pour afficher des résultats de recherche. Ajoutez unenouvelle recherche à une glass table, définissez une chaîne de recherche personnalisée et personnalisez l'aspectdes widgets de recherche à l'aide de toute une gamme de types de visualisation.
Écrivez votre recherche personnalisée hors de la glass table pour vérifier qu'elle fournit les résultats prévus. Votrerecherche personnalisée doit comprendre la commande timechart ou stats by _time pour utiliser la création deseuils.
1. Dans l'éditeur de glass table, cliquez sur Recherche ad hoc et faites-la glisser sur le canevas.2. Dans le panneau Configurations de Type de recherche, saisissez votre chaîne de recherche
23
personnalisée.3. Utilisez le sélecteur d'heure pour choisir l'heure de fin de votre recherche. Valeur par défaut sur Maintenant.4. Dans le menu Début de la période, sélectionnez le début de la période de recherche. Ceci détermine l'heure
de démarrage de votre recherche par rapport aux Date et heure de fin que vous avez configurées dans lesélecteur d'heure, et détermine la plage horaire d'application de votre recherche. Par défaut, les indicateursde sécurité affichent les résultats des dernières 48 heures. Par exemple, si le sélecteur de plage horaire est configuré sur Maintenant, l'indicateur de sécurité effectueune recherche sur les dernières 48 heures et affiche les résultats. Si vous modifiez le sélecteur de plagehoraire sur Il y a 6 heures, l'indicateur de sécurité affiche les résultats entre -54 heures et -6 heures.
5. Pour Champ du seuil, saisissez le champ que vous souhaitez utiliser comme seuil pour votre recherche. Par exemple, nombre.
6. Pour Seuils, cliquez sur Activé pour activer les seuils du widget de recherche.7. Cliquez sur Modifier pour modifier le seuil.8. Dans la fenêtre des seuils, ajoutez des seuils au widget de recherche. Ceci détermine la couleur du widget,
laquelle indique l'état actuel de l'indicateur.9. Sélectionnez un Type de vis. pour votre widget de recherche.
10. Cliquez sur Mettre à jour pour mettre à jour le widget avec la nouvelle visualisation et afficher les résultats devotre recherche pour la plage temporelle spécifiée.
11. Cliquez sur Enregistrer.
Gestion d'une glass table dans Splunk Enterprise Security
Les glass tables vous permettent de visualiser les indicateurs de sécurité dans votre environnement de manièreflexible. Gérez les glass tables incluse dans Splunk Enterprise Security et celles que vous créez vous-même dansla page du listing des Glass Tables.
Pour accéder à la page du listing des Glass Tables, cliquez sur Glass Tables dans la barre de menu de SplunkEnterprise Security.
Modification d'une glass table.
Après avoir créé une glass table, vous pouvez continuer à y apporter des modifications.
1. À partir de la liste des glass tables, cliquez sur Modifier en regard de la glass table que vous souhaitezmodifier.
2. Indiquez si vous souhaitez modifier la glass table elle-même, son titre ou sa description, ou des permissions.
Restauration d'une glass table que vous avez supprimée après l'avoir importée comme partie d'uneapplication
Si vous avez importé une glass table comme partie d'une application et que vous l'avez supprimée par la suite,vous ne pouvez plus l'importer pour la restaurer. Au lieu de cela, procédez comme suit :
1. Désactivez l'application dans laquelle la glass table a été importée.2. Patientez quelques minutes pour que le programme d'importation d'application s'exécute.3. Activez l'application.
La glass table réapparaît.
Clonage d'une glass table pour créer un modèle
Vous pouvez cloner une glass table pour créer un modèle ou pour préserver une glass table incluse dans SplunkEnterprise Security comme original et effectuer des modifications expérimentales sur une autre version.
1. À partir de la liste des glass tables, cliquez sur Modifier en regard de la glass table que vous souhaitezmodifier.
2. Cliquez sur Cloner.3. Saisissez un nouveau titre.4. (optionnel) Saisissez une nouvelle description.5. (optionnel) Modifiez les permissions de la glass table clonée.6. Cliquez sur Cloner la page.
Accès à des glass tables
Tous les utilisateurs peuvent afficher des glass tables, mais vous devez avoir le rôle ess_analyst, ess_admin ou lacapacité « Modifier les glass tables » pour créer et modifier des glass tables. Si vous ne disposez pas despermissions nécessaires, contactez votre administrateur Splunk Enterprise Security.
24
Recherches disponibles pour les glass tables
Les widgets de recherche ad hoc que vous créez sur des glass tables individuelles ne peuvent pas êtreautomatiquement partagés avec d'autres glass tables. Les recherches d'indicateurs clés renseignent la liste desindicateurs de sécurité disponibles à l'ajout en tant que widgets prédéfinis. Les administrateurs ES peuvent créer etmodifier des recherches d'indicateurs clés sur la page Gestion du contenu. Consultez Création et gestion derecherches d'indicateurs clés dans Splunk Enterprise Security.
Performances et stockage des glass tables
Le contenu d'une glass table est stocké dans le magasin KV. Les définitions de la glass table sont stockées dans lacollection SplunkEnterpriseSecuritySuite_glasstables. Les fichiers ajoutés à des glass tables, tels que des images,sont stockés dans la collection SplunkEnterpriseSecuritySuite_files. Les widgets personnalisés, les images et lesautres éléments que vous ajoutez à une glass table sont tous stockés dans cette collection.
Les performances des glass tables individuelles dépendent du nombre de widgets de recherche sur une glasstable. Lorsque vous ouvrez une glass table pour la consulter, toutes les recherches s'exécutent en même temps.Des recherches sur des glass tables comportant 200 widgets de recherche ou davantage peuvent prendre 10 à15 secondes pour afficher les données.
Restauration d'une glass table que vous avez supprimée après l'avoir importée commepartie d'une application
25
Présentation des tableaux de bord
Introduction aux tableaux de bord disponibles dans SplunkEnterprise Security
Splunk Enterprise Security comprend plus de 100 tableaux de bord pour identifier et enquêter sur des incidents desécurité, révéler des informations pertinentes sur vos événements, accélérer les investigations sur les incidents,surveiller l'état de divers domaines de sécurité et réaliser des audits de vos investigations sur des incidents et devotre déploiement d'ES.
Les tableaux de bord spécifiques qui vous seront le plus utile dépendent de la manière dont vous prévoyez d'utiliserSplunk Enterprise Security.
Identification et investigation sur des incidents de sécurité
Vous pouvez identifier et enquêter sur des incidents de sécurité à l'aide d'une suite de tableaux de bord et deworkflows. Splunk Enterprise Security utilise des recherches de corrélation pour identifier des événementsnotables dans votre environnement et qui constituent des incidents de sécurité.
Position de sécurité offre un aperçu de niveau élevé des événements notables dans votre environnement aucourt des dernières 24 heures. Identifiez les domaines de sécurité comportant le plus d'incidents et l'activité laplus récente. Consultez le tableau de bord Position de sécurité.Examen des incidents affiche les détails de tous les événements notables identifiés dans votreenvironnement. Triez, affectez et examinez les détails des événements notables à partir de ce tableau debord. Consultez Examen des incidents.Mes investigations affichent toutes les investigations dans votre environnement. Ouvrez et utilisez lesinstigations pour suivre vos progrès et votre activité tout en enquêtant sur plusieurs incidents relatifs à lasécurité. Consultez Mes investigations.
Accélérer vos investigations grâce aux renseignements de sécurité
Un ensemble de tableaux de bord de renseignements de sécurité vous permet d'enquêter sur des incidents grâce àdes types spécifiques de renseignements.
Analyse des risques vous permet d'évaluer les scores de risque des systèmes et des utilisateurs de votreréseau et d'identifier des périphériques particulièrement sujets à des risques et des utilisateurs représentantune menace pour votre environnement. Consultez Analyse des risques.Les tableaux de bord Renseignement sur les protocoles utilisent des données de capture de paquetsprovenant d'applications de capture de flux pour fournir des informations pertinentes sur le réseau en rapportavec vos investigations sur la sécurité. Identifiez le trafic, l'activité DNS, l'activité de messagerie suspecte etexaminez les connexions et protocoles utilisés dans votre trafic réseau. Consultez les tableaux de bordRenseignement sur les protocoles.Les tableaux de bord Renseignement sur les menaces utilisent les sources incluses dans Splunk EnterpriseSecurity et des sources personnalisées que vous pouvez configurer pour fournir un contexte à vos incidentsde sécurité et identifier des acteurs malveillants connus dans votre environnement. Consultez les tableaux debord Renseignement sur les menaces.Les tableaux de bord Renseignement sur les utilisateurs vous permettent d'enquêter et de surveiller l'activitédes utilisateurs et des actifs dans votre environnement. Consultez les tableaux de bord Inspecteur d'actifs etd'identités et Surveillance de l'activité des utilisateurs.Les tableaux de bord Intelligence Web vous permettent d'analyser le trafic Web sur votre réseau et d'identifierdes catégories HTTP, des agents d'utilisateurs, de nouveaux domaines et des URL longues notables.Consultez les tableaux de bord Intelligence Web.
Surveillance de l'activité des domaines de sécurité
Les tableaux de bord Domaine fournis dans Splunk Enterprise Security vous permettent de surveiller lesévénements et l'état des domaines de sécurité importants. Vous pouvez examiner un résumé des données sur lesprincipaux tableaux de bord et utiliser les tableaux de bord de recherche pour des domaines spécifiques afind'enquêter sur les événements bruts.
Les tableaux de bord Domaine d'accès permettent d'afficher les données d'authentification et d'accès, tellesque les tentatives de connexion, les événements de contrôle d'accès et l'activité des comptes par défaut.Consultez les tableaux de bord Accès.Les tableaux de bord Domaine terminal permettent d'afficher les données finales relatives aux infections delogiciels malveillants, l'historique des correctifs, les configurations système et les informations desynchronisation de l'heure. Consultez les tableaux de bord Terminal.
26
Les tableaux de bord Domaine de réseau permettent d'afficher les données du trafic réseau fournies par desdispositifs tels que les pare-feu, les routeurs, les systèmes de détection d'intrusion, les scanners devulnérabilités réseau, les serveurs proxy et les hôtes. Consultez les tableaux de bord Réseau, Centre Web etmodifications réseau et Suivi des ports et protocoles.Les tableaux de bord Domaine d'identité permettent d'afficher les données de vos listes d'actifs et d'identité,ainsi que les types de sessions en cours d'utilisation. Consultez les tableaux de bord Actif et Identité.
Visualisation des indicateurs de sécurité
Créez une glass table pour visualiser les indicateurs de sécurité dans votre environnement. Surveillez l'activité desmenaces dans votre environnement, évaluez l'état de votre déploiement de Splunk Enterprise Security oucartographiez le chemin emprunté par un assaillant sur votre réseau pour surveiller de futures tentatives d'intrusion.Consultez Création d'une glass table.
Audit de l'activité dans Splunk Enterprise Security
Les tableaux de bord d'audit fournissent des informations sur les processus en arrière-plan et les tâches exécutéesdans Splunk Enterprise Security. Certains tableaux de bord d'audit vous permettent d'examiner les mesures prisespar des utilisateurs dans Splunk Enterprise Security, alors que d'autres offrent des informations sur votredéploiement et l'état de vos modèles de données ainsi que sur l'utilisation du contenu. Consultez les tableaux debord Audit.
Personnalisation des tableaux de bord de Splunk EnterpriseSecurity en fonction de votre cas d'usage
Vous pouvez apporter des modifications aux tableaux de bord et aux recherches derrière les panneaux destableaux de bord pour mieux les adapter à votre organisation, à votre environnement ou à vos cas d'usage desécurité. Visualisez la recherche qui sous-tend un panneau de tableau de bord grâce à l'éditeur de panneaux pourvoir où proviennent les données. Modifiez le titre d'un panneau, de la recherche derrière un panneau et même lavisualisation.
Pour Splunk Enterprise, consultez Modification de tableau de bord à l'aide de l'éditeur de tableau de borddans Splunk Enterprise Tableaux de bord et visualisations.Pour Splunk Cloud, consultez Modification de tableau de bord à l'aide de l'éditeur de tableau de bord dansSplunk Cloud Tableaux de bord et visualisations.
Exploration des événements bruts
Approfondissez l'examen des données des tableaux de bord en explorant les événements bruts et en utilisant desactions de workflow pour partir d'événements bruts et enquêter sur des champs spécifiques de tableaux de bord ouexécuter d'autres actions hors de la plate-forme Splunk.
Vous pouvez explorer les événements bruts à partir de graphiques et de tables dans les tableaux de bord. Voustrouverez davantage d'informations sur le comportement d'exploration dans la documentation de la plate-formeSplunk.
Pour Splunk Enterprise, consultez Comportement de l'exploration dans Tableaux de bord et virtualisations deSplunk Enterprise.Pour Splunk Cloud de, consultez Comportement de l'exploration dans Tableaux de bord et virtualisations deSplunk Cloud.
Création d'actions de workflow personnalisées
Vous pouvez prendre des mesures vis-à-vis d'événements bruts grâce à des actions de workflow. Vous pouvezégalement créer des actions de workflow personnalisées. Vous pouvez trouver davantage d'informations sur lesactions de workflow dans la documentation de la plate-forme Splunk.
Pour Splunk Enterprise, consultez Aspect des actions de workflow de commande dans les menus de champset d'événements dans le Manuel du gestionnaire de connaissances de Splunk Enterprise.Pour Splunk Cloud, consultez Aspect des actions de workflow de commande dans les menus de champs etd'événements dans le Manuel du gestionnaire de connaissances Splunk Cloud.
Indicateurs clés dans Splunk Enterprise Security
Splunk Enterprise Security comprend des indicateurs clés prédéfinis qui permettent d'identifier des indicateurs desécurité clés pour les domaines de sécurité couverts par Splunk Enterprise Security. Vous pouvez analyser lesindicateurs clés dans les tableaux de bord de Splunk Enterprise Security ou les ajouter à des glass tables en tant
27
qu'indicateurs de sécurité.
Les indicateurs clés offrent une référence visuelle pour plusieurs indicateurs de sécurité. Les recherchesd'indicateurs clés renseignent les indicateurs de sécurité des indicateurs clés. Les recherches d'indicateurs clésutilisent des modèles de données définis dans Enterprise Security ou les modèles de données définis dansl'application Modèle d'information commun. Certaines recherches d'indicateurs clés utilisent le nombred'événements notables.
Interprétation des indicateurs clés dans les tableaux de bord
Dans les tableaux de bord, chaque indicateur clé comprend un indicateur de valeur, une valeur de tendance, unindicateur de tendance et une valeur seuil utilisée pour indiquer l'importance ou la priorité de l'indicateur. Lesrecherches d'indicateurs clés fonctionnent par défaut sur une période de temps relatif de 48 heures.
Champ Description
Description Brève description de l'indicateur relatif à la sécurité.
Indicateursde valeur
Nombre actuel d'événements. Si un seuil est configuré, les nombres changent de couleur lorsqu'ilsfranchissent des seuils. Cliquez sur un indicateur de valeur pour accéder à la recherche del'indicateur clé et afficher les événements bruts. Si l'indicateur de valeur est erroné, par exempleune valeur de pourcentage supérieure à 100 %, cela peut signifier que des données sontmanquantes ou erronées dans le groupe de données du modèle de données utilisé par larecherche de l'indicateur clé pour calculer une valeur.
Valeur delatendance
Affiche la variation du nombre d'événements pendant la période définie dans la recherche del'indicateur clé.
Indicateursdetendance
Affiche une flèche directionnelle pour indiquer le sens de la tendance. La flèche change de couleuret de sens dans le temps.
Modification des indicateurs clés dans les tableaux de bord
Enterprise Security comprend des indicateurs clés préconfigurés. Chaque ligne d'indicateurs clés du tableau debord comprend un éditeur qui permet d'effectuer des modifications visuelles simples directement dans lesindicateurs clés, sans quitter le tableau de bord. Vous pouvez apporter des modifications à la recherche qui génèrel'indicateur clé dans le tableau de bord Gestion du contenu. Consultez Modification d'une recherche d'indicateursclés dans Administration de Splunk Enterprise Security.
1. Cliquez sur l'icône du crayon Modifier, en haut à gauche de la part des indicateurs. Les outils d'éditions'affichent au-dessus des indicateurs.
2. Faites glissez et déposez les indicateurs pour les réorganiser. Il peut y avoir 5 indicateurs par ligne, etplusieurs lignes d'indicateurs.
3. Cliquez sur la coche pour enregistrer.
Suppression d'indicateurs clés d'un tableau de bord
Supprimez un indicateur clé d'un tableau de bord.
1. Cliquez sur l'icône du crayon Modifier, en haut à gauche de la part des indicateurs. Les outils d'éditions'affichent au-dessus des indicateurs.
28
2. Cliquez sur le X, en haut à droite de l'indicateur.3. Cliquez sur la coche pour enregistrer.
La suppression de l'indicateur d'un tableau de bord ne le supprime pas d'Enterprise Security.
Ajout d'indicateurs clés à un tableau de bord
Ajoutez des indicateurs clés à un tableau de bord.
1. Cliquez sur l'icône du crayon Modifier, en haut à gauche de la part des indicateurs. Les outils d'éditions'affichent au-dessus des indicateurs.
2. Cliquez sur l'icône du plus pour ouvrir le panneau Ajouter des indicateursl.3. Cliquez sur la coche pour enregistrer.
Configuration d'un seuil pour un indicateur clé d'un tableau de bord
Vous pouvez configurer un seuil pour un indicateur clé d'un tableau de bord afin de modifier la couleur del'indicateur. Un seuil définit une valeur acceptable pour le nombre d'événements d'un indicateur. Un nombred'événements au-dessus du seuil provoque l'affichage de l'indicateur clé en rouge, tandis qu'un nombred'événements en dessous du seuil l'affiche en vert. Si le seuil est non défini, le nombre d'événements demeurenoir.
1. Cliquez sur l'icône du crayon Modifier, en haut à gauche de la part des indicateurs. Les outils d'éditions'affichent au-dessus des indicateurs.
2. Saisissez un Seuil pour l'indicateur clé.3. Cliquez sur la coche pour enregistrer.
29
Référence des tableaux de bord
Tableau de bord Position de sécurité
Le tableau de bord Position de sécurité est conçu pour offrir des informations de niveau élevé sur les événementsnotables de tous les domaines de votre déploiement, et il peut être affiché dans un centre des opérations desécurité (SOC). Ce tableau de bord affiche tous les événements des dernières 24 heures, ainsi que les tendancesde cette période, et il offre des informations et des mises à jour en temps réel sur les événements.
Panneaux du tableau de bord
Panneau Description
Indicateurs clésAffiche le nombre d'événements notables par domaine de sécurité aucours des dernières 24 heures. Pour plus d'informations, consultezIndicateurs clés dans Splunk Enterprise Security.
Événements notablespar urgence
Affiche le nombre d'événements notables par urgence au cours desdernières 24 heures.Les événements notables par urgence utilisent un calcul d'urgence basésur la priorité affectée à l'actif et la gravité affectée à la recherche decorrélation. L'exploration ouvre le tableau de bord Examen desincidents qui affiche tous les événements notables de l'urgencesélectionnée au cours des dernières 24 heures.
Historique desévénements notables
Affiche une chronologie des événements notables par domaine desécurité. L'exploration ouvre le tableau de bord Examen des incidentsqui montre tous les événements notables du domaine de sécurité et de lapériode.
