7.6. Utilisation des tableaux de bord NDR

7.6.1. Introduction

Lorsqu'une attaque est avérée sur un système d'information, les équipes d'analystes doivent pouvoir comprendre rapidement qu'elle est l'origine de cette dernière, sa cible et son impact global.

Les tableaux de bord NDR du GCenter vont faciliter ces investigations en mettant à disposition de nombreuses informations essentielles.

Ils vont permettre :

• d'analyser les alertes pour chaque type de moteur

• de visualiser les informations et les alertes propres aux équipements du réseau

• de visualiser les informations et les alertes propres aux utilisateurs du réseau

• de visualiser les relations entre les différents équipements et utilisateurs

Pour	Appliquer les procédures
Récupération des informations relatives à une alerte	Procédure de récupération des informations liées à une alerte
Traitement de l'équipement	Procédure de traitement d'un équipement
Traitement de l'utilisateur	Procédure de traitement d'un utilisateur
Gestion des règles d'association	Procédure de gestion des règles d'association
Relation entre l'équipement et les utilisateurs	Procédure d'analyse des relations entre équipements et utilisateurs

---

7.6.2. Liens associés

Voir la Présentation de la WebUI.

---

7.6.3. Prérequis

• Utilisateur : membre du groupe Operator

---

7.6.4. Opérations préliminaires

• Connexion à GCenter via un navigateur (voir Accès à l'interface web du GCenter via un navigateur internet)

---

7.6.5. Procédure de récupération des informations liées à une alerte

• Dans la barre de navigation, cliquer sur le bouton `Home` (2).
  
  Dans la Zone de messages de l'écran `Home`, sont affichés les alertes classées par niveau de risque (1).

• Cliquer sur une alerte nécessitant une investigation.

  L'écran `Alerts` de la WebUI est affiché.
  
• Si le bouton `Group by name` est coché, cliquer à nouveau sur l'alerte dans la page qui s'affiche.
• Une fois les alertes non agrégées, cliquer sur l'alerte nécessitant une investigation.

  Une popup s'affiche avec les détails de l'alerte.

  

  Cette fenêtre affiche des informations importantes :

  • les détails de l'alerte

  • le nom des équipements concernés (ou impactés) par cette alerte

  • les adresses IP concernées (ou impactées) par cette alerte

  Note

  Cette fenêtre est détaillée dans le paragraphe Fenêtre `Alert details`.

Selon le moteur qui a détecté l'alarme, se référer à la procédure spécifique définie ci-dessous :

Le traitement spécifique des alertes détectées par...	est indiqué dans la procedure...
le moteur Malcore	Analyse des alertes Malcore
le moteur Powershell detect	Analyse des alertes Malicious Powershell detect
le moteur Shellcode detect	Analyse des alertes Shellcode detect
le moteur Sigflow	Analyse des alertes Sigflow
le moteur DGA	Analyse des alertes DGA detect
le moteur Retroanalyzer	Analyse des alertes Malcore retroanalyzer
le moteur CTI	Analyse des alertes Active CTI
le moteur Retrohunt	Analyse des alertes Retrohunt
le moteur Ransomware detect	Analyse des alertes Ransomware detect
le moteur Beacon detect	Analyse des alertes Beacon detect
le moteur Yara	Analyse des alertes Yara

• A partir de l'IP de l'équipement, faire une recherche sur cette dernière dans la page `Users` (exemple : IP:192.168.0.1).

• Cliquer sur l'utilisateur afin d'afficher la fiche utilisateur.

  Sont affichés :

  • son score de risque

  • son adresse IP

  • son ou ses équipements présents sur le réseau

  • les métadonnées générées

  • les alertes générées

  • ses relations avec les autres équipements ou utilisateurs du réseau

• Continuer les investigations, comme ci-dessus, si d'autres équipements sont présents dans l'alerte traitée.

---

7.6.6. Procédure de traitement d'un équipement

• Dans la barre de navigation, cliquer sur le bouton `Assets` (7).

  

  La fenêtre `Assets` est affichée.

