Whitelists

Déploiement

Whitelist

10 minutes

Introduction

Cliquez sur l'onglet vous permettant d'accéder aux "whitelists"

Accessibles depuis le menu Threat Intelligence, les "Whitelists" permettent de réduire le nombre d'évènements de sécurité qualifiés de "faux positifs".

Cela permet, par conséquent, de limiter le nombre d'évènements de sécurité à investiguer !

Les Whitelists sont propres à chaque moteur !Certaines peuvent cependant être appliquées pour tous les moteurs en même temps.

Bouton Add whitelist depuis un security event

Cliquez sur le bouton permettant d'ajouter une whitelist

Après avoir cliqué sur le bouton d'un security event, le bouton "Add whitelist" vous permet d'avoir une exclusion très rapidement. Tous les champs seront automatiquement remplis à partir de votre "Security Event". Il ne vous restera qu'à spécifier le ou les critères et ajouter un commentaire. En cliquant sur le signe "+" devant chaque processus, les critères se rempliront automatiquement.

Bouton Add whitelist depuis un security event

Il est possible de définir une date d'expiration sur vos exclusions et d'activer (ou non) la rétroactivité de vos exclusions. Elle permettra la mise à jour de vos security events pour un meilleur filtrage des faux-positifs.

Whitelister depuis un évènement de sécurité

Via les informations présentes sur le process tree d'un évènement sécurité, Il est possible de créer une exclusion en cliquant sur l'icone bleue à côté du champ choisi. L'encart "add whitelist" s'ouvrira avec les champs séléctionnés pré-remplis !

Whitelister depuis un évènement de sécurité

Cliquez sur le bouton permettant d'éditer une whitelist

Et voilà ! vous pouvez retrouver votre whitelist en bas de page, via l'onglet "rule" de votre évènement sécurité. D'ici, vous pouvez la modifier, la désactiver ou encore la supprimer.

L'onglet Whitelist

On peut voir ici combien de Security Events n'ont pas été levés depuis la mise en place de la whitelist (sur les 7 derniers jours).

Ce bouton permet de cacher ou d'afficher les whitelists prodiguées par Harfanglab via notre connecteur MISP.

Whitelister depuis une threat

Cliquez sur le bouton permettant d'accéder aux règles concernées par la threat

Via une threat, vous avez également la possibilité de créer une whitelist. Il faudra alors cliquer sur l'onglet "rules", puis de cliquer sur le "message" de la règle Yara ou Sigma visée.

Whitelister depuis une threat

En faisant défiler les informations sur une threat, vous pourrez créer une nouvelle whitelist si besoin. Le bouton "show provided by HarfangLab" montrera les whitelists déjà crées en rapport avec votre évenement sécurité.

Whitelister depuis l'onglet dédié

Les critères selctionnés seront mémorisés même si vous fermez la fenêtre et changez d'onglet.

Cliquez sur le bouton permettant d'ajouter une whitelist

Depuis l'onglet Whitelists, vous pouvez retrouver un grand nombre d'informations notamment le nombre de Whitelists actives ou inactives ainsi que les règles associées.

Il est possible de créer des exclusions sans passer par un évènement sécurité en cliquant sur le bouton "+Add Whitelist".

Whitelister depuis l'onglet dédié

Cette méthode est utile dans le cas où un logiciel extrêmement critique ne doitjamais être bloqué. Vous pouvez alors créer des exclusions génériques, sur tous les moteurs. La règle, une fois positionnée sur un moteur, peut porter sur plusieurs champs afin d’en préciser la portée : - exception sur un agent ; - exception pour un processus ; - exception liée aux détails de connexion réseau ; - exception liée aux détails du binaire ; - exception liée aux clés et valeurs de clés en base de registre.

Whitelister depuis l'onglet dédié

Cliquez sur le bouton permettant d'éditer une whitelist

Pour Sigma, il est possible de préciser la règle à laquelle la whitelist s'applique.

L'édition d'une whitelist permet d'adapter le moteur de détection choisi.Vous pouvez changer le commentaire, votre critère choisi (ou en ajouter), ajouter une date d'expiration et choisir si votre whitelist doit être rétro-active ou non !

Whitelister depuis l'onglet dédié

Cliquez sur le bouton permettant d'afficher l'historique

Le bouton "display history" permet d'afficher l'historique de création et de modification de votre whitelist.

Whitelister depuis l'onglet dédié

Cliquez sur le bouton permettant de visualiser la règle

En cliquant sur le nom de la règle dans une Whitelist Sigma, vous accèdez au contenu de la règle.Il n'est pas possible ici de la modifier.

Déploiement

Whitelist

Bravo !

N'oubliez pas de nous partager vos impressions grâce à la section commentaires sur votre droite !