Top des événementsnotables
Affiche le top des événements notables par nom de règle, notamment unnombre total et une sparkline pour représenter les pics d'activité dans letemps. L'exploration ouvre le tableau de bord Examen des incidentscentré sur la règle sélectionnée des événements notables.
Top des sourcesd’événementsnotables
Affiche le top 10 des événements notables par src, en incluant un nombretotal, un nombre par corrélation et domaine, et une sparkline pourreprésenter les pics d'activité dans le temps. L'exploration ouvre letableau de bord Examen des incidents centré sur la source sélectionnéedes événements notables.
Tableaux de bord Audit
Utilisez les tableaux de bord d'audit pour valider la sécurité et l'intégrité des données dans Enterprise Security.Assurez-vous que les forwarders fonctionnent, que les données ne sont pas falsifiées et que leur transmission estsécurisée, et que les analystes examinent les événements notables détectés par des recherches de corrélation.
Audit des incidents
Le tableau de bord Audit des incidents offre un aperçu de l'activité d'examen des incidents. Les panneauxaffichent le nombre d'incidents en cours d'examen et les utilisateurs en charge, ainsi qu'une liste des événementsexaminés le plus récemment. Les indicateurs de ce tableau de bord permettent aux responsables de sécurité desuperviser les activités des analystes.
Panneau Description
Activitéd’examenparexaminateur
Affiche le nombre d'événements examinés par chaque utilisateur. Ce panneau est utile pourdéterminer quels utilisateurs effectuent les examens des incidents et si le nombre totald'incidents examinés évolue dans le temps. L'exploration permet d'ouvrir une recherche avectoutes les activités de l'examinateur sélectionné.
Top des
Affiche le top des utilisateurs ayant effectué des examens d'incidents. Le panneau comprend desinformations sur les différents utilisateurs, notamment la date à laquelle ils ont effectué unexamen d'incident pour la première fois, celle de leur dernier examen et le nombre total
30
examinateursexamen d'incident pour la première fois, celle de leur dernier examen et le nombre totald'incidents examinés. L'exploration permet d'ouvrir une recherche avec toutes les activités del'examinateur sélectionné.
Événementsnotables parétat -48 dernièresheures
Affiche l'état, le nombre et l'urgence de tous les événements notables au cours des dernières48 heures. Ce panneau est utile pour déterminer si les utilisateurs qui examinent des incidentsles suivent ou si un arriéré d'incidents non examinés est en train de se former L'explorationpermet d'ouvrir le tableau de bord Examen des incidents et de rechercher l'urgence et l'étatsélectionnés au cours des dernières 48 heures.
Événementsnotables parpropriétaire -48 dernièresheures
Affiche le propriétaire, le nombre et l'urgence de tous les événements notables au cours desdernières 48 heures. Ce panneau est utile pour déterminer le nombre d'événements affectés à unutilisateur ainsi que l'urgence des événements. L'exploration permet d'ouvrir le tableau de bordExamen des incidents et de rechercher l'urgence sélectionnée au cours des dernières 48 heures.
Tempsmoyen detriage -14 derniersjours
Affiche le temps moyen nécessaire au triage d'un événement notable après sa création, au coursdes 14 derniers jours, réparti en fonction du nom de l'événement notable. Ce panneau est utilepour déterminer la vitesse à laquelle les analystes trient des événements notables, ou si le triagede certains types d'événements prend plus de temps que d'autres. L'exploration permet d'ouvrirle tableau de bord Examen des incidents et de rechercher les noms d'événements notablescorrespondants sur les 14 derniers jours.
Tempsmoyen declôture -60 derniersjours
Affiche le temps moyen nécessaire à la clôture d'un événement notable après sa création, aucours des 60 derniers jours, réparti en fonction du nom de l'événement notable. Ce panneau estutile pour déterminer le temps nécessaire à la clôture de certains types d'investigations sur desévénements notables. L'exploration permet d'ouvrir le tableau de bord Examen des incidents etde rechercher les noms d'événements notables correspondants ayant un statut clôturé depuis les60 derniers jours.
Activitéd’examenrécente
Affiche les 10 modifications les plus récentes sur le tableau de bord d'examen des incidents,telles que les actions de triage. L'exploration ouvre une recherche à l'aide de l'ID de la règlesélectionnée.
Pour faire un audit des données à partir d'Examen des incidents depuis Enterprise Security avant la version 3.2,vous devez effectuer une recherche ad hoc, comme dans cet exemple.
index=_audit sourcetype=incident_review | rex field=_raw "^(?<end_time>[^,]*),(?<rule_id>[^,]*),(?<owner>[^,]*),(?
<urgency>[^,]*),(?<status>[^,]*),(?<comment>[^,]*),(?<user>[^,]*),(?<rule_name>[^,]*)"
Sources de données
Les rapports du tableau de bord Audit des incidents référencent les champs de l’index notable et les objetsd'examen des incidents dans une collection de Magasin KV. Consultez Index notable sur le portail desdéveloppeurs de Splunk pour plus d'informations sur l'index notable.
Audit des suppressions
Le tableau de bord Audit des suppressions offre un aperçu de l'activité de suppression des événements notables.Ce tableau de bord affiche combien d’événements sont supprimés et par qui, de sorte que la suppression desévénements notables peut faire l'objet d'un audit et d'un rapport.
Les indicateurs de ce tableau de bord permettent aux gestionnaires de sécurité d'examiner les activités desanalystes, ce qui est pratique pour ajuster les recherches de corrélation. Vous pouvez identifier les règles derecherche de corrélation qui génèrent plus d'événements que vos analystes ne sont capables d'examiner et lesrégler en conséquence.
Panneau Description
Historique desévénementssupprimés -24 dernières heures
Affiche les événements notables supprimés au cours des dernières24 heures.
Historique dessuppressions -30 derniers jours
Affiche l'historique des événements notables supprimés.
Activité de gestion dessuppressions
Affiche l'activité de gestion de suppression de la période.
31
Suppressions expirées Affiche les suppressions expirées.
Sources de données
Les rapports du tableau de bord Audit des suppressions référencent les événements de l'index notable.
Audit de filtrage par panneau
Le tableau de bord Audit de filtrage par panneau offre des informations sur les filtres actuellement utilisés dansvotre déploiement.
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
Par panneau parexaminateur
Affiche le nombre de mises à jour des filtres par panneau par utilisateur.
Top des utilisateursAffiche les utilisateurs, la sparkline des tendances, le nombre deconsultations et les dates des première et dernière consultations.
Activité de filtragerécente
Activité en fonction de l'heure, de l'utilisateur, de l'action et du nom defichier
Centre des Actions de réponse adaptative
Le tableau de bord Centre des actions de réponse adaptative offre un aperçu des actions de réponses initiées parles actions de réponse adaptative, notamment la création d'événements notables et l'établissement des scores derisque.
Panneau Description
Historique des invocations d’actionspar nom
Affiche un graphique temporel des actions de réponse adaptativedéclenchées par nom.
Top des actions par nom Affiche le top des actions de réponse adaptative par nom.
Top des actions par recherche Affiche le top des actions de réponse adaptative par recherche.
Dernières actions de réponse Affiche les actions de réponses adaptatives les plus récentes.
Sources de données
Les rapports du tableau de bord Centre des Actions de réponse adaptative référencent les champs du modèle dedonnées Audit. Pour une liste des objets de modèle de données et des contraintes, consultez Journaux d'audit deSplunk dans le manuel Extension Modèle d'information commun.
Audit d’intelligence des menaces
Le tableau de bord Audit d'intelligence des menaces suit et affiche l'état actuel de toutes les sources derenseignements sur les menaces. En tant qu'analyste, vous pouvez examiner ce tableau de bord pour déterminer sides sources de menaces sont actuelles et résoudre les problèmes en rapport avec des sources de renseignementssur les menaces.
Panneau Description
Téléchargements derenseignements surles menaces
Affiche l'état de toutes les sources de menaces définies sur la page deconfiguration de Téléchargement de renseignements sur lesmenaces. Utilisez les filtres pour effectuer un tri par état ou emplacementde téléchargement.
Événements d’auditd’intelligence desmenaces
Affiche les événements des journaux relatifs à des téléchargementsd'intelligence sur les menaces configurés sur les pages de configurationde Téléchargements de renseignements sur les menaces etGestionnaire d'intelligence des menaces. Utilisez les filtres poureffectuer un tri et filtrer les événements affichés.
32
Un message système est automatiquement créé si le téléchargement d'une source de menace échoue.
Sources de données
Les rapports du tableau de bord Audit d'intelligence des menaces référencent les événements figurant dansl'index _internal et les informations d'état à partir du point terminal REST /services/data/inputs/threatlist.
Statut de la configuration ES
Utilisez le tableau de bord Statut de la configuration ES pour comparer la dernière version installée d'EnterpriseSecurity aux versions précédentes et identifier les anomalies de configuration. Le tableau de bord ne signale pasles modifications apportées aux extensions (TA.) Sélectionnez la version précédente d'Enterprise Security installéedans votre environnement à l'aide du filtre Version précédente d’ES.
Mode Description
Non livré
Le paramètre Non livré compare la dernière version installée d'EnterpriseSecurity au contenu du package d'installation d'ES. Tous les élémentsnon fournis comme faisant partie de l'installation d'Enterprise Security,notamment des fichiers ou des scripts utilisés pour la personnalisation,portent le libellé Non livré. Examinez les éléments non livrés pour évaluerleur utilisation, déterminer s'ils sont nécessaires et les réconcilier aubesoin. Le paramètre Non livré ignore le filtre Version précédente d’ES.
Sections retirées
Le paramètre Sections retirées compare la dernière version installéed'Enterprise Security et la version que vous avez sélectionnée dans lefiltre. Les sections retirées sont des sections de configuration qui ontévolué d’une version à l’autre, telles qu'une entrée ou une liste demenaces obsolètes. Examinez les Sections retirées pour évaluer leurutilisation, déterminer si elles sont nécessaires et les réconcilier aubesoin.
Dérogations locales
Le paramètre Dérogations locales compare la version installéed'Enterprise Security et la version que vous avez sélectionnée dans lefiltre. Un paramètre qui entre en conflit avec, ou remplace la versioninstallée d'Enterprise Security porte le libellé Dérogation locale.Examinez les paramètres Dérogation locale pour évaluer leur utilisation,déterminer s'ils sont nécessaires et les réconcilier au besoin.
Profil de contenu
Le tableau de bord Profil de contenu compare les objets de connaissance fournis dans Enterprise Security auxmodèles de données requis par les objets et exprime les résultats sous forme d'un pourcentage de complétude dudéploiement.
Panneau Description
Complétude dudéploiement
Affiche le pourcentage des objets de connaissances fournis dansEnterprise Security qui référencent des modèles de données renseignés.Pour atteindre 100 %, chaque modèle de données référencée par unobjet de connaissance doit posséder des données.
Modèles de donnéesinutilisés
Affiche le nombre de modèles de données non renseignés Si voussélectionnez Modèles de données inutilisés, la vue Infos sur lesmodèles de données affiche uniquement les modèles de données nonrenseignés.
Objets deconnaissanceinutilisés
Affiche le nombre d'objets de connaissance non disponibles en raison demodèles de données non renseignés.
Infos sur les modèlesde données
Affiche chaque modèle de données par son nom. Une liste déroulanteaffiche la répartition détaillée des types et noms d'objets. Par exemple,sélectionner le modèle de données Application_State affiche plus de20 recherches uniques et panneaux par application.
Sources de données
33
Les rapports du tableau de bord Profil de contenu permettent d'examiner les objets de connaissance dansEnterprise Security et de déterminer les modèles de données qu'ils utilisent. Si le modèle de données référencécontient des événements, les objets de données sont considérés comme disponibles et complets.
L'analyse d'un objet de connaissance est limitée au nom du modèle de données et ne s'étend pas aux objets demodèle de données référencés dans l'objet de connaissance. Par conséquent, ce tableau peut afficher unecomplétude de 100 % et une recherche ou une vue peut encore n'afficher aucune donnée.
Pour vérifier qu'il existe des données accélérées dans un modèle de données, utilisez le tableau de bord Audit desmodèles de données. Pour vérifier les objets de modèle de données référencés par un panneau de tableau debord, consultez Matrice des exigences du tableau de bord de Splunk Enterprise Security dans Administration deSplunk Enterprise Security.
Audit des modèles de données
Le tableau de bord Audit des modèles de données affiche des informations à propos de l'état des accélérationsdes modèles de données dans votre environnement.
Panneau Nom duchamp
Description
Top des accélérations partaille
Affiche les modèles de données accélérés triés par ordre décroissantde volume en Mo sur le disque
Top des accélérations pardurée d’exécution
Affiche les modèles de données accélérés triés par ordre décroissantdu temps passé à l'exécution des tâches d'accélération.
Détails des accélérationsAffiche une table des modèles de données accélérées avec desinformations supplémentaires.
Sources de données
Les rapports du tableau de bord Audit des modèles de données référencent les champs du modèle de donnéesAudit de Splunk. Pour une liste des objets de modèle de données et des contraintes, consultez Journaux d'audit deSplunk dans le Manuel Extension Modèle d'information commun.
Audit des forwarders
Le tableau de bord Audit des forwarders produit des rapports sur les hôtes transférant des données à SplunkEnterprise.
Utilisez les filtres de recherche et le sélecteur de plage temporelle pour vous concentrer sur des groupes deforwarders ou un forwarder particulier.
Filtrer par Description Action
Afficher uniquementles hôtes attendus
Un hôte attendu est un hôte défini dans ES par lechamp de l'hôte attendu is_expected dans la table Actif.
Liste déroulante, sélectionnezpour filtrer
Hôte Filtre en fonction du champ de l'hôte dans la table Actif.Champ de texte. Caractèregénérique avec un astérisque (*)
Domaine d’activitéFiltre en fonction du champ bunit du domaine d'activitédans la table Actif.
Champ de texte. Caractèregénérique avec un astérisque (*)
CatégorieFiltre en fonction du champ de la catégorie dans la tableActif.
Liste déroulante, sélectionnezpour filtrer
Panneau Description
Historique du nombred’événements par hôte
Affiche le nombre d'événements signalés pendant la périodesélectionnée dans le filtre. Les événements sont répartis par hôte.
Hôtes par heure dedernier rapport
Affiche une liste des hôtes, classés en fonction de la dernière heure àlaquelle ils ont signalé un événement.
Utilisation duprocessus Splunkd
Affiche l'utilisation des ressources du démon Splunk splunkd du forwarder.
34
Mode de démarragedu service Splunk
Affiche le nom des hôtes qui transfèrent des événements, mais qui nesont pas configurés pour que splunkd soit lancé au démarrage.
Sources de données
Les sources de données connexes pour le tableau de bord Audit des forwarders comprennent les données de tousles forwarders dans votre environnement Splunk et le modèle de données Application_State. Consultez le Manuelde l’Extension Modèle d'information commun pour plus d'informations. Les champs Modèles d'information communbunit et category proviennent d'une lookup d'identité automatique et n'ont pas besoin d'être directement mappés.
Audit d’indexation
Le tableau de bord Audit d’indexation est conçu pour aider les administrateurs à évaluer le volume des donnéesd'événements indexées par Splunk Enterprise. Le tableau de bord affiche l'utilisation EPD (événements par jour) entant qu'indicateur pour suivre le volume d'événements par index, et le taux de variation du nombre totald'événements par index dans le temps. L'EPD s'applique uniquement aux nombres d'événements et n'est pas lié àl'indicateur Volume par jour utilisé pour les licences.
Panneau Description
Indicateurs clésLes indicateurs clés de ce tableau de bord sont centrés sur « Tout letemps » et non sur « Les dernières 24 heures ».
Historique desévénements par jour
Affiche un histogramme représentant le nombre d'événements par jour.
Événements par jourAffiche une table représentant le nombre d'événements par jour et l'epsmoyen.
Événements par index(dernier jour)
Affiche une table du nombre d'événements par index pour le dernier jour.
Sources de données
Les rapports du tableau de bord Audit d'indexation référencent les données générées par la recherche enregistréeAudit - Events Per Day - Lookup Gen et sont stockées dans une collection de Magasin KV.
Audit de recherche
Le tableau de bord Audit de recherche fournit des informations sur les recherches en cours d'exécution dansSplunk Enterprise. Ce tableau de bord est utile pour identifier les recherches de longue durée et suivre l'activité derecherche par utilisateur.
Panneau Description
Historique desrecherches par type
Affiche le nombre de recherches exécutées dans le temps par type, parexemple ad hoc, planifiée ou en temps réel. Contribue à déterminer si lesperformances de Splunk que sont affectées par un nombre excessif derecherches.
Historique desrecherches parutilisateur
Affiche le nombre de recherches exécutées par chaque utilisateur.Contribue à déterminer quand un utilisateur particulier et exécute unnombre excessif de recherches. splunk-system-user représente le nom ducompte utilisé pour exécuter des recherches planifiées dans SplunkEnterprise.
Top des recherchespar heure d’exécution
Liste des recherches les plus coûteuses en termes de durée. Contribue àidentifier des recherches spécifiques qui pourraient avoir une incidencenégative sur les performances de Splunk.
Sources de données
Les rapports dans le tableau de bord Audit de recherche référencent les événements d'audit de rechercheplanifiée à partir de l'index audit.
Audit de visualisation
35
Le tableau de bord Audit de visualisation signale les vues les plus actives dans Enterprise Security. Audit devisualisation permet de suivre les vues consultées sur une base quotidienne et contribue à identifier les erreursdéclenchées lorsque les utilisateurs examinent des panneaux de tableaux de bord.
Panneau Description
Historique d’activité devisualisation
Affiche les vues d'Enterprise Security comptant le plus grand nombred'accès dans le temps. L'exploration permet d'ouvrir une vue derecherche de toute l'activité de la page pour la période sélectionnée.
Activité devisualisation attendue
Répertorie les vues configurées dans la liste Vue attendue. Vous pouvezexaminer ses vues sur une base quotidienne pour votre déploiement.Sélectionnez un tableau de bord pour afficher les détails dans le panneauFiche de score de la vue attendue ci-dessous.
Utilisez Configurer > Listes et Lookups > Vues attendues pourconfigurer la liste Vue attendue.
Erreurs de servicesWeb
Affiche les erreurs qui se sont produites lors du chargement de l'interfaceWeb. Contribue à identifier les vues personnalisées qui contiennent deserreurs ou un problème sous-jacent qui doit être ajusté dans Splunk.
Sources de données
Le rapport dans le tableau de bord Audit de visualisation référence les champs dans le modèle de donnéesd'audit de Splunk. Pour une liste des objets de modèle de données et des contraintes, consultez Journaux d'auditde Splunk dans le Manuel Extension Modèle d'information commun.
Protection des données
Le tableau de bord Protection des données signale l'état des contrôles d'intégrité des données.
Panneau Description
Contrôle de l’intégritédes données par index
Affiche une vue de tous les index avec protection des données activée,triés par peer de recherche. Pour plus d'informations sur la configurationet la validation de l'intégrité des données, consultez Gestion de l'intégritédes données dans Sécurisation de Splunk Enterprise. Si vous utilisezSplunk Cloud, remplissez une demande d'assistance pour demanderl'activation du contrôle d'intégrité des données.