L'interface de gestion des équipements actifs présente une liste des différents équipements présents sur le réseau classés par score de risque.

L'équipement ayant le score de risque le plus élevé est celui ayant levé le plus d'alertes de criticité élevée.

Il peut donc être nécessaire de réaliser une analyse approfondie sur l'équipement en question.

• Cliquer sur l'équipement souhaité.

• Analyser les différentes alertes (1) relevées pour cet équipement.

• Si cela est nécessaire, ajouter un tag (9) qui permettra de donner un statut à l'équipement.

• Si cela est nécessaire, ajouter une note (10) qui permettra d'indiquer les différentes analyses effectuées.

---

7.6.7. Procédure de traitement d'un utilisateur

• Dans la barre de navigation, cliquer sur le bouton `Users` (8).

  

  La fenêtre `Users` est affichée.

L'interface de gestion des utilisateurs présente une liste des différents utilisateurs présents sur le réseau classés par score de risque (1).

L'utilisateur ayant le score de risque le plus élevé est celui ayant levé le plus d'alertes de criticité élevée.

Il peut donc être nécessaire de réaliser une analyse approfondie sur l'utilisateur en question.

• Cliquer sur l'utilisateur souhaité.

• Analyser les différentes alertes relevées pour cet utilisateur.

• Si cela est nécessaire, ajouter un tag (7) qui permet de donner un statut à l'utilisateur.

• Si cela est nécessaire, ajouter une note (8) qui permet d'indiquer les différentes analyses effectuées.

---

7.6.8. Procédure de gestion des règles d'association

• Dans la barre de navigation, cliquer successivement sur :

  

  • le bouton `Detection strategy` (1)

  • le bouton `Configuration` du menu `Assets and users detection`

    L'interface de gestion de règles d'association `Assets/Users association rule` permet de mettre en place des règles concernant les équipements et les utilisateurs présents sur le réseau.

• Dans la section `Asset detection network range` :

  
  • cliquer sur le lien `Network variables can be configured for each GCap` pour ajouter des réseaux internes via la fonction de personnalisation du profil GCap.

    Pour plus d'informations, voir la Partie `Asset detection network range` de l'écran `Association rules`.

• Dans la section `Ignored IP for users association` :

  
  • déclarer les adresses IP qui ne pourront être associées à un utilisateur afin d'éviter des associations erronées.

    Pour plus d'informations, voir la Partie `Ignored IP for users association` de l'écran `Assets/Users Association rules`.

• Dans la section `Ignored MAC for assets association` :

  
  • déclarer les adresses MAC qui ne pourront être associées à un équipement afin d'éviter des associations erronées.

    Pour plus d'informations, voir la Partie `Ignored MAC for assets association` de l'écran `Assets/Users Association rules`.

• Dans la section `Forbidden users` :

  
  • déclarer les utilisateurs ne devant pas apparaître dans les tableaux de bord NDR (exemple : PDG, administrateur).

    Pour plus d'informations, voir la Partie `Forbidden users` de l'écran `Assets/Users Association rules`.

• Dans la section `Forbidden assets` :

  
  • déclarer les équipements ne devant pas apparaître dans les tableaux de bord NDR (exemple : équipements sensibles, équipements non pertinents).

    Pour plus d'informations, voir la Partie `Forbidden assets` de l'écran `Assets/Users Association rules`.

---

7.6.9. Procédure d'analyse des relations entre équipements et utilisateurs

• Dans la barre de navigation, cliquer sur le bouton `Relations` (4).

  

  La fenêtre `Relations` est affichée.

• Choisir la période souhaitée à l'aide de la ligne de temps en bas de page

• Repérer un utilisateur ou un équipement clignotant en rouge (score de risque > 75%)

• Cliquer sur ce dernier, ses interactions avec les autres utilisateurs et équipements s'animent et une popup s'affiche

• Passer la souris sur les liens animés (interactions) pour voir de quoi il s'agit

• Dans la popup, on retrouve les éléments permettant une investigation approfondie :

  • les informations principales concernant l'élément

  • les alertes levées par l'élément

---