Données sensiblesAffiche le nombre d'événements comportant des données sensibles. Cepanneau nécessite l'activation de la recherche de corrélationInformations personnellement identifiables détectées.
Tableau de bord Analyse prédictive
Utilisez le tableau de bord Analyse prédictive pour rechercher différents types d'événements anormaux dans vosdonnées. Analyse prédictive utilise la fonctionnalité d'analyse prédictive de Splunk pour fournir des informationsstatistiques à propos des résultats et identifier des valeurs extrêmes dans vos données. La commande predict peutprendre un certain temps pour générer les résultats.
Pour analyser les données grâce à l'analyse prédictive, choisissez un modèle, puis un objet, une fonction, unattribut et une plage temporelle, puis cliquez sur Rechercher.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres du tableau de bord Analyse prédictive sont implémentés de façon séquentielle, de gauche àdroite. Par exemple, le filtre Objet est renseigné en fonction de la sélection de Modèle de données.
Filtrerpar
Description
Modèlede
Spécifie le modèle de données pour la recherche. Les modèles de données disponibles s'affichent
36
dedonnées
sous forme d'une liste déroulante.
ObjetSpécifie l'objet dans le modèle de données pour la recherche. Vous devez sélectionner un Modèlede données pour appliquer un Objet.
FonctionSpécifie la fonction dans l'objet pour la recherche. Les fonctions spécifient le type d'analyse àexécuter sur les résultats de la recherche. Par exemple, choisissez « avg » pour analyser la moyennedes résultats de la recherche. Choisissez « dc » pour créer un nombre de résultats distincts.
Attribut
Spécifie les attributs de contraintes dans l'objet pour la recherche.Les attributs sont des contraintes imposées sur les résultats de la recherche. Par exemple, choisissez« src » pour afficher les résultats provenant de sources. Vous devez sélectionner un Objet pourappliquer un Attribut.
Période Sélectionnez la plage temporelle à représenter.
Avancé Accédez aux options de la commande predict.
Vous pouvez trouver davantage d'informations sur les options de la commande predict dans la documentation de laplate-forme Splunk.
Pour Splunk Enterprise, consultez les options de predict options dans Référence de recherche de SplunkEnterprise.Pour Splunk Cloud, consultez les options de predict options dans Référence de recherche de Splunk Cloud.
Panneaux du tableau de bord
Panneau Description
Historiquedesprédictions
Le panneau Historique des prédictions affiche une analyse prédictive de l'historique des résultatsen fonction de la plage temporelle que vous avez choisie. La zone ombrée montre les résultats quitombent entre deux écarts types de la valeur moyenne du total des résultats de la recherche.
Valeursextrêmes
Le panneau Valeurs extrêmes affiche les résultats qui tombent hors des deux écarts types desrésultats de la recherche.
Sources de données
Le tableau de bord Analyse prédictive référence les données dans tous les modèles de données sélectionnés del'utilisateur. Si les accélérations des modèles de données sont indisponibles ou incomplet pour la plage temporellechoisie, le tableau de bord revient à la recherche non accélérée des données brutes.
Création d'une recherche de corrélation
À partir de ce tableau de bord, vous pouvez créer une recherche de corrélation basée sur les paramètres derecherche de votre recherche d'analyse prédictive actuelle. Cette recherche de corrélation crée une alerte lorsquela recherche de corrélation renvoie un événement.
1. Cliquez sur Enregistrer comme recherche de corrélation... pour ouvrir la boîte de dialogue Créer unerecherche de corrélation.
2. Sélectionnez le domaine de sécurité et la gravité de l'événement créé par cette recherche.3. Ajoutez un nom de recherche et une description.4. Cliquez sur Enregistrer.
37
Pour afficher et modifier des recherches de corrélation, accédez à Configurer > Gestion du contenu. ConsultezConfiguration de recherches de corrélation dans Splunk Enterprise Security dans Administration de SplunkEnterprise Security.
Dépannage
Ce tableau de bord référence les données provenant de divers modèles de données. Sans les donnéesapplicables, les panneaux demeurent vides. Consultez Dépannage des tableaux de bord dans Splunk EnterpriseSecurity dans Administration de Splunk Enterprise Security.
Tableaux de bord Accès
Le domaine Protection des accès surveille les tentatives d'authentification des périphériques réseau, des terminauxet des applications au sein d'une organisation. Protection des accès est utile pour détecter des tentativesmalveillantes d'authentification, ainsi que pour identifier les systèmes auxquels des utilisateurs ont accédé demanière autorisée ou non.
Tableau de bord Centre des accès
Centre des accès fournit un résumé de tous les événements d'authentification. Ce résumé est pratique pouridentifier les incidents de sécurité impliquant des tentatives d'authentification telle que des attaques par force bruteou l'utilisation de mots de passe en clair, ainsi que pour identifier les authentifications sur certains systèmes horsdes heures de travail.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description Action
Action Filtre basé sur l’aboutissement ou l’échec de l’authentification.Liste déroulante :sélectionnez pour filtrer
App Filtre basé sur l’application d'authentification.Liste déroulante :sélectionnez pour filtrer
Domained’activité Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Accès spécialLimite la vue aux événements relatifs à un accès privilégié.Consultez Identités administratives dans Administration de SplunkEnterprise Security.
Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à afficher.Liste déroulante :sélectionnez pour filtrer
38
Panneaux du tableau de bord
Panneau Description
Historique desaccès par action
Affiche le nombre d'événements d'authentification de l'historique par action.
Historique desaccès parapplication
Affiche le nombre d'événements d'authentification de l'historique par application. Parexemple, « win:local » désigne l'authentification locale effectuée sur un systèmeWindows et « win:remote » à un accès distant à l'API.
Top des accès parsource
Affiche une table des plus grands nombres d'accès par source. Cette table est utile pourdétecter les attaques par force brute car les tentatives d'authentification agressivesaffichent un nombre disproportionné de demandes d'authentification.
Top des accès parutilisateurs uniques
Affiche une table des sources générant les plus grands nombres d'événementsd'authentification.
Tableau de bord Outil de suivi des accès
Le tableau de bord Outil de suivi des accès fournit un aperçu de l'état des comptes. Utilisez-le pour suivre lescomptes nouvellement actifs ou inactifs, ainsi que ceux qui sont inactifs depuis un certain temps, mais qui viennentde redevenir actifs. Découvrez les comptes qui n’ont pas été correctement révoqués ou inactivés après le départd’un employé.
Comme les comptes inactifs ou indûment actifs sont vulnérables face aux assaillants, il est judicieux de consulterrégulièrement ce tableau de bord. Vous pouvez également utiliser ce tableau de bord pendant une investigationpour identifier des comptes suspects et examiner de près l'activité d'accès des utilisateurs.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description Action
Domained’activité Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Accès originel -7 derniers jours
Affiche l'accès à un nouveau compte par utilisateur et destination.
Utilisation decomptes inactifs -90 derniers jours
Affiche les comptes qui ont été inactifs pendant une certaine période, mais qui montrentune activité récente.
Comptescomplètementinactifs - 90 derniersjours
Affiche les comptes qui ne montrent aucune activité. Utilisez ce panneau pour identifierles comptes qui doivent être suspendus ou retirés. Si l'organisation applique une stratégieexigeant la modification du mode passe après un intervalle spécifié, les comptes qui n'ontmontré aucun signe d'activité pendant une période supérieure à cet intervalle sontreconnus comme étant inactifs.Ce panneau indique également l'efficacité de la stratégie de l'entreprise en matière defermeture ou de révocation des comptes. Si un grand nombre de comptes s'affiche ici, leprocessus peut nécessiter une révision.
Utilisation descomptes pour lesidentités expirées -
Affiche l'activité des comptes suspendus dans la période spécifiée. Utilisez ce panneaupour vérifier que les comptes qui doivent être inactifs ne sont pas utilisés.
39
7 derniers jours
Tableau de bord Recherche d'accès
Utilisez le tableau de bord Recherche d'accès pour chercher des événements spécifiques d'authentification. Letableau de bord est utilisé dans la recherche ad hoc de données d'authentification, mais représente également unedestination principale pour les recherches d'exploration utilisées dans les panneaux du tableau de bord Anomaliesd'accès.
La page Recherche d'accès n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un lien d’exploration,ou si vous définissez un filtre et/ou une plage temporelle et que vous cliquez sur Envoyer.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description Action
Action Filtre basé sur l’aboutissement ou l’échec del’authentification.
Liste déroulante : sélectionnezpour filtrer
App Filtre basé sur l’application d'authentification.Liste déroulante : sélectionnezpour filtrer
Source Chaîne à laquelle le champ source src doit correspondre.
Champ de texte. Vide pardéfaut. Chaînes de caractèresgénériques avec un astérisque(*)
Destination Chaîne à laquelle le champ destination dest doitcorrespondre.
Champ de texte. Vide pardéfaut. Chaînes de caractèresgénériques avec un astérisque(*)
Utilisateur Chaîne à laquelle le champ utilisateur user doitcorrespondre.
Champ de texte. Vide pardéfaut. Chaînes de caractèresgénériques avec un astérisque(*)
Période Sélectionnez la plage temporelle à afficher.Liste déroulante : sélectionnezpour filtrer
Tableau de bord Gestion des comptes
Le tableau de bord Gestion des comptes affiche les modifications apportées à des comptes utilisateurs, telles quele verrouillage de comptes, les comptes nouvellement créés, les comptes désactivés et la réinitialisation des motsde passe. Utilisez ce tableau de bord pour vérifier que les comptes sont correctement administrés et que lesprivilèges d'administration des comptes sont correctement restreints. Une augmentation soudaine du nombre decomptes créés, modifiés ou supprimés peut indiquer un comportement malveillant ou un système hors de contrôle.Un nombre élevé de verrouillages de comptes peut indiquer une attaque.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description Action
Domained’activité Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Comptes Limite la vue aux événements relatifs à un accès privilégié.Liste déroulante :
40
Comptesspéciaux Consultez Identités administratives dans Administration de Splunk
Enterprise Security.
Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à afficher.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Historique degestion des comptes
Affiche l'historique de tous les événements de gestion des comptes.
Verrouillages decompte
Affiche tous les verrouillages de compte, ainsi que le nombre de tentativesd'authentification par compte.
Gestion descomptes parutilisateur source
Suit l'activité totale de gestion des comptes par utilisateur source et affiche les utilisateurssources ayant le plus grand nombre d'événements de gestion de compte. L'utilisateursource est celui qui a exécuté l'événement de gestion de compte, plutôt que celui qui en aété affecté. Par exemple, si l'utilisateur « Friday.Adams » crée un compte« Martha.Washington », alors « Friday.Adams » est l'utilisateur source.
Ce panneau aide à identifier les comptes qui ne devraient pas gérer d'autres comptes etaffiche les pics d’événements de gestion des comptes, tels que la suppression d'un grandnombre de comptes.
Top desévénements degestion des comptes
Affiche les événements de gestion les plus fréquents au cours de la période spécifiée.
Tableau de bord Activité des comptes par défaut
Le tableau de bord Activité des comptes par défaut affiche l'activité des « comptes par défaut » ou des comptesactivés par défaut sur divers systèmes tels que les périphériques d'infrastructure réseau, les bases de données etles applications. Les comptes par défaut ont des mots de passe bien connus et ne sont pas souvent correctementdésactivés lorsqu'un système est déployé.
De nombreuses stratégies de sécurité nécessitent la désactivation des comptes par défaut. Dans certains cas, vouspouvez être amené à surveiller ou à enquêter sur l'utilisation autorisée d'un compte par défaut. Il est important devérifier que les mots de passe des comptes par défaut sont modifiés avant utilisation. Un comportement anormalprovenant d’un compte par défaut peut indiquer une menace sécurité ou une violation de la stratégie. Utilisez cetableau de bord pour vous assurer que les stratégies de sécurité relatives aux comptes par défaut sont correctementsuivies.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description Action
Domained’activité Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à afficher.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
41
Historique de l’utilisationdes comptes par défautpar application
Affiche l'activité des comptes par défaut sur tous les systèmes et applicationspendant la période sélectionnée, répartie par application. Par exemple, sshd ouftpd. Les comptes par défaut sont affichés en fonction du nombre de tentatives deconnexion réussies et de l'heure de la dernière tentative. Utilisez ce graphique pouridentifier les pics d’activité de connexion des comptes par défaut par application,pouvant indiquer un incident de sécurité, mais aussi pour déterminer si l'utilisationdes comptes par défaut est courante (par exemple, un événement quotidien) ou rarepour une certaine application.
Comptes par défaut encours d’utilisation
Affiche tous les comptes utilisateurs par défaut ayant un nombre élevé de tentativesde connexion sur différents hôtes, y compris la dernière tentative effectuée. Activitéanormale d'un compte utilisateur par défaut pouvant indiquer une menace desécurité. Permet également de vérifier que le comportement des comptes par défautcorrespond à la stratégie de sécurité.
Comptes locaux pardéfaut
Répertorie tous les comptes par défaut qui sont actifs sur les systèmes del'entreprise, y compris les comptes « au repos ». Tous les comptes par défautdisponibles sont répertoriés, que le compte soit actuellement utilisé ou non. Seulsles comptes détectés sur un système local, par exemple en examinant la liste desutilisateurs sur un hôte, figurent dans cette liste.
Tableaux de bord Dépannage des accès
Ce tableau de bord référence les données provenant de divers modèles de données. Sans les donnéesapplicables, les tableaux de bord demeurent vides. Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Tableaux de bord Terminal
Le domaine Protection des terminaux offre un aperçu des événements malveillants (virus, vers, logiciels espions,outils d'attaque, logiciels publicitaires et programmes potentiellement indésirables ou PPI), ainsi que dudéploiement de la protection de vos terminaux.
Tableau de bord Centre des malware
Le Centre des malware est utile pour identifier de possibles épidémies de malware dans votre environnement. Ilaffiche l'état des événements de malware dans votre environnement et la manière dont l'état évolue dans le tempsen fonction des données rassemblées par Splunk.
Recherchez directement les événements de malware à l'aide de Recherche de malware ou cliquez sur leséléments du graphique ou sur les lignes de la table pour afficher les événements bruts. Consultez Exploration desévénements bruts pour plus d'informations sur cette fonctionnalité. Configurez les nouvelles entrées de données viale menu Paramètres.
Vous pouvez utiliser les filtres pour affiner l'affichage des événements.
Filtrer par Description Action
Action Tout, autorisé, bloqué ou différé.Liste déroulante :sélectionnez pour filtrer
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles le malware appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent en haut
42
clésdu tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historique del’activité demalware paraction
Affiche tous les malware détectés au cours de la période spécifiée, répartis par action (autorisé,bloqué, différé). Utilisez ce graphique pour détecter si un trop grand nombre d'infections sontautorisés.
Historique del’activité demalware parsignature
Affiche tous les malware détectés au cours de la période spécifiée, répartis par signature.Exemples de signatures : Mal/Packer, LeakTest, EICAR-AV-Test, TROJ_JAVA.BY. Utilisez cegraphique pour détecter les infections qui dominent dans votre environnement.
Top desinfections
Affiche un histogramme du top des infections dans votre environnement, réparties par signature.Ce panneau aide à identifier les épidémies relatives à un type spécifique de malware.
Nouveaumalware -30 derniersjours
Affiche les nouveaux malware détectés sur le réseau au cours des 30 derniers jours. Pourchaque signature de malware identifiée, la date et l'heure de la première détection et le nombretotal d'infections sont affichés. Les primo-infections sont les plus susceptibles de provoquer desépidémies.
Tableau de bord Recherche de malware
Le tableau de bord Recherche de malware aide à rechercher des événements relatifs à des malware en fonction decritères définis par des filtres de recherche. Le tableau de bord est utilisé dans la recherche ad hoc de données demalware, mais représente également une destination de choix pour les recherches d'exploration utilisées dans lespanneaux du tableau de bord Centre des malwares.
La page Recherche de malware n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un liend’exploration, ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description Action
ActionFiltre en fonction de l'action prise vis-à-vis dumalware (autorisé, bloqué ou différé).
Liste déroulante : sélectionnez pour filtrer
SignatureFiltre en fonction du malware présentant dessignatures reconnues.
Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Fichier Filtre en fonction du nom du fichier.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Destination Filtre en fonction des systèmes terminaux.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Utilisateur Filtre en fonction du nom d'utilisateur.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Période Sélectionnez la plage temporelle à afficher. Liste déroulante : sélectionnez pour filtrer
Tableau de bord Opérations sur malware
Le tableau de bord Opérations sur malware suit l'état des produits de protection terminaux déployés dans votreenvironnement. Utilisez ce tableau de bord pour voir l'état de santé général des systèmes et identifier ceux quinécessitent des mises à jour ou des modifications au niveau de leur logiciels terminaux de protection. Il estégalement possible d'utiliser ce tableau de bord pour voir comment l'infrastructure de protection terminale est gérée.
Vous pouvez cliquer sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts.Consultez Exploration des événements bruts pour plus d'informations sur cette fonctionnalité. Configurez lesnouvelles entrées de données via le menu Paramètres.
Utilisez les filtres pour affiner l'affichage des événements.
Filtrer par Description Action
DomaineChamp de texte. Vide pardéfaut. Chaînes de
43
Domained’activité
Groupe ou section de classification de l’identité.défaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles le malware appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Clients parversion deproduit
Affiche un histogramme du nombre de clients possédant une certaine version du produit deprotection terminale.
Clients parversion designature
Affiche un histogramme du nombre de clients possédant une certaine version de signature.
Infectionsrépétées
Affiche les infections répétées de malware. Triez par signature, destination, action ou nombre dejours.
Infectionsles plusanciennes
Affiche les plus anciennes infections de malware dans votre environnement. Triez par la date dedétection de l'infection (première ou dernière fois), la signature, l'hôte de destination (systèmeconcerné) ou le nombre de jours d'activité de l'infection.
Tableau de bord Centre système
Le tableau de bord Centre système affiche des informations relatives aux terminaux en plus des informationssignalées par l'antivirus déployé ou les systèmes IDS. Il signale les statistiques des terminaux et les informationsrassemblées par la plate-forme Splunk. Ce tableau de bord peut afficher la configuration système et des indicateursde performance des hôtes, tels que l'utilisation de la mémoire, du processeur, ou des disques.
Cliquez sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts. ConsultezExploration des événements bruts pour plus d'informations sur cette fonctionnalité. Configurez les nouvellesentrées de données via le menu Paramètres.
Utilisez les filtres pour affiner l'affichage des événements.
Filtrer par Description Action
Destination Nom de l'hôte du système terminal concerné.
Champ de texte. Videpar défaut. Chaînes decaractères génériquesavec un astérisque (*)
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Videpar défaut. Chaînes decaractères génériquesavec un astérisque (*)
CatégorieFiltre basé sur les catégories auxquelles le malwareappartient.
Liste déroulante :sélectionnez pourfiltrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pourfiltrer
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
44
Systèmesd’exploitation
Affiche les systèmes d'exploitation déployés sur le réseau. Utilisez ce graphique pourdétecter les systèmes d'exploitation qui ne devraient pas être présents dans votreenvironnement.
Top des charges deCPU moyennes parsystème
Affiche les systèmes du réseau avec les charges de CPU moyennes les plus élevées.
Services par nombrede systèmes
Affiche les services classés en fonction du nombre de systèmes sur lesquels ils sontprésents.
Ports par nombre desystèmes
Affiche la méthode de transport (par ex., tcp) et les ports de destination, classés enfonction du nombre de systèmes.
Remarque : Si des données incorrectes ou manquantes apparaissent dans le tableau de bord Centre système,vérifiez que les extensions technologiques qui fournissent les données à ce tableau de bord sont installées surl'intégralité des forwarders du déploiement. Les extensions technologiques contenant les connaissancesnécessaires à l'analyse des données doivent être installées sur l'intégralité des forwarders.
Tableau de bord Centre temporel
Le tableau de bord Centre temporel vous aide à assurer l'intégrité des données en identifiant les hôtes qui nesynchronisent pas correctement leur horloge.
Splunk crée une alerte lorsqu'il découvre un système dont l'heure est désynchronisée. Lorsque vous recevez unealerte, vous pouvez explorer les données brutes et enquêter de manière plus approfondie en cliquant sur l'un deséléments du graphique ou les lignes de la table dans le tableau de bord. Consultez Exploration des événementsbruts pour plus d'informations sur cette fonctionnalité.
Utilisez les filtres pour affiner l'affichage des événements.
Filtrer par Description Action
Afficheruniquementles systèmesqui devraienteffectuer unetimesync
Sélectionnez true pour filtrer en fonction des systèmes classéscomme should_timesync=true dans la table Actif ou false pour filtreren fonction des systèmes classés comme should_timesync=falsedans la table Actif. Consultez Configuration de la nouvelle listed'actifs ou d'identité dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security pour plusd'informations à propos de la configuration des actifs.
Liste déroulante :sélectionnez pour filtrer
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles le malware appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
Échecs desynchronisationtemporelle
Liste des systèmes sur lesquels la synchronisation de l'heure a échoué.
Systèmes nonsynchronisés
Affiche une liste des systèmes n'ayant pas synchronisé leur horloge au cours de la périodespécifiée
Retardd’indexation
Affiche les hôtes comportant des divergences entre l'horodatage placé par l'hôte surl'événement et l'heure à laquelle l'événement apparaît sur la plate-forme Splunk.Par exemple, si l'horodatage d'un événement et postérieur à l'heure à laquelle Splunkindexe l'événement, l'hôte date les événements comme des événements futurs. Unedifférence importante (de l'ordre de plusieurs heures) indique une mauvaise reconnaissancedu fuseau horaire.
45
Anomalies dumode dedémarrage desservicestemporels
Affiche les hôtes possédant un mode de démarrage des services temporels, tel que Manual,que les autres ne possèdent pas.
Tableau de bord Modifications de terminaux
Le tableau de bord Modifications de terminaux utilise le système de surveillance des modifications de Splunk, quidétecte les modifications des systèmes de fichiers et du registre pour illustrer les modifications et mettre enévidence les tendances au niveau des terminaux de votre environnement. Par exemple Modification de terminauxpeut vous aider à découvrir et à identifier une augmentation soudaine des modifications, ce qui pourrait indiquer unincident de sécurité.
Vous pouvez cliquer sur les éléments du graphique ou les lignes de la table de ce tableau de bord pour afficher desévénements bruts. Consultez Exploration des événements bruts pour plus d'informations sur cette fonctionnalité.
Utilisez les filtres pour affiner l'affichage des événements.
Filtrer par Description Action
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles le malware appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
Modifications determinaux par action
Résume l'historique des modifications. Une augmentation importante desmodifications peut indiquer la présence d'un incident responsable de cesmodifications sur les terminaux, tel un virus ou un ver.
Modifications determinaux par type
Résume le type des modifications observées sur les terminaux, telles que desmodifications de fichiers ou de registre.
Modifications par système Résume les modifications par système
Dernières modificationsde terminaux
Affiche les modifications des terminaux les plus récemment observées.
Tableau de bord Centre de mises à jour
Le tableau de bord Centre de mises à jour offre un aperçu supplémentaire des systèmes en affichant ceux qui nesont pas mis à jour. Il est judicieux de consulter ce tableau de bord sur une base mensuelle afin de s'assurer queles systèmes sont correctement mis à jour.
Vous pouvez cliquer sur l'un des éléments du graphique ou les lignes de la table du tableau de bord pour afficherdes événements bruts. Consultez Exploration des événements bruts pour plus d'informations sur cettefonctionnalité.
Utilisez les filtres pour affiner l'affichage des événements.
Filtrer par Description Action
Afficheruniquementles systèmesqui devraientfaire des misesà jour
Sélectionnez true pour filtrer en fonction des systèmes classéscomme should_update=true dans la table Actif ou false pour filtrer enfonction des systèmes classés comme should_update=false dans latable Actif. Consultez Configuration de la nouvelle liste d'actifs oud'identité dans Splunk Enterprise Security dans Administration deSplunk Enterprise Security pour plus d'informations à propos de la
Liste déroulante :sélectionnez pour filtrer
46
à jourconfiguration des actifs.
Destination Nom de l'hôte du système.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles le malware appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Le tableau suivant décrit les panneaux de ce tableau de bord.
Panneau Description
Indicateurs clésAffiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent enhaut du tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Top des systèmesnécessitant desmises à jour
Un histogramme des systèmes qui nécessitent une installation de mises à jour.
Top des mises àjour nécessaires
Un histogramme du top des mises à jour nécessaires dans l'environnement, triées parsignature, par exemple par numéro KB.
Systèmes non mis àjour - depuis plus de30 jours
Les systèmes n'ayant pas été mis à jour, triés en fonction du nombre de jours pendantlesquels ils n'ont pas été mis à jour.
Anomalies du modede démarrage desservices de mise àjour
Affiche tous les systèmes où la tâche ou le service de démarrage de mise à jour estdésactivé. Les administrateurs désactivent parfois les mises à jour automatiques afind'accélérer un redémarrage et peuvent oublier de réactiver le processus.
Tableau de bord Recherche de mises à jour
Le tableau de bord Recherche de mises à jour affiche des correctifs et des mises à jour par package et/oupériphérique. Ce tableau de bord permet d’identifier les périphériques ayant un correctif spécifique installé. C’estparticulièrement utile si un correctif donné cause des problèmes et que vous devez déterminer précisément lessystèmes sur lesquels il est installé.
La page Recherche de mise à jour n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un liend’exploration, ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description Action
Afficheruniquementles systèmesqui devraientfaire des misesà jour
Sélectionnez true pour filtrer en fonction dessystèmes classés comme should_update=true dansla table Actif ou false pour filtrer en fonction dessystèmes classés comme should_update=falsedans la table Actif. Consultez Configuration de lanouvelle liste d'actifs ou d'identité dans SplunkEnterprise Security dans Administration deSplunk Enterprise Security pour plusd'informations à propos de la configuration desactifs.
Liste déroulante : sélectionnez pour filtrer
État de mise àjour
Filtre fonction de l'état de la mise à jour sur unemachine.
Liste déroulante : sélectionnez pour filtrer
SignatureFiltré en fonction de la signature, par exemple le
Champ de texte. Vide par défaut. Chaînesde caractères génériques avec un
47
Signaturenuméro KB, d'une mise à jour particulière.
de caractères génériques avec unastérisque (*)
DestinationFiltre en fonction des systèmes terminauxconcernés.
Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Période Sélectionnez la plage temporelle à afficher. Liste déroulante : sélectionnez pour filtrer
Tableaux de bord Actif et identité.
Les tableaux de bord Domaines d'identité fournissent des informations sur les actifs et les identités définis dansSplunk Enterprise Security. Consultez Ajout de données d'actifs et d'identités à Splunk Enterprise Security dansAdministration de Splunk Enterprise Security pour savoir comment définir des actifs et des identités.
Tableau de bord Centre des actifs
Utilisez le tableau de bord Centre des actifs pour examiner et rechercher des objets dans les données d'actifsajoutées à Enterprise Security. Les données d'actifs représentent une liste d'hôtes, d'adresses IP et de sous-réseaux dans l'organisation, ainsi que les informations relatives à chaque actif. La liste des actifs corrèle lespropriétés des actifs aux événements indexés pour fournir un contexte tel que l'emplacement des actifs et le niveaude priorité d'un actif.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord
Filtrer par Description
Actif Un actif connu ou inconnu
Priorité Filtre en fonction du champ Priorité de la table Actif.
Domaine d’activité Groupe ou section de classification de l’actif.
Catégorie Filtre en fonction du champ Catégorie dans la table Actif.
Propriétaire Filtre en fonction du champ Propriétaire dans la table Actif.
Période Sélectionnez la plage temporelle à représenter.
Panneaux du tableau de bord
Panneau Description
Actifs parpriorité
Affiche le nombre d'actifs par niveau de priorité. L'exploration ouvre une recherche avec le niveaude priorité sélectionnée.
Actifs pardomained’activité
Affiche la quantité relative d'actifs par domaine d'activité. L'exploration ouvre une recherche avecle domaine d'activité sélectionné.
Actifs parcatégorie
Affiche la quantité relative d'actifs par catégorie. L'exploration ouvre une recherche avec lacatégorie sélectionnée.
Informationssur lesactifs
Affiche tous les actifs qui correspondent aux filtres actuels du tableau de bord. L'exploration ouvrel'inspecteur d'actifs si les champs « ip », « nt_host », « mac » ou « dns" sont sélectionnés. Tous lesautres champs ouvrent une recherche à l'aide du champ sélectionné.
Sources de données
Les rapports dans le tableau de bord Centre des actifs référencent les champs dans le modèle de donnés Actifs etidentités. Les sources de données utiles comprennent les listes d'actifs et d'identités collectées et chargées en tantque lookups, entrées scriptées ou données extraites par des recherches.
Tableau de bord Centre des identités
48
Utilisez le tableau de bord Centre des identités pour examiner et rechercher des objets dans les donnéesd'identités ajoutées à Enterprise Security. Les données d'identité représentent une liste de noms de compte, denoms légaux, de pseudos et d'autres noms, ainsi que d'autres informations associées à chaque identité. Lesdonnées d'identité sont utilisées pour corréler les informations des utilisateurs avec les événements indexés etfournir un contexte supplémentaire.
Filtrage des identités dans le Centre des identités
Le filtre du tableau de bord Centre des identités utilise un champ de recherche de paire clé=valeur. Pour filtrer lesidentités, saisissez une paire clé=valeur au lieu d'un nom ou d'une chaîne de texte.
Exemple de paires clé=valeur : email=*acmetech.com ou nick=a_nickname.
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord
Filtrer par Description
Identifiant Un utilisateur connu ou inconnu
Priorité Filtre en fonction du champ Priorité dans la table Identités.
Domaine d’activité Groupe ou section de classification de l’identité.
Catégorie Filtre en fonction du champ Catégorie dans la table Identités.
Identités sur liste de surveillanceuniquement
Filtre les identités marquées comme « liste de surveillance » dans latable des identités.
Période Sélectionnez la plage temporelle à représenter.
Panneaux du tableau de bord
Panneau Description
Identités parpriorité
Affiche le nombre d'identités par niveau de priorité. L'exploration ouvre une recherche avec leniveau de priorité sélectionnée.
Identités pardomained’activité
Affiche le nombre relatif d'identités par domaine d'activité. L'exploration ouvre une recherche avecle domaine d'activité sélectionné.
Identités parcatégorie
Affiche le nombre relatif d'identités par catégorie. L'exploration ouvre une recherche avec lacatégorie sélectionnée.
Informationssur lesidentités
Affiche tous les actifs qui correspondent aux filtres actuels du tableau de bord. L'exploration ouvrele tableau de bord investigateur d'identité si vous sélectionnez le champ identity. Tous les autreschamps ouvrent une recherche à l'aide du champ sélectionné.
Sources de données
Les rapports dans le tableau de bord Centre des identités référencent les champs dans le modèle de donnésActifs et identités. Les sources de données utiles comprennent les listes d'actifs et d'identités collectées et chargéesen tant que lookups, entrées scriptées ou données extraites par des recherches.
Tableau de bord Centre des sessions
Le tableau de bord Centre des sessions offre un aperçu des sessions du réseau. Les sessions du réseau sontutilisées pour corréler l'activité du réseau à un utilisateur qui utilise des données de session fournies par desserveurs DHCP ou VPN. Utilisez le Centre des sessions pour examiner les journaux des sessions et identifierl'utilisateur ou la machine associée à une adresse IP utilisée pendant une session. Vous pouvez examiner lesinformations de la session du réseau à partir du modèle de données Sessions réseau ou des donnéesd'associations de l'utilisateur et du périphérique à partir de Splunk UBA.
Panneaux du tableau de bord
Onglet Sessions réseau :
49
Panneau Description
Historiquedessessions
Affiche le nombre total de sessions réseau de l'historique. L'exploration ouvre une recherche avec lasession et la plage temporelle sélectionnées.
Détail dessessions
Affiche le top 1000 des sessions réseau qui ont été le plus récemment ouvertes en fonction del'heure de démarrage de la session. L'exploration ouvre une recherche avec les détails de lasession sélectionnée.
Onglet Analyse du comportement des utilisateurs :
Panneau Description
Sessionsdesentitésassociées
En fonction du filtre de recherche, affiche les sessions des utilisateurs et des périphériques associésà un périphérique que vous recherchez, ou les périphériques associés à un utilisateur que vousrecherchez. Passez le curseur de la souris sur une session pour en savoir plus sur l'activité de lasession.
Détail dessessions
Affiche l'ID d'identité à partir de Splunk UBA, le nom de l'entité, le type d'entité, les heures dedémarrage et de fin de la session et les données de l'événement à partir de Splunk UBA.Développez une ligne pour afficher davantage de détails.
Pour plus d'informations sur l'affichage des données à partir de Splunk UBA, consultez Affichage des données àpartir de Splunk UBA dans Enterprise Security.
Tableaux de bord de Dépannage des identités
Les tableaux de bord référencent les données provenant de divers modèles de données. Sans les donnéesapplicables, les panneaux demeurent vides. Consultez Dépannage des tableaux de bord dans Splunk EnterpriseSecurity dans Administration de Splunk Enterprise Security.
Tableaux de bord Inspecteur d'actifs et d'identités
Les tableaux de bord Inspecteur d'actifs et d'identité agrègent visuellement les événements relatifs à la sécuritédans le temps à l'aide de couloirs d'activités définis par des catégories. Chaque couloir d'activité représente unecatégorie d'événements : authentification, malware ou événements notables. Le couloir d'activité utilise une cartethermique pour afficher les périodes d'activité élevés et faibles. La saturation des couleurs du couloir d'activitécorrespond à la densité des événements pendant une période donnée. Par exemple, les périodes d'activité élevées'affichent dans une couleur plus sombre. Un analyste peut visuellement lier l'activité entre les catégoriesd'événements et obtenir une vue complète des interactions d'un nom ou d'un utilisateur dans l'environnement.
Inspecteur d’actifs
Le tableau de bord Inspecteur d'actifs affiche des informations à propos des actifs connus ou inconnus dans ungroupe prédéfini de catégories d'événements, telles que les malwares et les événements notables.
Utilisation du tableau de bord Inspecteur d'actifs
Vous pouvez utiliser le tableau de bord Inspecteur d'actifs pour trier les interactions d'un actif avec l'environnement.
50
Le tableau de bord contient plusieurs catégories d'événements, chacune étant représentée par son propre couloird'activité. Chaque catégorie d'événements contient les événements connexes qui correspondent à un modèle dedonnées. Par exemple, le couloir d'activité Attaques de malware affiche les événements provenant d’un outil degestion antiviral ou d'une autre source de données de malware, limitée à l'actif recherché. Plusieurs couloirsd'activités sont affichés à la fois pour faciliter le suivi des actions d'un actif sur des catégories d'événements.
En outre, vous pouvez utiliser ce tableau de bord pour une recherche ad hoc.
1. Accédez à Renseignement de sécurité > Renseignement sur les utilisateurs > Inspecteur d'actifs.2. Saisissez le nom de l'hôte ou l'adresse IP dans la barre de recherche, éventuellement avec un caractère
générique.3. Définissez une plage temporelle et cliquez sur Rechercher.
Un workflow pour l'investigation d'actif
Pour initier un workflow d'investigation d'actif, effectuez une action de workflow à partir d'un tableau de bord quiaffiche des événements avec les adresses de la source réseau et de la destination.
1. Observez la description de l'actif, en haut du tableau de bord, pour vérifier que vous avez affiché l'actif surlequel vous souhaitez enquêter. Tous les événements affichés dans les couloirs d'activité sont limités à l'actifsélectionné.
2. Utilisez le sélecteur de plage horaire pour affiner la plage temporelle générale qui vous intéresse. Utilisez lescurseurs temporels pour isoler les périodes d'événements intéressants ou les pics d'événements.
3. Ajoutez ou modifiez les couloirs d'activité à l'aide du menu d'édition. Par exemple, pour afficher les donnéescollectées sur un actif à partir des outils d'analyse de package, modifiez la collection sélectionnée de Pardéfaut à Renseignement sur les protocoles, qui représente les données de capture de paquets. ConsultezModification des couloirs d'activité.
4. Examinez les événements individuels et groupés. Après avoir sélectionné un événement, vous pouvez utiliserle Panneau des événements pour examiner les champs communs représentés dans des événementsindividuels ou groupés.
5. S'il existe un événement ou un pattern que vous souhaitez partager ou sur lequel vous souhaitez enquêter demanière plus approfondie, vous pouvez le faire à l'aide du Panneau des événements.
1. Cliquez sur Accéder à la recherche pour afficher l'exploration des événements sélectionnés.2. Cliquez sur Partager pour obtenir un lien raccourci vers la vue actuelle.3. Cliquez sur Créer un événement notable pour ouvrir une boîte de dialogue permettant de créer un
événement notable ad hoc. Consultez Création manuelle d'un événement notable dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Sources de données
Les catégories d'événements du tableau de bord Inspecteur d'actifs affichent les événements à partir d'un certainnombre de modèles de données qui contiennent un champ d'actif ou d'hôte. Dans une période sélectionnée, il estpossible qu'un actif sélectionné n'ait pas de données à afficher dans une ou plusieurs des catégoriesd'événements. Lorsqu'une recherche de modèles de données ne renvoie pas de résultats, le couloir d'activitéaffiche « La recherche n’a renvoyé aucun résultat. ». Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Investigateur d’identité
51
Le tableau de bord Investigateur d’identité affiche les informations relatives à des identités d'utilisateurs connus ouinconnus sur un groupe prédéfini de catégories d'événements, telles que l'analyse des modifications ou lesmalware.
Utilisation du tableau de bord Investigateur d’identité
Vous pouvez utiliser le tableau de bord Investigateur d’identité pour trier les interactions de l'identité d'un utilisateuravec l'environnement.
Le tableau de bord contient plusieurs catégories d'événements, chacune étant représentée par son propre couloird'activité. Chaque catégorie d'événements contient les événements connexes qui correspondent à un modèle dedonnées. Par exemple, le couloir d'activité Attaques de malware affiche les événements provenant d’un outil degestion antiviral ou d'une autre source de données de malware, limitée à l’identité ou aux identifiants utilisateurrecherchés. Plusieurs couloirs d'activités sont affichés à la fois pour faciliter le suivi des actions d'un utilisateur surdes catégories d'événements.
En outre, vous pouvez utiliser ce tableau de bord pour une recherche ad hoc.
1. Accédez à Renseignement de sécurité > Renseignement sur les utilisateurs > Investigateur d’identité.2. Saisissez un identifiant d'utilisateur dans la barre de recherche. Vous pouvez également inclure un caractère
générique.3. Définissez une plage temporelle et cliquez sur Rechercher.
Un workflow pour l'investigation d'identité
Le workflow d'investigation d'identité est initié par une action de workflow à partir d'un tableau de bord qui affichedes événements avec une adresse de source ou de destination réseau.
1. Observez la description de l'identité, en haut du tableau de bord, pour vérifier que vous avez affiché l'identitésur lequel vous souhaitez enquêter. Tous les événements affichés dans les couloirs d'activité sont limités àl'identité sélectionnée.
2. Utilisez le sélecteur de plage horaire pour affiner la plage temporelle générale qui vous intéresse. Utilisez lescurseurs temporels pour isoler les périodes d'événements intéressants ou les pics d'événements.
3. Ajoutez ou modifiez les couloirs d'activité à l'aide du menu d'édition. Par exemple, pour afficher lesinformations d'identité collectées pour la surveillance de l'activité d'un utilisateur, modifiez la collectionsélectionnée de Par défaut à Activité de l'utilisateur. Consultez Modification des couloirs d'activité.
4. Examinez les événements individuels et groupés. Après avoir sélectionné un événement, vous pouvez utiliserle Panneau des événements pour examiner les champs communs représentés dans des événementsindividuels ou groupés.
5. S'il existe un événement ou un pattern que vous souhaiteriez partager ou sur lequel vous souhaitez enquêterde manière plus approfondie, vous pouvez le faire à l'aide du Panneau des événements.
1. Cliquez sur Accéder à la recherche pour afficher l'exploration des événements sélectionnés.2. Cliquez sur Partager pour obtenir un lien raccourci vers la vue actuelle.3. Cliquez sur Créer un événement notable pour ouvrir une boîte de dialogue permettant de créer un
événement notable ad hoc. Consultez Création manuelle d'un événement notable dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Sources de données
52
Les catégories d'événements du tableau de bord Inspecteur d'identité affichent les événements à partir d'un certainnombre de modèles de données qui contiennent un champ d'identité ou d'utilisateur. Dans une périodesélectionnée, il est possible qu'une identité n'affiche pas de données dans une ou plusieurs catégoriesd'événements. Lorsqu'une recherche de modèles de données ne renvoie pas de résultats, le couloir d'activitéaffiche « La recherche n’a renvoyé aucun résultat. ». Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Modification des couloirs d'activité
Vous pouvez ajouter ou supprimer des couloirs d'activité des tableaux de bord Investigateur d’entité en ouvrant lemenu de personnalisation Modifier les couloirs. Les tableaux de bord Investigateur d’entité prennent en chargel'ajout de couloirs d'activités personnalisés groupés avec des extensions ou créés à l'aide de Gestion du contenuES. Pour plus d'informations, consultez Gestion du contenu dans Splunk Enterprise Security dans Administrationde Splunk Enterprise Security.
1. Choisissez Modifier en haut du tableau de bord.2. Sélectionnez le bouton radio d'une collection personnalisée.3. Cochez une case pour ajouter un couloir d'activité au tableau de bord.4. Décochez une case pour supprimer un couloir d'activité du tableau de bord.5. Cliquez sur la couleur en regard d'un couloir d'activité pour la modifier.6. Cliquez sur le X pour fermer le menu de modification.
Vous pouvez modifier l'ordre des couloirs d'activité dans le tableau de bord, ce qui ne nécessite pas d'accéder aumenu Modifier les couloirs.
1. Sélectionnez une catégorie de couloirs d'activité.2. Faites glissez et déposez le couloir d'activité où vous le souhaitez.
L'inspecteur d'actifs possède des couloirs d'activité supplémentaires optionnels dans la collection Renseignementsur les protocoles pour afficher les données collectées à propos d'un actif à l'aide des outils d'analyse de paquets.L'Investigateur d’identité possède des couloirs d'activité supplémentaires optionnels dans la collection Activité del'utilisateur pour afficher les données collectées à propos d'une identité pour la surveillance de l'activité del'utilisateur.
Nom du couloir d'activité Tableaux de bord Actifou Identité.
Description
Toute l’authentification Les deuxReconnaît des événements du modèle de donnéesAuthentification.
Toutes les modifications Les deuxReconnaît des événements du modèle de donnéesAnalyse des modifications.
Activité des listes de menaces Les deuxReconnaît des événements du modèle de donnéesListe des menaces.
Attaques IDS Les deuxReconnaît des événements du modèle de donnéesDétection des intrusions.
Attaques de malware Les deuxReconnaît des événements du modèle de donnéesMalware.
Événements notables Les deuxReconnaît des événements de l'index desévénements notables.
Modificateurs de risque Les deuxReconnaît des événements du modèle de donnéesAnalyse des risques.
Erreurs DNS Actif uniquementReconnaît des événements du modèle de donnéesDNS de résolution réseau.
E-mails cloud Actif uniquementReconnaît des événements du modèle de donnéesE-mail.
Certif. SSL expirés Actif uniquementReconnaît des événements du modèle de donnéesCertificats.
Erreurs HTTP Actif uniquementReconnaît des événements du modèle de donnéesWeb.
E-mails hors entreprise Identité uniquementReconnaît des événements du modèle de données
53
E-mails hors entreprise Identité uniquementE-mail.
Chargements Web horsentreprise
Identité uniquementReconnaît des événements du modèle de donnéesWeb.
Accès à distance Identité uniquementReconnaît des événements du modèle de donnéesAuthentification.
Activité des tickets Identité uniquementReconnaît des événements du modèle de donnéesGestion des tickets.
Sites sur liste de surveillance Identité uniquementReconnaît des événements du modèle de donnéesWeb.
Dépannage des tableaux de bord Inspecteur d'actifs et d'identité
Les tableaux de bord Inspecteur d'actifs et d'identité affichent les événements à partir du modèle de donnéesnommé dans chaque couloir d'activité. Lorsqu'une recherche de modèles de données ne renvoie pas de résultats,le couloir d'activité affiche « La recherche n’a renvoyé aucun résultat. ». Consultez Dépannage des tableaux debord dans Splunk Enterprise Security dans Administration de Splunk Enterprise Security.
Surveillance de l'activité des utilisateurs
Activité des utilisateurs
Le tableau de bord Activité des utilisateurs affiche des panneaux représentant des activités communesd'utilisateurs génératrices de risques. Pour plus d'informations à propos de l'établissement de scores de risque,consultez Comment Splunk Enterprise Security affecte des scores de risque.
Filtres du tableau de bord
Vous pouvez utiliser les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneauxdes tableaux de bord. Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description
Utilisateur Une identité connue ou inconnue
Domaine d’activité Groupe ou section de classification de l’identité.
Utilisateurs sur liste de surveillance Désigne une identité surveillée.
Période Sélectionnez la plage temporelle à représenter.
Panneaux du tableau de bord
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent en hautdu tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Utilisateurspar score derisque
Affiche le top 100 des utilisateurs à risque. Comme une menace interne peut se traduire par desmodifications subtiles et indirectes au niveau du comportement, ces panneaux aident l'analysteà se concentrer sur les utilisateurs les plus à risque dans l'organisation. L'exploration permetd'ouvrir le tableau de bord Inspecteur d'identité et de rechercher l'utilisateur sélectionné.
ChargementsWeb horsentreprise
Affiche les activités de chargement et de téléchargement de volume important par utilisateur. Unpattern irrégulier d'activités de chargement ou de téléchargement peut être le signe d'uneexfiltration de données. L'exploration permet d'ouvrir le tableau de bord Inspecteur d'identité etde rechercher l'utilisateur sélectionné.
Activité e-mail horsentreprise
Affiche le top 100 des utilisateurs ayant une activité e-mail de volume important vers desdomaines hors entreprise. Un pattern irrégulier d'activités e-mail de volume important ou élevépeut être le signe d'une exfiltration de données. L'exploration permet d'ouvrir le tableau de bordInspecteur d'identité et de rechercher l'utilisateur sélectionné.
Activité de54
Activité desite sur listedesurveillance
Affiche l'accès Web par utilisateur. L'accès à des catégories spécifiques de site Web pendantl'utilisation des ressources et des actifs du lieu de travail peut être le signe d'une activité demenace interne. L'exploration permet d'ouvrir le tableau de bord Inspecteur d'identité et derechercher l'utilisateur sélectionné.
Accès àdistance
Affiche l'authentification d'accès distant par utilisateur. Un utilisateur ayant une activité risquéeWeb ou de messagerie tout en utilisant des services d'accès distants peut être le signe d'uneexfiltration de données ou d'identifiants exploités. L'exploration permet d'ouvrir le tableau debord Inspecteur d'identité et de rechercher l'utilisateur sélectionné.
Activité destickets
Affiche l'activité des tickets par utilisateur. Un utilisateur ayant une activité risquée Web ou demessagerie tout en fournissant une assistance pour offrir des services supplémentaires ou unaccès interne peut être le signe d'une exfiltration de données ou d'identifiants exploités.L'exploration permet d'ouvrir le tableau de bord Inspecteur d'identité et de rechercher l'utilisateursélectionné.
Sources de données
Les rapports dans le tableau de bord Activité des utilisateurs référencent des champs de données de plusieurssources. Les sources de données pertinentes comprennent les serveurs proxy, les passerelles, les pare-feu etautres sources qui référencent un utilisateur distinct. Pour renseigner les tableaux de bord, vous devez ajouter denouveaux champs et contenus de lookup dans la liste des identités. Pour une liste des sources de donnéessupplémentaires, consultez Dépannage des tableaux de bord dans Splunk Enterprise Security dans Administrationde Splunk Enterprise Security.
Anomalies d’accès
Le tableau de bord Anomalies d'accès affiche les tentatives d'authentification simultanées provenant dedifférentes adresses IP et les trajets anormaux, en utilisant les identifiants d'utilisateurs internes et des donnéesrelatives à la position.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord
Filtrer par Description
Action Tentative d'authentification, réussie ou non.
App Le champ d'application dans le modèle de données d'authentification.
Utilisateur Une identité connue ou inconnue.
Domaine d’activité Groupe ou section de classification de l’identité.
Période Sélectionnez la plage temporelle à représenter.
Panneaux du tableau de bord
Panneau Description
Accèsgéographiquementimprobables
Affiche des utilisateurs à l'origine de plusieurs tentatives d'authentification séparées parune période et une distance improbables. Des authentifications faites dans deux lieuxgéographiques distants et séparées par un temps inférieur aux méthodes de transportordinaires peut signaler des identifiants exploités. L'exploration permet d'ouvrir le tableaude bord Recherche d'accès et effectue des recherches sur l'utilisateur sélectionné.
Accès concurrentsà une application
Affiche les utilisateurs à l'origine de plusieurs tentatives d'authentification à partird'adresses IP uniques en un court laps de temps. Ce modèle d'identification peut être lesigne d'identifiants partagés ou volés. L'exploration redirige la page vers le tableau de bordRecherche d'accès et effectue des recherches sur l'utilisateur sélectionné.
Sources de données
Le rapport dans le tableau de bord Anomalies d'accès référence les champs de données dans le modèle de
55
données Authentification. Les sources de données pertinentes comprennent les serveurs proxy, les passerelles, lespare-feu et autres sources qui référencent un utilisateur distinct. Consultez Dépannage des tableaux de bord dansSplunk Enterprise Security dans Administration de Splunk Enterprise Security.
Dépannage
Ce tableau de bord référence les données provenant de divers modèles de données. Sans les donnéesapplicables, les tableaux de bord demeurent vides. Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Analyse des risques
Le tableau de bord Analyse des risques affiche les modifications récentes apportée aux scores de risque et auxobjets ayant les scores de risque les plus élevés. En tant qu'analyste, vous pouvez utiliser ce tableau de bord pourévaluer les modifications relatives à des scores de risque et examiner les événements qui contribuent au score derisque d'un objet.
Vous pouvez utiliser le tableau de bord Analyse des risques pour examiner les modifications apportées au score derisque d'un objet, déterminer la source d'une augmentation du risque et décider si une action supplémentaire estnécessaire.
Filtres du tableau de bord
Utilisez l'un des filtres disponibles dans le tableau de bord Analyse des risques pour rechercher et filtrer lesrésultats. Un filtre est appliqué à tous les panneaux du tableau de bord, mais pas les indicateurs clés de sécurité.
Filtrerpar
Description
Source Filtrer par la recherche de corrélation qui possède des modificateurs de risque
Objet derisque
Sélectionnez un type d'objet de risque et saisissez une chaîne pour le filtrage par objet de risque. Pardéfaut le type d'objet de risque est configuré sur Tout.
Le filtre Objet de risque fonctionne en exécutant une lookup inverse par rapport aux tables d'actifs et d'identité pourrechercher tous les champs ayant été associés avec l'Objet de risque spécifié. Tous les objets associés trouvéspar la lookup inverse s'affichent alors dans le tableau de bord. Par exemple, si vous sélectionnez un type d'objet derisque système et un Objet de risque de 10.10.1.100, la lookup inverse par rapport à la table des actifs pourraitrenvoyer une adresse Mac. Le tableau de bord Analyse des risques se met à jour pour afficher tous les scores derisque appliqués à l'adresse 10.10.1.100 et une adresse MAC. Si aucune correspondance avec un autre objet n'aété trouvé dans la table d'actifs, seules les correspondances d'adresses IP du modèle de données Analyse desrisques sont affichées.
Panneaux du tableau de bord
Le tableau de bord Analyse des risques offre des vues supplémentaires pour aider à l'analyse des modificationsdes scores de risque et des causes des modifications. Utilisez les filtres pour affiner la vue sur un objet ou ungroupe d'objets spécifique. Utilisez l'exploration pour explorer les données en tant qu'événements.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historiquedesmodificateursde risque
Affiche l'historique des modifications apportées aux modificateurs de risque. Utilisez les filtres detableau de bord pour affiner la vue sur un objet ou un groupe d'objets spécifique. L'explorationouvre une recherche sur tous les événements du modèle de données Risque focalisée sur lapériode sélectionnée.
Score derisque parobjet
Affiche les objets ayant les scores de risque les plus élevés. L'exploration ouvre une rechercheavec l'objet de risques sélectionnés et focalisée sur la période sélectionnée.
Sources lesplus actives
Affiche les recherches de corrélations qui contribuent à la plus grande part du risque d'un objet.L'exploration ouvre une recherche avec la source sélectionnée.
Derniers56
Derniersmodificateursde risque
Affiche une table des modifications les plus récentes dans un score de risque, la source desmodifications et l'objet.
Tableaux de bord Réseau
Le domaine Protection réseau offre un aperçu du réseau et des périphériques basés sur le réseau, notamment lesrouteurs, les switches, les pare-feu et les périphériques IDS. Ce domaine agrège tout le trafic sur le réseau : volumeglobal, modèles spécifiques de trafic, périphériques ou utilisateurs générateurs de trafic et trafic par port. Il afficheégalement les résultats des scanners de vulnérabilités sur le réseau.
Tableau de bord Centre du trafic
Le tableau de bord Centre du trafic dresse le profil du trafic réseau général, aide à détecter les tendances selon letype et les variations de volume de trafic et contribue à isoler la cause (par exemple, une source ou un périphériqueparticulier) de ces modifications. Ceci aide à déterminer le moment où une augmentation de trafic constitue unproblème de sécurité et le moment où il est dû à un problème sans rapport avec un serveur ou un autrepériphérique du réseau.
Vous pouvez utiliser les filtres pour limiter le nombre d'éléments affichés. Configurez de nouvelles entrées dedonnées grâce au menu Paramètres ou recherchez directement des événements particuliers d'intrusion dans leréseau grâce à Examen des incidents.
Filtrer par Description Action
Action Filtre basé sur les actions des règles du pare-feu.Liste déroulante :sélectionnez pour filtrer
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Indicateurs clésAffiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent enhaut du tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historique du traficpar action
Affiche le trafic réseau par action. L'exploration redirige la page vers le tableau de bordRecherche de trafic et effectue des recherches sur l'action et la plage temporellesélectionnées.
Historique du traficpar protocole
Affiche le nombre d'événements par jour pour un protocole spécifié. L'exploration redirigela page vers le tableau de bord Recherche de trafic et effectue des recherches sur leprotocole et la plage temporelle sélectionnés.
Top des sources
Affiche le top des sources du volume total de trafic dans la période sélectionnée avec unesparkline qui représente les pics de correspondance d'événements. L'exploration ouvre letableau de bord Recherche de trafic et effectue des recherches sur l'IP source et la plagetemporelle sélectionnées.
Activité de balayage(nombreuxsystèmes)
Affiche l'activité du réseau à partir des scanners de port ou des scanners de vulnérabilitéset contribue à identifier les instances non autorisées de ces scanners. L'explorationredirige la page vers le tableau de bord Recherche de trafic et effectue des recherchessur l'IP source et la plage temporelle sélectionnées.
Tableau de bord Recherche de trafic
57
Le tableau de bord Recherche de trafic aide à rechercher des données de protocoles réseau affinées par desfiltres de recherche. Le tableau de bord est utilisé dans la recherche ad hoc de données de réseau, mais représenteégalement une destination de choix pour les recherches d'exploration utilisées dans les panneaux du tableau debord Centre du trafic.
La page Recherche de trafic n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un lien d’exploration,ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description Action
Action Filtre basé sur les actions des règles du pare-feu. Liste déroulante : sélectionnez pour filtrer
Source Filtre en fonction de l'IP source ou du nom.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Destination Filtre basé sur le nom ou l'IP de destination.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Protocole detransport
Filtre basé sur le protocole de transport. Liste déroulante : sélectionnez pour filtrer
Port dedestination
Filtre basé sur le port de l'hôte de destination.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Période Sélectionnez la plage temporelle à afficher. Liste déroulante : sélectionnez pour filtrer
Tableau de bord Centre des intrusions
Le Centre des intrusions offre un aperçu de tous les événements d'intrusion dans le réseau à partir des donnéesdes dispositifs des systèmes de détection d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS). Cetableau de bord aide à signaler l'activité IDS pour afficher les tendances en termes de gravité et en volumed'événements IDS.
Filtrer par Description Action
Type d’IDSFiltre basé sur la correspondance des événements avec un typespécifié d'IDS.
Liste déroulante :sélectionnez pour filtrer
Catégoried’IDS
Filtre basé sur la correspondance d'événements avec descatégories définies par le fournisseur.
Liste déroulante :sélectionnez pour filtrer
Gravité Filtre basé sur la gravité des événements.Liste déroulante :sélectionnez pour filtrer
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à afficher.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Indicateurs clésAffiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent enhaut du tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historique desattaques par gravité
Affiche le top de l'historique des attaques par gravité. L'exploration ouvre le tableau debord Recherche d'intrusion et effectue des recherches sur la gravité et la plage temporellesélectionnées.
58
Top des attaquesAffiche le top des attaques par nombre et signature. L'exploration permet d'ouvrir letableau de bord Recherche d'intrusions et effectue des recherches sur la signaturesélectionnée.
Activité de balayage(nombreusesattaques)
Affiche les IP source qui présentent un pattern d'attaque. L'exploration ouvre le tableau debord Recherche d'intrusions et effectue des recherches sur l'IP source et la plagetemporelle sélectionnées.
Nouvelles attaques -30 derniers jours
Affiche les attaques qui ont été identifiées pour la première fois. Les vecteurs denouvelles attaques indiquent qu'un changement est survenu au niveau du réseau,potentiellement en raison d'une nouvelle menace, telle qu'une infection par un nouveaulogiciel malveillant. L'exploration ouvre le tableau de bord Recherche d'intrusion eteffectue des recherches sur la signature et la plage temporelle sélectionnées.
Tableau de bord Recherche d'intrusions
Le tableau de bord Recherche d'intrusions aide à rechercher des événements IDS tels que des attaques ou uneactivité de reconnaissance, en s'appuyant sur les critères définis par les filtres de recherche. Le tableau de bord estutilisé dans la recherche ad hoc de données de réseau, mais représente également une destination de choix pourles recherches d'exploration utilisées dans les panneaux du tableau de bord Centre des intrusions.
La page Recherche d’intrusions n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un liend’exploration, ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description Action
Catégoried’IDS
Filtre basé sur la correspondance d'événementsavec des catégories définies par le fournisseur.
Liste déroulante : sélectionnez pour filtrer
Gravité Filtre basé sur la gravité des événements. Liste déroulante : sélectionnez pour filtrer
Signature Filtre basé sur le nom de la signature IDS.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Source Filtre en fonction de l'IP source ou du nom.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Destination Filtre basé sur le nom ou l'IP de destination.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Période Sélectionnez la plage temporelle à afficher. Liste déroulante : sélectionnez pour filtrer
Tableau de bord Centre des vulnérabilités
Le Centre des vulnérabilités offre un aperçu des événements de vulnérabilité à partir des données despériphériques.
Filtrer par Description Action
Gravité Filtre basé sur la gravité des événements. Liste déroulante : sélectionnez pour filtrer
Domained’activité
Groupe ou section de classification de l’identité.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
CatégorieFiltre basé sur les catégories auxquelles l'hôteappartient.
Liste déroulante : sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter. Liste déroulante : sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
59
Indicateurs clésAffiche les indicateurs relatifs aux sources du tableau de bord au cours des 60 derniersjours. Les indicateurs clés représentent des informations résumées et s'affichent en hautdu tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Top desvulnérabilités
Affiche les problèmes les plus communs signalés par les scanners de vulnérabilité. Lesproblèmes signalés sont agrégés par l'hôte de sorte que le graphique représente lenombre d'occurrences uniques du problème, par opposition au nombre de fois où leproblème a été détecté (car le balayage d'un seul hôte à plusieurs reprises révéleravraisemblablement les mêmes vulnérabilités à chaque fois). L'exploration ouvre letableau de bord Recherche des vulnérabilités et effectue des recherches sur la signatureet la plage temporelle sélectionnées.
Hôtes les plusvulnérables
Affiche les hôtes présentant le nombre le plus important de problèmes signalés.L'exploration ouvre le tableau de bord Recherche des vulnérabilités et effectue desrecherches sur la gravité, l'hôte et la plage temporelle sélectionnés.
Vulnérabilités pargravité
Affiche les problèmes par gravité affectés par le scanner de vulnérabilité. Aide à identifierles tendances qui ne sont pas visibles lors de l'examen individuel de vulnérabilités.L'exploration ouvre le tableau de bord Recherche des vulnérabilités et effectue desrecherches sur la gravité et la plage temporelle sélectionnées.
Nouvellesvulnérabilités
Affiche les nouvelles vulnérabilités les plus récentes détectées ainsi que la date de lapremière observation de chacune d'elles. Aide à identifier les nouveaux problèmes quiapparaissent sur le réseau et qui doivent faire l'objet d'une investigation commenouveaux vecteurs potentiels d'attaque. L'exploration ouvre le tableau de bord Recherchedes vulnérabilités et effectue des recherches sur la signature et la plage temporellesélectionnées.
Tableau de bord Opérations sur les vulnérabilités
Le tableau de bord Opérations sur les vulnérabilités suit l'état et l'activité des produits de détection de vulnérabilitésdéployés dans votre environnement. Utilisez ce tableau de bord pour consulter l'état de santé général de vossystèmes de balayage, identifier les problèmes à long terme et afficher les systèmes qui ne sont plus balayés à larecherche de vulnérabilités.
Filtrer par Description Action
Domained’activité
Groupe ou section de classification de l’identité.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
CatégorieFiltre basé sur les catégories auxquelles l'hôteappartient.
Liste déroulante : sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter. Liste déroulante : sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Historique d’activitédes balayage
Affiche l'historique de l'activité de balayage des vulnérabilités par système. Passez lecurseur de la souris sur un élément pour obtenir des détails. L'exploration ouvre letableau de bord Recherche des vulnérabilités et effectue des recherches sur la plagetemporelle sélectionnée.
Vulnérabilités parâge
Affiche les vulnérabilités détectées par âge, avec la signature, la destination et l'heure del'événement. Cliquez sur un élément pour afficher le Profileur de vulnérabilité pour plusde détails. L'exploration ouvre le tableau de bord Recherche des vulnérabilités et effectuedes recherches sur la signature ou l'hôte de destination et la plage temporellesélectionnés.
Balayage délinquantAffiche les balayages de vulnérabilité d'une gravité « élevée ». Inclut la signature.L'exploration ouvre le tableau de bord Recherche des vulnérabilités et effectue desrecherches sur l'hôte de destination et la plage temporelle sélectionnés.
Tableau de bord Recherche des vulnérabilités
60
Le tableau de bord Recherche des vulnérabilités affiche une liste de tous les événements relatifs à desvulnérabilités en fonction de critères définis par des filtres de recherche. Le tableau de bord est utilisé dans larecherche ad hoc de données de vulnérabilités, mais représente également une destination de choix pour lesrecherches d'exploration utilisées dans les panneaux du tableau de bord Centre des vulnérabilités.
Le tableau de bord Recherche des vulnérabilités n'affiche pas de résultats, excepté si elle a été ouverte à partird'un lien d’exploration, ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description Action
Catégorie de vuln.Filtre basé sur la correspondanced'événements avec des catégories définiespar le fournisseur.
Liste déroulante : sélectionnez pour filtrer
Gravité Filtre basé sur la gravité des événements. Liste déroulante : sélectionnez pour filtrer
SignatureFiltre basé sur le nom de la signature dufournisseur.
Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Référence (bugtraq,cert, cve, etc.)
Filtre basé sur des normes de référencesconnues.
Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
Destination Filtre basé sur le nom ou l'IP de destination.Champ de texte. Vide par défaut. Chaînesde caractères génériques avec unastérisque (*)
PériodeSélectionnez la plage temporelle àreprésenter.
Liste déroulante : sélectionnez pour filtrer
Tableaux de bord de Dépannage du réseau
Ce tableau de bord référence les données provenant de divers modèles de données. Sans les donnéesapplicables, les tableaux de bord demeurent vides. Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Tableaux de bord Centre Web et Modifications de réseau
Centre Web
Vous pouvez utiliser le tableau de bord Centre Web pour établir le profil des événements du trafic Web dans votredéploiement. Ce tableau de bord signale le trafic Web rassemblé par Splunk à partir des serveurs proxy. Il est utilepour dépanner des problèmes potentiels tels qu'une utilisation excessive de la bande passante ou des proxy qui neservent plus de contenu à des clients proxy. Vous pouvez également utiliser le Centre Web pour établir le profil dutype de contenu que les clients demandent et la quantité de bande passante utilisée par chaque client.
Vous pouvez configurer de nouvelles entrées de données via Paramètres Splunk ou rechercher directement desévénements particuliers de trafic via Examen des incidents. Utilisez les filtres en haut de l'écran pour limiter leséléments affichés. Les filtres ne s'appliquent pas aux indicateurs clés.
Filtrer par Description Action
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
61
Indicateurs clésAffiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent enhaut du tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historique desévénements parméthode
Affiche le nombre total des événements proxy de l'historique, agrégés par Méthode laméthode HTTP demandée par le client (POST, GET, CONNECT, etc.).
Historique desévénements par état
Affiche le nombre total d'événements proxy, agrégés par état, ou l'état HTTP de laréponse.
Top des sources
Les sources associées au volume le plus important du trafic réseau. Cela permetnotamment d’identifier les sources qui utilisent une quantité excessive de trafic réseau(par exemple, des hôtes de partage de fichiers) ou des destinations fréquemmentdemandées qui génèrent de grandes quantités de trafic réseau (par exemple, YouTubeou Pandora).
Top desdestinations
Les destinations associées au volume le plus important du trafic réseau. Cela permetnotamment d’identifier les sources qui utilisent une quantité excessive de trafic réseau(par exemple, des hôtes de partage de fichiers) ou des destinations fréquemmentdemandées qui génèrent de grandes quantités de trafic réseau (par exemple, YouTubeou Pandora).
Recherche Web
Le tableau de bord Recherche Web aide à rechercher des événements Web intéressants, basés sur les critèresdéfinis par des filtres de recherche. Le tableau de bord est utilisé dans la recherche ad hoc de données Web, maisreprésente également une destination de choix pour les recherches d'exploration utilisées dans les panneaux dutableau de bord Recherche Web.
Le tableau de bord Recherche Web n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un liend’exploration, ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description Action
MéthodeHTTP
Filtre basé sur la méthode HTTP.Champ de texte. Vide par défaut.Chaînes de caractères génériquesavec un astérisque (*)
État HTTP Filtre basé sur la le code d'état HTTP.Champ de texte. Vide par défaut.Chaînes de caractères génériquesavec un astérisque (*)
Source Filtre en fonction de l'IP source ou du nom.Champ de texte. Vide par défaut.Chaînes de caractères génériquesavec un astérisque (*)
Destination Filtre basé sur le nom ou l'IP de destination.Champ de texte. Vide par défaut.Chaînes de caractères génériquesavec un astérisque (*)
URL Filtre basé sur les détails de l'URL.Champ de texte. Vide par défaut.Chaînes de caractères génériquesavec un astérisque (*)
Période Sélectionnez la plage temporelle à afficher.Liste déroulante : sélectionnez pourfiltrer
Modifications de réseau
Utilisez le tableau de bord Modification de réseau pour suivre les modifications de configuration des pare-feu etd'autres périphériques réseau de votre environnement. Ce tableau de bord facilite le dépannage des problèmes despériphériques ; en effet, lorsque des pare-feu et d'autres périphériques tombent en panne, c’est souvent dû à unerécente modification de la configuration.
Filtrer par Description Action
DomaineChamp de texte. Vide pardéfaut. Chaînes de
62
Domained’activité
Groupe ou section de classification de l’identité.défaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Période Sélectionnez la plage temporelle à représenter.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Modifications duréseau par action
Affiche toutes les modifications apportées au périphérique par type de modification, ou, siun périphérique a été ajouté, supprimé, modifié ou changé. L'exploration ouvre le tableaude bord « Nouvelle recherche » et effectue des recherches sur l'action et la plagetemporelle sélectionnées.
Modifications duréseau parpériphérique
Affiche tous les périphériques qui ont été modifiés ainsi que le nombre de modifications,triés en fonction des périphériques ayant le plus grand nombre de modifications.L'exploration ouvre le tableau de bord « Nouvelle recherche » et effectue des recherchessur le périphérique et la plage temporelle sélectionnés.
Dernièresmodifications deRéseau
Affiche une table des modifications les plus récentes apportées la veille au périphériqueréseau.
Dépannage
Ce tableau de bord référence les données provenant de divers modèles de données. Sans les donnéesapplicables, les tableaux de bord demeurent vides. Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Tableau de bord Outil de suivi des ports et des protocoles
L'outil de suivi des ports et des protocoles suit l'activité des ports et des protocoles, en fonction des règlesconfigurées dans Configurer > Enrichissement des données > Listes et Lookups dans Enterprise Security. Latable de lookup spécifie les ports réseau que l'entreprise autorise. À partir de ce tableau de bord, vous pouvezafficher la nouvelle activité en fonction du port pour identifier les périphériques qui ne sont pas conformes à lastratégie de l'entreprise, et détecter le trafic interdit.
Filtrer par Description Action
Domained’activité
Groupe ou section de classification de l’identité.
Champ de texte. Vide pardéfaut. Chaînes decaractères génériquesavec un astérisque (*)
Catégorie Filtre basé sur les catégories auxquelles l'hôte appartient.Liste déroulante :sélectionnez pour filtrer
Panneaux du tableau de bord
Panneau Description
Profileur deport/protocole
Affiche l'historique du volume d'activité des ports et du transport réseau, pour évaluer sil'activité des ports a tendance à augmenter ou à diminuer. De brusques augmentations del'activité non approuvée des ports peuvent indiquer une modification des périphériquesréseau, telle qu'une infection. L'exploration ouvre le tableau de bord « Nouvellerecherche » et effectue des recherches sur le port de destination de transport et la plagetemporelle sélectionnés.
Nouvelle activité auniveau des ports -7 derniers jours
Affiche un tableau de l’historique de communication du trafic de transport et des ports.L'exploration ouvre le tableau de bord Recherche de trafic et effectuer des recherches surle transport et la plage temporelle sélectionnés.
63
Historique de traficinterdit ou nonsécurisé -24 dernières heures
Affiche l'historique du volume d'activité interdite des ports réseau et aide à déterminer sil'activité non approuvée des ports a tendance à augmenter ou à diminuer. L'explorationouvre le tableau de bord « Nouvelle recherche » et effectue des recherches sur le port dedestination de transport et la plage temporelle sélectionnés.
Détails du traficinterdit -24 dernières heures
Affiche un tableau du nombre d'événements interdits de trafic réseau. L'exploration ouvrele tableau de bord « Nouvelle recherche » et effectue des recherches sur l'IP source, l'IPde destination, le transport, le port et la plage temporelle sélectionnée.
Dépannage
Ce tableau de bord référence les données provenant de divers modèles de données. Sans les donnéesapplicables, les tableaux de bord demeurent vides. Consultez Dépannage des tableaux de bord dans SplunkEnterprise Security dans Administration de Splunk Enterprise Security.
Tableaux de bord Renseignement sur les protocoles.
Renseignement sur les protocoles est une collection de tableaux de bord et de recherches qui signalent lesinformations collectées à partir de protocoles réseau courants. En tant qu'analyste, vous pouvez utiliser cestableaux de bord pour avoir un aperçu des protocoles HTTP, DNS, TCP/UDP, TLS/SSL et des protocolescommuns de messagerie sur votre système ou réseau.
Le tableau de bord Renseignement sur les protocoles utilise des données de capture de paquets. Les données decapture de paquets contiennent des informations relatives à la sécurité généralement non collectées dans lesfichiers de journaux. L'intégration des données des protocoles réseau offre une riche source de contextessupplémentaires lors de la détection, de la surveillance et de la prise en charge des menaces de sécurité.
Obtenez des données de capture de paquets à partir d'applications telles que Splunk Stream et l'extension Splunkpour Bro IDS. Sans données applicables, les tableaux de bord sont vides.
Pour plus d'informations sur l'intégration de Splunk Stream à Splunk Enterprise Security, consultez Intégrationde Splunk Stream dans le Manuel d'installation et de mise à niveau d'Enterprise Security.Pour plus d'informations sur les protocoles pris en charge dans Splunk Stream, consultez Protocole pris encharge dans le Manuel de l'utilisateur de Splunk Stream.
Centre des protocoles
Le tableau de bord centre des protocoles offre un aperçu des données des protocoles réseau relatives à la sécurité.Les recherches du tableau de bord affichent les résultats en fonction de la période sélectionnée à l'aide dusélecteur de tableaux de bord.
Panneaux du tableau de bord
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Connexionsparprotocole
Affiche l'ensemble de toutes les connexions de protocoles, triées par protocole au cours dutemps. La distribution des connexions par protocole affiche les protocoles les plus courantsutilisés dans un environnement, tels que les protocoles de messagerie électronique etHTTP/SSL. Un protocole exploité peut afficher un nombre disproportionné de connexions pourson type de service.
Utilisationparprotocole
Affiche l'ensemble du trafic de tous les protocoles en octets, triés par protocole au cours dutemps. La bande passante utilisée par protocole affiche une cohérence par rapport au trafic totaldu réseau. Un protocole exploité peut afficher une augmentation de trafic disproportionnée parrapport à son utilisation.
Top dessources deconnexion
Affiche le top 10 des hôtes par trafic total de protocole envoyé et reçu au cours du temps. Un hôteaffichant une activité de connexion importante peut subir une forte charge, subir un problème ouprésenter une activité suspecte. L'exploration redirige la page vers le tableau de bord Recherchede trafic et effectue des recherches sur l'IP source sélectionnée.
Utilisationdes ports
Affiche l'ensemble du trafic des protocoles, trié par port inférieur à 1024, au cours du temps. Labande passante utilisée par port indique sa cohérence par rapport au trafic total du réseau. Unprotocole exploité peut afficher une augmentation de la bande passante disproportionnée par
64
connus rapport à son utilisation. L'exploration redirige la page vers le tableau de bord Recherche de traficet effectue des recherches sur le port sélectionné.
Connexionsà durée devie longue
Affiche les connexions TCP se prolonge au-delà de 3 minutes. Une connexion de longue duréeentre des hôtes peut constituer une activité inhabituelle ou suspecte. L'exploration permet d'ouvrirle tableau de bord Recherche de trafic et effectue des recherches sur l'événement sélectionné.
Sources de données
Les rapports dans le tableau de bord Centre des protocoles utilisent les champs du modèle de données Traficréseau. Les sources de données correspondantes comprennent tous les périphériques ou utilisateurs qui génèrentdu trafic de protocole TCP et UDP sur le réseau, capturé à partir de scanners de vulnérabilités et d'outils d'analysedes paquets tels que Splunk Stream et le moniteur de sécurité réseau Bro.
Analyse des volumes de trafic
Utilisez le tableau de bord Analyse des volumes de trafic pour comparer les données de trafic aux donnéesstatistiques et découvrir des valeurs extrêmes signalant un trafic anormal dans votre environnement. Toutes lesdonnées de trafic, telles que les flux de pare-feu, de routeur, de commutateur ou de réseau peuvent être résumés etaffichés dans ce tableau de bord.
Enquêtez sur les longueurs en octets des données de trafic pour trouver des connexions affichant un grandnombre d'octets par demande, ou pour identifier celles qui effectuent un nombre élevé de tentatives deconnexion avec de petits volumes d'octets.Utilisez le graphique pour déceler des patterns suspects dans les données envoyées.Explorez les données résumées pour rechercher des sources/destinations anormales de trafic.
Filtres du tableau de bord
Utilisez les filtres pour affiner la liste des événements de volume de trafic sur le tableau de bord.
Filtrerpar
Description
Indexdesécarts-types
Le pourcentage (%) affiche la quantité de données filtrées si ce nombre d’écarts-types est sélectionné.Choisissez un nombre plus important d'écarts pour voir moins de chaînes de user agents, ouchoisissez un nombre plus petit d’écarts pour voir un plus grand nombre de chaînes de user agent.
Période Sélectionnez la plage temporelle à représenter.
Filtrageavancé
Cliquez pour voir la liste des événements des catégories qui peuvent être filtrés pour ce tableau debord. Consultez Configuration du filtrage par panneau dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
Panneaux du tableau de bord
Cliquez sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts. ConsultezExploration des événements bruts pour plus d'informations sur cette fonctionnalité. Le tableau suivant décrit lespanneaux de ce tableau de bord.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historiquedesanomaliesde volumede trafic
Le graphique affiche l'historique du nombre de volumes anormaux de trafic dans votreenvironnement. Il affiche les volumes de trafic supérieurs au nombre d'écarts-types sélectionnésdans le filtre (2 par défaut) affiché sur un graphique en courbe avec le temps sur l'axe desabscisses et le nombre sur l'axe des ordonnées.
Détail desvolumesde trafic
Tableau qui affiche chaque événement de trafic et les détails connexes, tel que le volume desévénements de trafic en octets. S'il existe plus d'un événement provenant d'une adresse IP source,la colonne count affiche le nombre d'événements vus. Dans la colonne bytes, le minimum, lemaximum et le nombre moyen d'octets de l'événement de trafic sont affichés. Z indique les écarts-
65
types pour l'événement de trafic.
Activité DNS
Le tableau de bord Activité DNS une présentation des données relatives à l'infrastructure DNS en cours desurveillance. Les recherches du tableau de bord affichent les résultats en fonction de la période sélectionnée àl'aide du sélecteur de tableaux de bord.
Panneaux du tableau de bord
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Top descodes deréponsepar sourceunique
Affiche le top des codes de réponse DNS observés sur les hôtes. Un hôte initiant un grand nombrede requêtes DNS vers des domaines inconnus ou non disponibles produira un grand nombred'échecs de lookup DNS avec quelques succès. Ce modèle de requêtes DNS peut constituer unetentative d'exfiltration ou une activité suspecte. L'exploration permet d'ouvrir le tableau de bordRecherche DNS et effectue des recherches sur le code de réponse sélectionné.
Top dessources derequêtesDNS
Affiche le top des sources de requêtes DNS sur le réseau. Un hôte envoyant un grand nombre derequêtes DNS peut-être mal configuré, victime de problèmes techniques ou constituer une activitésuspecte. L'exploration permet d'ouvrir le tableau de bord Recherche DNS et effectue desrecherches sur l'adresse IP source sélectionnée.
Top desrequêtesDNS
Affiche le top 10 de l'historique des requêtes DNS REQUÊTE. L'exploration permet d'ouvrir letableau de bord Recherche DNS et effectue des recherches sur l'adresse de l'hôte interrogé.
Requêtespardomaine
Affiche les requêtes les plus communes regroupées par domaine. Un domaine non familierrecevant un grand nombre de requêtes de la part d'hôtes du réseau peut représenter une tentatived'exfiltration ou une activité suspecte. L'exploration permet d'ouvrir le tableau de bord RechercheDNS et effectue des recherches sur l'adresse du domaine interrogé.
DernièresrequêtesDNS
Affiche les 50 requêtes les plus récentes de réponse DNS avec des détails supplémentaires.L'exploration permet d'ouvrir le tableau de bord Recherche DNS et effectue des recherches surl'adresse interrogée sélectionnée.
Sources de données
Les rapports dans le tableau de bord DNS utilisent les champs du modèle de données Résolution réseau. Lessources de données correspondantes comprennent tous les périphériques ou utilisateurs qui génèrent du trafic deprotocole DNS sur le réseau, capturé à partir de scanners de vulnérabilités et d'outils d'analyse des paquets telsque Splunk Stream et le moniteur de sécurité réseau Bro.
Recherche DNS
Le tableau de bord Recherche DNS aide à rechercher des données de protocoles DNS affinées par des filtres derecherche. Le tableau de bord est utilisé dans la recherche ad hoc de données DNS, mais représente égalementune destination de choix pour les recherches d'exploration des panneaux du tableau de bord DNS.
La page Recherche DNS n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un lien d’exploration, ousi vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description
Source Adresse IP source
Destination Adresse IP de destination
Requête Requête DNS
Type demessage
Type de message DNS : Requête, Réponse ou Tous.
66
Code de réponseType de réponse DNS : Tous, Toutes les erreurs et une liste des Codes de réponsecommuns.
Activité SSL
Le tableau de bord Activité SSL affiche une présentation du trafic et des connexions qui utilisent SSL. En tantqu'analyste, vous pouvez utiliser ces tableaux de bord pour afficher et examiner le trafic chiffré SSL par utilisation,sans déchiffrer la charge utile. Les recherches du tableau de bord affichent les résultats en fonction de la périodesélectionnée à l'aide du sélecteur de tableaux de bord.
Panneaux du tableau de bord
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
ActivitéSSL parnomcommun
Affiche les connexions SSL sortantes par nom commun (CN) du certificat SSL utilisé. Un domainenon familier recevant un grand nombre de connexion SSL de la part d'hôtes du réseau peutreprésenter une activité inhabituelle ou suspecte. L'exploration redirige la page vers le tableau debord Recherche SSL et effectue des recherches sur le nom commun sélectionné.
Sessionscloud SSL
Affiche le nombre de sessions actives par CN qui représente un service cloud connu. Le CN estcomparé à une liste de domaines de services cloud préconfigurés dans le fichier de lookupDomaines de cloud. Pour plus d'informations sur la modification des lookup dans ES, consultezCréation et gestion de lookups dans Splunk Enterprise Security dans Administration de SplunkEnterprise Security. L'exploration ouvre le tableau de bord Recherche SSL et effectue desrecherches sur l'IP source et le nom commun sélectionnés.
DernièressessionsSSL
Affiche les 50 sessions SSL les plus récentes dans un tableau avec des informationssupplémentaires à propos de la clé SSL. Les champs ssl_end_time, ssl_validity_window etssl_is_valid utilisent un texte codé par couleur pour une identification rapide des certificatsexpirés, brefs ou invalides. L'exploration redirige la page vers le tableau de bord Recherche SSLet affiche les détails complets de l'événement sélectionné.
Sources de données
Les rapports dans le tableau de bord Activité SSL utilisent les champs du modèle de données Données descertificats. Les sources de données correspondantes comprennent tous les périphériques ou utilisateurs quigénèrent du trafic de protocole SSL sur le réseau, capturé à partir de scanners de vulnérabilités et d'outils d'analysedes paquets tels que Splunk Stream et le moniteur de sécurité réseau Bro.
Recherche SSL
Le tableau de bord Recherche SSL aide à rechercher des données de protocoles SSL affinées par des filtres derecherche. Le tableau de bord est utilisé dans la recherche ad hoc de données du protocole SSL, mais représenteégalement une destination de choix pour les recherches d'exploration des panneaux du tableau de bord de l'activitéSSL.
La page Recherche SSL n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un lien d’exploration, ousi vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description
Source Adresse IP source
Destination Adresse IP de destination
Nom commun del’expéditeur/objet
Nom commun récupéré à partir des champs Objet ou Émetteur du certificatx.509.
Numéro de série du certificat Champ Numéro de série du certificat x.509.
Hash de certificat Champ Signature du certificat x.509.
Activité e-mail67
Le tableau de bord Activité e-mail affiche une présentation des données relatives à l'infrastructure de messagerieen cours de surveillance. Les recherches du tableau de bord affichent le résultat en fonction de la périodesélectionnée à l'aide du sélecteur de tableaux de bord.
Panneaux du tableau de bord
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Top dessources d’e-mails
Affiche les hôtes qui génèrent le plus de trafic de protocoles d'e-mails. Un hôte qui envoie unequantité excessive d'e-mails sur le réseau peut constituer une activité inhabituelle ou suspecte.La périodicité affichée sur les hôtes qui apparaissent sur les sparklines peut être le signe d'uneaction scriptée. L'exploration ouvre le tableau de bord Recherche e-mail et effectue desrecherches sur l'IP source sélectionnée.
E-mailsvolumineux
Affiche les hôtes qui envoient des e-mails d'une taille supérieure à 2 Mo. Un hôte qui envoie àplusieurs reprises des e-mails volumineux peut constituer une activité suspecte ou uneexfiltration de données. L'exploration ouvre le tableau de bord Recherche e-mail et effectue desrecherches sur l'IP source sélectionnée.
Expéditeursrarement vus
Affiche les adresses e-mail d’expéditeurs qui envoient des e-mails peut fréquemment. Uneadresse qui représente un compte de service ou un non-utilisateur envoyant un e-mail peutindiquer une activité suspecte ou une tentative d'hameçonnage. L'exploration ouvre le tableaude bord Recherche e-mail et effectue des recherches sur l'expéditeur sélectionné.
Destinatairesrarement vus
Affiche les adresses e-mail de destinataires qui reçoivent des e-mails peut fréquemment. Uneadresse qui représente un compte de service ou un non-utilisateur recevant un e-mail peutindiquer une activité suspecte ou une tentative d'hameçonnage. L'exploration permet d'ouvrir letableau de bord Recherche e-mail et effectue des recherches sur le destinataire sélectionné.
Sources de données
Les rapports du tableau de bord E-mail utilisent les champs du modèle de données E-mail. Les sources dedonnées correspondantes comprennent tous les périphériques ou utilisateurs qui génèrent du trafic de protocolesde messagerie sur le réseau, capturés à partir de scanners de vulnérabilités et d'outils d'analyse des paquets telsque Splunk Stream et le moniteur de sécurité réseau Bro.
Recherche e-mail
Le tableau de bord Recherche e-mail aide à rechercher des données de protocoles de messagerie affinées par desfiltres de recherche. Le tableau de bord est utilisé dans la recherche ad hoc de données du protocole demessagerie, mais représente également une destination de choix pour les recherches d'exploration utilisées dansles panneaux du tableau de bord E-mail.
La page Recherche e-mail n'affiche pas de résultats, excepté si elle a été ouverte à partir d'un lien d’exploration,ou si vous définissez un filtre et une plage temporelle et que vous cliquez sur Envoyer.
Filtrer par Description
Protocole d’e-mail Le protocole de communication de messagerie.
Source Adresse IP source
Expéditeur L'adresse e-mail de l'utilisateur.
Destination Adresse IP de destination
Destinataire L'adresse e-mail du destinataire.
Dépannage des tableaux de bord Renseignement sur les protocoles.
Les tableaux de bord Renseignements sur les protocoles utilisent des données de capture de paquets à partird'applications telles que Splunk Stream est l'extension Splunk pour Bro IDS. Sans les données applicables, lestableaux de bord demeurent vides. Pour un aperçu de l'intégration de Splunk Stream à ES, consultez Intégration de
68
Splunk Stream dans le Manuel d'installation et de mise à niveau d'Enterprise Security. Consultez Dépannage destableaux de bord dans Splunk Enterprise Security dans Administration de Splunk Enterprise Security.
Tableaux de bord Renseignement sur les menaces.
Activités menaçantes
Le tableau de bord Activités menaçantes fournit des informations sur l'activité des menaces en établissant unecorrespondance entre le contenu d’une source de renseignements sur les menaces et des événements dansSplunk Enterprise.
Filtres du tableau de bord
Utilisez les filtres de tableau de bord disponibles pour affiner les résultats affichés dans les panneaux des tableauxde bord Les filtres ne s'appliquent pas aux indicateurs clés de sécurité.
Filtrer par Description
Groupe demenaces
Un groupe ou une entité nommée représentant une menace connue, telle qu'un domaine demalware.
Catégoriedemenace
Une catégorie de menaces, telles qu'une menace persistante avancée, une menace financière ouune backdoor.
RechercheUtilisé pour rechercher une valeur relative aux champs : Destination, Type de source, Source,Collection de menaces, Clé de collection de menaces, Clé de menaces, Champ dereconnaissance de menace et Valeur de reconnaissance de menace.
Période Sélectionnez la plage temporelle à représenter.
Panneaux du tableau de bord
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Historiquedesactivitésmenaçantes
Affiche le nombre d'événements par collection de menaces pendant la période sélectionnée.L'exploration ouvre une recherche avec la collection de menaces sélectionnée et focalisée sur lapériode sélectionnée. Pour examiner les collections de menaces, consultez Types derenseignements sur les menaces pris en charge dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
Collectionsde menacesles plusactives
Affiche le top des collections de menaces par correspondance d'événements sur la périodesélectionnée, avec une sparkline qui représente les pics de correspondances d'événements.L'exploration ouvre une recherche avec la collection de menaces sélectionnée.
Sources demenacesles plusactives
Affiche le top des sources de menaces sur la période sélectionnée selon le nombre d'événements.L'exploration ouvre une recherche avec la source de menaces sélectionnée.
Détail desactivitésmenaçantes
Affiche une répartition des menaces reconnues les plus récentes. Utilisez la boîte de sélectiond'événements Détail des activités menaçantes avec l'option Filtrage avancé pour :
établir une liste blanche en fonction de threat_match_value pour éliminer lescorrespondances.Mettre en évidence des correspondances threat_match_value spécifiques et les placer enhaut de la table.
Sources de données
Les rapports du tableau de bord Activités menaçantes utilisent des champs du modèle de données
69
Renseignement sur les menaces. Les sources de données pertinentes comprennent des correspondancesd'événements de source de menace dans l'index threat_activity ainsi que les artefacts des menaces associées.Consultez Dépannage des tableaux de bord dans Splunk Enterprise Security dans Administration de SplunkEnterprise Security.
Artefacts de menaces
Le tableau de bord Artefacts de menaces fournit un emplacement unique pour explorer et examiner le contenudes menaces provenant de toutes les sources configurées de téléchargement de menaces. Il apporte un contextesupplémentaire en affichant tous les artefacts de menaces relatifs à un artefact ou une source de menaces spécifiépar l'utilisateur.
Le tableau de bord offre des filtres à sélection multiple et des onglets pour isoler les contenus de menaces.
Commencez par modifier l'Artefact de menaces pour sélectionner l'un des types disponibles d'artefacts demenaces.
Filtrer par Description
Artefact demenace
Une collection d'objets regroupés par collection de menaces, comme réseau, fichier etservice.
Les autres filtres disponibles changent en fonction de votre sélection.
Sélectiond'un artefactde menace
Filtrer par texte : (*) caractère génériquepar défaut Filtrer par menu déroulant
ID demenace
Alias de logiciels malveillants, ID de lasource de renseignement et Chemin d’accèsà la source de renseignement
Catégorie de menaces, Groupe de menaces
Réseau IP, DomaineHTTP. Sélectionnez parmi : Référant : UserAgent, Cookie, En-tête, Données ou URL etajoutez une chaîne à la recherche.
Fichier Nom de fichier, Extension de fichiers, Chemin d'accès au fichier et Hash du fichier
Registre Ruche, Chemin d'accès, Nom de la clé, Nom de la valeur, Type de valeur et Texte de la valeur
Service Nom, Nom descriptif :, Description : et Type
Utilisateur Utilisateur, Nom complet, Nom du groupe et Description
Processus Processus, Arguments de processus, Noms de handle et Type de handle
Certificat Numéro de série, Objet, Émetteur, Validité « pas après », Validité « pas avant »
E-mail Adresse, Objet et Corps
Utilisez les onglets pour examiner le contexte des sources de menaces :
Tabulation Panneaux
Vued’ensemble desmenaces
Artefacts des terminaux, Artefacts du réseau, Artefacts de l'e-mail, Artefact des certificats
Réseau Renseignement HTTP, Renseignement IP, Renseignement sur les domaines
TerminalRenseignement sur les fichiers, Renseignement sur les registres, Renseignement sur lesprocessus, Renseignement sur les services, Renseignement sur les utilisateurs
Certificat Renseignement sur les certificats
E-mail Renseignement sur les e-mails
Sources de données
70
Le tableau de bord Artefacts des menaces référence les champs du Magasin KV de la collection de menaces. Lessources de données pertinentes comprennent des sources de menaces telles que les documents STIX et OpenIOC.
Dépannage
Ce tableau de bord référence les données provenant des collections du Magasin KV Renseignement sur lesmenaces. Sans les données applicables, les panneaux du tableau de bord demeurent vides. Suivez ces étapes dedépannage pour comprendre pourquoi les données ne s'affichent pas dans le tableau de bord.
1. Vérifiez que les entrées sont correctement configurées sur les pages Téléchargements de renseignementssur les menaces et Gestionnaire d’intelligence des menaces. Ces entrées sont responsables del’ingestion de données à partir des sources de menaces et de leur insertion dans les collections du MagasinKV.
2. Utilisez les événements d’audit d’intelligence des menaces du panneau du tableau de bord Auditd’intelligence des menaces pour examiner les entrées des journaux créées par les entrées modulaires.
Pour plus d'informations, consultez Tableaux de bord de dépannage dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
Tableaux de bord Intelligence Web.
Utilisez les tableaux de bord Intelligence Web pour identifier des menaces potentielles et persistantes dans votreenvironnement.
Tableau de bord Analyse des catégories HTTP
Le tableau de bord Analyse des catégories HTTP examine les catégories de données de trafic. Toutes lesdonnées de trafic, telles que les flux de pare-feu, de routeur, de switches ou de réseau peuvent être résumées etaffichées dans ce tableau de bord.
Comparez les données statistiques pour identifier des valeurs extrêmes de trafic ou un trafic différent de ceque l'on trouve généralement dans votre environnement.Recherchez les décomptes de catégories qui s'écartent de la normale (petits ou grands) et qui pourraientindiquer une menace éventuelle.Recherchez une activité de trafic de faible volume et effectuez une exploration à partir des données résuméespour enquêter sur les événements.Utilisez les sparklines pour identifier des patterns suspects d'activité par catégorie.
Catégories inconnues de trafic
Utilisez le filtre « Afficher uniquement les catégories inconnues » du tableau de bord Analyse des catégoriesHTTP pour filtrer et afficher les catégories inconnues du trafic Web.
Avant de pouvoir filtrer le trafic inconnu, vous devez définir les catégories qui sont inconnues.
1. Sélectionnez Paramètres > Libellés.2. Cliquez sur Trier par nom de tag.3. Sélectionnez le Contexte de l'application DA-ESS-NetworkProtection ou une extension réseau connexe,
telle que TA-websense.4. Cliquez sur Nouveau.5. Saisissez le Nom du Tag unknown.6. Saisissez une Paire de valeurs du champ à définir comme trafic inconnu.
Par exemple, category=undetected.7. Cliquez sur Enregistrer.
Filtres du tableau de bord
Les filtres peuvent contribuer à affiner la liste des catégories HTTP.
Filtrerpar
Description
Période Sélectionnez la plage temporelle à représenter.
Filtrageavancé
Cliquez pour voir la liste des événements des catégories qui peuvent être filtrés pour ce tableau debord. Consultez Configuration du filtrage par panneau dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
71
Panneaux du tableau de bord
Cliquez sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts. ConsultezExploration des événements bruts pour plus d'informations sur cette fonctionnalité. Le tableau suivant décrit lespanneaux de ce tableau de bord.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
Distributiondescatégories
Affiche les décomptes de catégories comme nuage de points, avec count comme axe desabscisses et src_count comme axe des ordonnées. Le graphique se met à jour lorsque vousmodifiez les filtres ou la plage temporelle. Passez le curseur de la souris sur un élément pour voirplus de détails.
Détail descatégories
Affiche les détails des catégories HTTP, notamment une sparkline qui représente l'activité de cettecatégorie HTTP au cours des dernières 24 heures.
Tableau de bord Analyse des user agents HTTP
Utilisez le tableau de bord Analyse des user agents HTTP pour enquêter sur des chaînes de user agents dansvos données de proxy et déterminer s'il existe une menace éventuelle pour votre environnement.
Une mauvaise chaîne user agent, dont le nom du navigateur est mal orthographié (tel que Mozzila) ou lenuméro de version est complètement erroné (v666) peut indiquer un assaillant ou une menace.Les longues chaînes de user agents sont souvent l'indice d'un accès malveillant.Les chaînes user agent qui tombe hors de la taille normale (petites ou grandes) peuvent indiquer une menaceéventuelle qui doit être examinée et évaluée.
Il est possible d'utiliser le Filtrage avancé pour mettre des user agents spécifiques sur liste blanche ou noire.Utilisez les informations statistiques pour identifier visuellement les valeurs extrêmes. Dans les données résumées,vous pouvez évaluer les user agents pour identifier une possible activité de commande et contrôle (C&C) etrechercher une activité imprévue de communication HTTP.
Filtres du tableau de bord
Le tableau de bord comprend un certain nombre de fichiers qui peuvent aider à affiner la liste des user agents.
Filtrerpar
Description
Indexdesécarts-types
Le pourcentage (%) affiche la quantité de données filtrées si ce nombre d’écarts-types est sélectionné.Choisissez un nombre plus important d'écarts pour voir moins de chaînes de user agents, ouchoisissez un nombre plus petit d’écarts pour voir un plus grand nombre de chaînes de user agent.
Période Sélectionnez la plage temporelle à représenter.
Filtrageavancé
Cliquez pour voir la liste des événements des catégories qui peuvent être filtrés pour ce tableau debord. Consultez Configuration du filtrage par panneau dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
Panneaux du tableau de bord
Cliquez sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts. ConsultezExploration des événements bruts pour plus d'informations sur cette fonctionnalité. Le tableau suivant décrit lespanneaux de ce tableau de bord.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières 48 heures.Les indicateurs clés représentent des informations résumées et s'affichent en haut du tableau debord. Consultez Indicateurs clés dans Splunk Enterprise Security
DistributionAffiche les chaînes de user agents comme nuage de points, avec length comme axe des abscisses
72
Distributiondes useragents
et count comme axe des ordonnées. Le graphique se met à jour lorsque vous modifiez les filtres oula plage temporelle. Passez le curseur de la souris sur un élément pour voir plus de détails àpropos des données brutes.
Détail desuseragents
Affiche les détails des user agents de votre environnement, notamment la valeur de la chaîne duuser agent et une sparkline qui représente l'activité de cette chaîne user agent cours des dernières24 heures.
Tableau de bord Analyse des nouveaux domaines
Le tableau de bord Analyse des nouveaux domaines affiche tous les nouveaux domaines qui apparaissent dansvotre environnement. Ces domaines peuvent avoir été nouvellement enregistrés ou simplement récemmentdécouverts par ES. Les panneaux affichent les événements Activité des nouveaux domaines, Activité desnouveaux domaines par âge, Activité des nouveaux domaines par domaine de premier niveau (TLD) et Détailsd’enregistrement pour ces domaines.
Affichez les hôtes qui communiquent avec des domaines récemment enregistrés.Découvrez les valeurs extrêmes d’activités orientées vers des domaines récemment enregistrés dans lepanneau Activité des nouveaux domaines par âge.Identifiez une activité de TLD inattendue dans le panneau Activité des nouveaux domaines par TLD.Enquêtez sur les nombres élevés de nouveaux domaines pour déterminer si votre réseau est touché par uncheval de Troie, un botnet ou d'autres entités malveillantes actives.
Filtres du tableau de bord
Le tableau de bord comprend un certain nombre de filtres pour affiner la liste des domaines affichés.
Filtrer par Description
Domaine Saisissez le domaine (Adresse, Terminal, Réseau).
Type denouveaudomaine
Sélectionnez Récemment enregistré ou Récemment observé pour filtrer les types de domaine àafficher.
Âgemaximum(jours)
La plage temporelle des domaines récemment enregistrés ou récemment observés. La valeur pardéfaut est 30 jours.
Période Sélectionnez la plage temporelle à représenter.
Filtrageavancé
Cliquez pour voir la liste des événements des catégories qui peuvent être filtrés pour ce tableau debord. Consultez Configuration du filtrage par panneau dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
Panneaux du tableau de bord
Cliquez sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts. ConsultezExploration des événements bruts pour plus d'informations sur cette fonctionnalité. Le tableau suivant décrit lespanneaux de ce tableau de bord.
Panneau Description
Activité des nouveaux domainesAffichage de la table des informations sur l'activité des nouveauxdomaines
Activité des nouveaux domaines par âgeNuage de points qui affiche Age comme axe des abscisses et Countcomme axe des ordonnées. Passez le curseur de la souris sur uncarré pour obtenir l'âge exact et le nombre de nouveaux domaines.
Activité des nouveaux domaines parTLD (Domaine de premier niveau)
Un histogramme avec Count comme axe des abscisses et TLD commeaxe des ordonnées. Passez le curseur de la souris sur une barre pourobtenir le nombre actuel d'événements d'un domaine de niveauélevé.
Détails de l’enregistrementAffichage d'une table des informations sur les enregistrements desnouveaux domaines. Cliquez sur un domaine du tableau pour ouvrirune recherche sur ce domaine et afficher les événements bruts.
73
Configuration de l'API externe pour les données WHOIS
Pour afficher les données dans le tableau de bord Analyse des nouveaux domaines, vous devez configurer uneconnexion vers une source de données externes de recherche de domaines. Le tableau de bord ne peut indiquer siun domaine a été récemment observé ou non tant que cette entrée modulaire n’est pas configurée et activée.
La lookup du domaine utilise la source de domaine externe domaintools.com, qui fournit une API payante pour lesdonnées WHOIS.
1. Inscrivez-vous pour obtenir un compte domaintools.com.2. Collectez le nom de l'hôte de l'API et vos identifiants d'accès à l'API à partir du site. Veuillez noter que les
identifiants d'accès à l'API sont différents de l'adresse e-mail de votre compte.
Utilisez les informations de l'API pour configurer une entrée modulaire dans Splunk Enterprise Security.
1. À partir de la barre de menu d'ES, sélectionnez Configurer > Enrichissement des données > GestionWHOIS.
2. Cliquez sur Activer en regard de whois_domaintools.3. Cliquez sur le nom d'une entrée modulaire pour ajouter le nom d'hôte et le nom d'utilisateur de l'API utilisés
pour accéder à l'API de domaintools.4. Enregistrez les identifiants de l'API dans la vue Gestion des identifiants. Consultez Gestion des identifiants
d'entrée dans Splunk Enterprise Security.
Remarque : Tant que vous n'avez pas activé l'entrée modulaire, les domaines traités par l'entrée ne sont pas misen file d'attente. Cette mesure évite au répertoire du point de contrôle de se remplir de fichiers.
Après l'activation de l'entrée modulaire, activez la macro outputcheckpoint_whois pour créer des données de point decontrôle.
1. Sélectionnez Configurer > Général > Paramètres généraux.2. Sélectionnez Activer pour que le paramètre Analyse des domaines active le suivi WHOIS.
L'entrée modulaire stocke les informations dans le fichier de lookup whois_tracker.csv. Lorsqu'un fichier est présentdans le répertoire $SPLUNK_HOME/var/lib/splunk/modinputs/whois, l'index whois commence se remplir. Après avoir ététraités, les fichiers des points de contrôle sont supprimés.
Tableau de bord Analyse de longueur des URL
Le tableau de bord Analyse de longueur des URL recherche des données de proxy ou HTTP qui comprennentdes informations sur les chaînes d'URL. Toutes les données de trafic contenant des informations de chemin d'accèsou de chaînes d'URL, telles que les flux de pare-feu, de routeur, de switches ou de réseau peuvent être résumées etaffichées dans ce tableau de bord.
Comparez statistiquement chaque URL pour identifier les valeurs extrêmes.Enquêter sur les URL longues qui n'ont pas de référant.Recherchez les URL d'une longueur anormale qui contiennent des commandes SQL intégrées d’injectionSQL, du cross-site scripting (XSS), des instructions de commande et contrôle intégrées (C&C) ou autrecontenu malveillant.Utilisez lle tableau des détails pour voir le nombre d'actifs qui communiquent avec l'URL.
Utilisez les indicateurs clés pour comparer chaque nouvelle URL et pour identifier les chaînes d'URL extrêmes,celles qui sont différentes de ce que l'on trouve généralement dans votre environnement. Les URL qui tombent detaille anormale (petite ou grande) peuvent indiquer une menace. Des chemins d'URL inhabituellement longs desources inconnues et/ou vers des destinations inconnues sont souvent les signes d'un accès malveillant et doiventêtre examinés.
Filtres du tableau de bord
Utilisez les filtres pour affiner les événements de longueur d'URL représentés dans le tableau de bord.
Filtrerpar
Description
Indexdesécarts-types
Le pourcentage (%) affiche la quantité de données filtrées si ce nombre d’écarts-types est sélectionné.Choisissez un nombre plus important d'écarts pour voir moins de chaînes de user agents, ouchoisissez un nombre plus petit d’écarts pour voir un plus grand nombre de chaînes de user agent.
74
Période Sélectionnez la plage temporelle à représenter.
Filtrageavancé
Cliquez pour voir la liste des événements des catégories qui peuvent être filtrés pour ce tableau debord. Consultez Configuration du filtrage par panneau dans Splunk Enterprise Security dansAdministration de Splunk Enterprise Security.
Panneaux du tableau de bord
Cliquez sur les éléments du graphique ou les lignes de la table pour afficher des événements bruts. ConsultezExploration des événements bruts pour plus d'informations sur cette fonctionnalité. Le tableau suivant décrit lespanneaux de ce tableau de bord.
Panneau Description
Indicateursclés
Affiche les indicateurs relatifs aux sources du tableau de bord au cours des dernières48 heures. Les indicateurs clés représentent des informations résumées et s'affichent en hautdu tableau de bord. Consultez Indicateurs clés dans Splunk Enterprise Security dans cemanuel.
Historique desanomalies delongueurd’URL
Le graphique affiche un historique des anomalies de longueur d'URL. Il affiche les longueursd'URL supérieures au nombre d'écarts-types sélectionnés dans le filtre (2 par défaut) affiché surune courbe avec le temps sur l'axe des abscisses et le nombre sur l'axe des ordonnées.
Détail deslongueurs desURL
Tableau qui affiche les chaînes d’URL et leurs détails, tels que la chaîne de l'URI complète. S'ilexiste plus d'un événement provenant d'une adresse IP source, la colonne count affiche lenombre d'événements vus. Z indique les écarts-types pour la longueur de l'URL.
75
Extensions incluses
Affichage des données à partir de Splunk UBA dans EnterpriseSecurity
Après avoir intégré Splunk Enterprise Security et Splunk User Behavior Analytics (UBA), les applications peuventpartager des informations et vous permettre d'identifier différents types de menaces de sécurité dans votreenvironnement et dirigées contre votre organisation.
Envoyez les menaces et les anomalies de Splunk UBA à Splunk Enterprise Security pour ajuster les scoresde risque et créer des événements notables.Envoyez les résultats des recherches de corrélation de Splunk Enterprise Security à Splunk UBA pour lestraiter et rechercher les anomalies.Récupérez les données d'association d'utilisateurs et de périphériques de Splunk UBA pour les afficher dansSplunk Enterprise Security. Identifiez des comptes utilisateurs et des périphériques associés à despériphériques pendant des sessions spécifiques, et des périphériques associés à des utilisateurs pendantdes sessions spécifiques.
Dans Enterprise Security, vous pouvez voir les données provenant de Splunk UBA en plusieurs endroits.
Affichez les anomalies dans le tableau de bord Anomalies UBA.Affichez les couloirs d'activité des menaces et des anomalies dans les tableaux de bord Inspecteur d'actifs etd'identité.Affichez les données d'associations des utilisateurs et des périphériques liées aux sessions dans le tableaude bord Centre des sessions.
Consultez Intégration de Splunk Enterprise Security à Splunk UBA dans Extension Splunk pour Splunk UBA.
Affichage des menaces dans Position de sécurité et Examen des incidents
Les menaces envoyées par Splunk UBA vers Splunk Enterprise Security s'affiche sous forme d'événementsnotables dans les tableaux de bord Examen des incidents et Position de sécurité. Vous pouvez voir le nombred'événements notables créés à partir des menaces dans le tableau de bord Position de sécurité sous la forme d'unindicateur clé de sécurité (ICS).
Dans Examen des incidents, vous pouvez développer les détails des événements pour consulter la description, lacatégorie de menaces, la recherche de corrélation référençant Splunk UBA et davantage de détails. Utilisez lesactions de workflow sur l'événement pour Afficher les anomalies contributrices et ouvrir la page Détail desmenaces dans Splunk UBA. Consultez Détails des menaces dans le Manuel de l'utilisateur de Splunk UBA.
Affichage des anomalies dans le tableau de bord Anomalies UBA
Vous pouvez utiliser le tableau de bord Anomalies UBA pour afficher les anomalies de Splunk UBA dansEnterprise Security et comprendre les activités anormales dans votre environnement. SélectionnezRenseignement de sécurité > Renseignement sur les utilisateurs > Anomalies UBA pour afficher le tableau debord.
Examinez l’évolution du décompte de différents indicateurs au cours des dernières 48 heures dans votreenvironnement avec les indicateurs clés. Examinez le nombre d'événements notables UBA, d'acteursd'anomalies UBA, de signatures d'anomalies UBA, d'anomalies UBA par menace et le nombre totald'anomalies UBA.Recherchez les pics d’activité anormale et comparez le nombre d'acteurs au nombre d'anomalies dans letemps sur le panneau Historique des anomalies.Identifiez les types les plus importants d'activité anormale sur le panneau Signatures les plus actives.Déterminez les utilisateurs, périphériques, applications et autres acteurs responsables de l'essentiel del'activité anormale sur le panneau Acteurs les plus actifs.Consultez l'activité anormale la plus récente sur le panneau Anomalies UBA récentes.
Affichez une anomalie dans Splunk UBA en cliquant sur une valeur du tableau de bord pour atteindre la recherche.Utilisez les actions d'événements sur un événement d'anomalie spécifique pour Afficher les anomaliescontributrices et ouvrir Splunk UBA pour afficher la vue Détails des anomalies. Consultez Détails des anomaliesdans le Manuel de l'utilisateur de Splunk UBA.
Affichez les couloirs d'activité des menaces et des anomalies dans les tableaux de bordInspecteur d'actifs et d'identité.
76
Vous pouvez utiliser les couloirs d'activité dans les tableaux de bord Inspecteur d'actifs et d'identité pour corréler lenombre de menaces et d'anomalies UBA avec d'autres événements notables dans ES.
Pour consulter les informations sur les anomalies et les menaces associées à chaque actif ou identité que vousrecherchez, ajoutez les couloirs d'activité des menaces UEBA et des anomalies UBA aux tableaux de bordInspecteur d'actifs et Inspecteur d'identité. Consultez Modification des couloirs d'activité.
Vous pouvez consulter une anomalie dans Splunk UBA en cliquant sur le couloir d'activité pour ouvrir unerecherche avec des détails supplémentaires. Utilisez les actions d'événements pour Afficher les anomaliescontributrices et ouvrir Splunk UBA pour afficher la vue Détails des anomalies ou Détails des menaces.Consultez Examen des menaces actuelles pour plus d'informations.
Les anomalies et menaces modifient les scores de risque
Enterprise Security utilise le score de risque des anomalies et des menaces de Splunk UBA pour modifier le risquedes actifs et des identités associés aux menaces et aux anomalies. Le modificateur de score de risque vaut 10 foisle score de risque de l'anomalie ou de la menace dans Splunk UBA.
Par exemple :
1. Splunk UBA envoie à Enterprise Security une anomalie qui s'applique à l'hôte 10.11.12.123. L'anomalie a unscore de risque de 8.
2. Enterprise Security modifie le risque de l'hôte 10.11.12.123 en réponse à l'anomalie. Un modificateur de risquede « 10 * score de risque UBA » entraîne un modificateur de risque 80.
Vous pouvez voir la source du risque accru lors de l'analyse des scores de risque dans le tableau de bord Analysedes risques.
Consultez les associations des sessions utilisateurs et périphériques dans le tableau debord Centre des sessions
Lorsque vous recherchez un actif ou une identité dans le Centre des sessions, vous pouvez récupérer des donnéessupplémentaires provenant de Splunk UBA à propos des utilisateurs pouvant être associés à un périphérique, oudes périphériques pouvant être associés à un utilisateur, en fonction des données de la session. Consultez letableau de bord Centre des sessions.
Vous pouvez également ouvrir directement le tableau de bord Centre des sessions à partir du tableau de bordExamen des incidents lors du triage des événements notables. Lors de l'affichage des détails supplémentaires d'unévénement notable, cliquez sur les actions de workflow d'un champ d'utilisateur ou de périphérique et ouvrez letableau de bord Centre des sessions.
Envoi des résultats de recherche de corrélation à Splunk UBA
Une fois que vous avez configuré Enterprise Security et Splunk UBA, vous pouvez commencer à envoyer desrésultats de recherche de corrélation à Splunk UBA. Vous pouvez envoyer automatiquement des résultats derecherche de corrélation ou le faire de manière ponctuelle en envoyant des événements notables à partir du tableaude bord Examen des incidents.
Envoi automatique des résultats de recherche de corrélation à Splunk UBA
Modifiez une recherche de corrélation ou créez une nouvelle recherche de corrélation pour ajouter l'action deréponse Envoyer à UBA de façon à envoyer automatiquement les résultats de la recherche de corrélation à SplunkUBA.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Configurer > Gestion du contenu.2. Cliquez sur le nom d'une recherche de corrélation ou sur Créer pour créer une nouvelle recherche de
corrélation.3. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Envoyer à UBA.4. Saisissez une Gravité pour définir le score dans Splunk UBA d’une anomalie pouvant être créée à partir du
résultat de la recherche de corrélation. Par exemple, saisissez 7 pour représenter une gravité élevée.
5. Enregistrez la recherche de corrélation.
Envoi ponctuel des résultats de la recherche de corrélation à partir d'Examen des incidents
Envoyez les événements notables créés par des résultats de recherche de corrélation à Splunk UBA de manière adhoc à partir du tableau de bord Examen des incidents.
1. Dans le tableau de bord Examen des incidents, localisez l'événement notable que vous souhaitez envoyer à
77
Splunk UBA.2. À partir de la colonne Actions, sélectionnez Exécuter des actions de réponse adaptative.3. Cliquez sur Ajouter une nouvelle action de réponse et sélectionnez Envoyer à UBA.4. (optionnel) Saisissez une Gravité pour définir le score dans Splunk UBA d’une anomalie pouvant être créée à
partir de l'événement notable. Si elle est disponible, la gravité de l'événement notable a priorité sur la valeurfournie.
5. Cliquez sur Exécuter pour exécuter l'action de réponse et envoyer les détails de l'événement notable àSplunk UBA.
Types de résultat à envoyer à Splunk UBA
Seuls certains résultats de recherche de corrélation créent des anomalies dans Splunk UBA. Splunk UBA traite lesrésultats de la recherche de corrélation comme des alarmes externes, et les recherches de corrélation avec unesource, une destination ou un utilisateur dans les résultats sont les plus susceptibles de générer des anomaliesdans Splunk UBA. Tous les résultats de recherche de corrélation envoyés depuis Enterprise Security s'affichent entant qu'anomalies dans Splunk UBA. Splunk UBA ne crée des anomalies que pour les résultats de recherche decorrélation avec des données utiles et ignore les autres résultats de recherche de corrélation.
78
