Structures de données utilisées par Aurora Focus pour identifier les menaces

Les événements, artefacts et facets sont les trois principales structures de données utilisées par Aurora Focus pour analyser, enregistrer et examiner les activités qui se produisent sur les terminaux. Les fonctionnalités Aurora Focus s'appuient sur ces structures de données, y compris les requêtes InstaQuery, les données détaillées et le moteur d'analyse de contexte (CAE).

Cette section fournit plus d'informations sur la manière dont Aurora Focus interprète et interagit avec les activités sur les terminaux, afin de vous aider à mieux comprendre et utiliser les détections, les requêtes et les données détaillées.

Sources de données en fonction du système d'exploitation

L'agent Aurora Focus utilise les sources de données suivantes :

OS

Sources de données

Windows
  • Pilote de noyau CyOpticsDrv
  • Suivi des évènements
  • Fichier journal d'audit de sécurité

macOS

Pilote de noyau CyOpticsDrvOSX

Linux

ZeroMQ

Pour plus d'informations sur les types de trafic réseau que Aurora Focus exclut par défaut, reportez-vous à KB 42221282487835.

Évènements

Les évènements sont les composants qui entraînent une modification ou une action observable sur un terminal. Les évènements comportent deux artefacts principaux : l'artefact instigateur qui déclenche une action et l'artefact cible sur lequel des mesures sont prises.

Les tableaux suivants fournissent des détails sur les types d'événements pouvant être détectés par Aurora Focus et avec lesquels il peut interagir.

Événement : Indifférent

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : processus, utilisateur
  • Plateforme : Windows, macOS, Linux

Type d'évènement

Description

Indifférent

Tous les évènements enregistrent le processus qui les a générés et l'utilisateur associé à l'action.

Événement : Application

  • Option de stratégie de terminal à activer : Visibilité WMI avancée
  • Type d'artefact : Suivi WMI
  • Plateforme : Windows

Type d'évènement

Description

Créer une liaison filtre-client

Un processus a utilisé la persistance WMI.

Créer un client temporaire

Un processus s'est abonné aux évènements WMI.

Exécuter l'opération

Un processus a effectué une opération WMI.
  • Option de stratégie de terminal à activer : Visibilité Améliorée des processus et de l'accrochage
  • Type d'artefact : Fichier
  • Plateforme : Windows

Type d'évènement

Description

CBT

L'API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles à une application CBT.

DebugProc

L'API SetWindowsHookEx a installé un crochet pour déboguer d'autres procédures de crochet.

Obtenir l'état de clé asynchrone

Un processus a appelé l'API Win32 GetAsyncKeyState.

JournalPlayback

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages précédemment enregistrés par une procédure de crochet WH_JOURNALLECORD.

JournalRecord

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages d'entrée publiés dans la file d'attente des messages système.

Clavier

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages de frappe.

Clavier de bas niveau

L'API SetWindowsHookEx a installé un crochet pour surveiller les évènements de saisie clavier de bas niveau.

Souris de bas niveau

L'API SetWindowsHookEx a installé un crochet pour surveiller les évènements d'entrée de souris de bas niveau.

Message

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages publiés dans une file d'attente de messages.

Souris

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages de la souris.

Enregistrer les terminaux d'entrée brute

Un processus a appelé API Win32 RegisterRawInputDevices.

Définir le crochet d'événement Windows

Un processus a appelé l'API Win32 SetWinEventHook.

Configurer le crochet Windows

L'API SetWindowsHookEx a installé une valeur de type de crochet non répertoriée.

ShellProc

L'API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles pour les applications de shell.

SysMsg

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages générés à la suite d'un évènement d'entrée dans une boîte de dialogue, une boîte de message ou une barre de défilement.

WindowProc

L'API SetWindowsHookEx a installé un crochet pour surveiller les messages de procédure Windows.
  • Option de stratégie de terminal à activer : Capteur API
  • Type d'artefact : Appel d'API
  • Plateforme : Windows

Type d'évènement

Description

Fonction

Un appel de fonction remarquable a été effectué.
  • Option de stratégie de terminal à activer : Visibilité de la charge du module
  • Type d'artefact : Fichier
  • Plateforme : Windows

Type d'évènement

Description

Charger

Une application a chargé un module.
  • Option de stratégie de terminal à activer : Visibilité de l'objet COM
  • Plateforme : Windows

Type d'évènement

Description

Créé

Un objet COM a été créé.

Événement : Terminal

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : Fichier
  • Plateforme : macOS, Linux

Type d'évènement

Description

Monter

Le terminal est connecté à une machine ou les dossiers sont montés sur des emplacements réseau spécifiques.

Événement : Fichier

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : Fichier
  • Plateforme : Windows, macOS, Linux

Type d'évènement

Description

Créer

Un fichier a été créé.

Supprimer

Un fichier a été supprimé.

Écraser

Un fichier a été écrasé.

Renommer

Un fichier a été renommé.

Écrire

Un fichier a été modifié.
  • Option de stratégie de terminal à activer : Visibilité améliorée de la lecture des fichiers
  • Type d'artefact : Fichier
  • Plateforme : Windows

Type d'évènement

Description

Ouvrir

Un fichier a été ouvert.

Événement : Mémoire

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : Processus
  • Plateforme : macOS, Linux

Type d'évènement

Description

Mmap

Une région de mémoire a été mappée dans un but spécifique, généralement allouée à un processus.

MProtect

Les métadonnées ont été modifiées pour une région de mémoire, généralement pour modifier son état (par exemple, pour le rendre exécutable).

Événement : Réseau

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : Réseau
  • Plateforme : Windows, macOS, Linux

Type d'évènement

Description

Se connecter

Une connexion réseau a été établie. Par défaut, le trafic local n'est pas collecté.
  • Option de stratégie de terminal à activer : Visibilité des adresses de réseau privé
  • Type d'artefact : Réseau
  • Plateforme : Windows

Type d'évènement

Description

Se connecter

Les évènements de connexion incluent le trafic local.
  • Option de stratégie de terminal à activer : Visibilité DNS
  • Type d'artefact : Requête DNS
  • Plateforme : Windows, Linux

Type d'évènement

Description

Demande

Un processus a effectué une requête DNS réseau qui n'était pas mise en cache.

Réponse

Un processus a reçu une réponse DNS.
  • Option de stratégie de terminal à activer : Visibilité HTTP
  • Type d'artefact : HTTP
  • Plateforme : Windows

Type d'évènement

Description

Get

Windows a utilisé WinINet ou WinHTTP pour créer une requête HTTP.

Post

Windows a utilisé WinINet ou WinHTTP pour envoyer des données.

Événement : Processus

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : Processus

Type d'évènement

Plateforme

Description

Sortie anormale

macOS

Linux

Surveillé par le capteur de présélection, un processus s'est arrêté sans être terminé (par exemple, une exception a provoqué la fermeture d'un processus).

Quitter

Windows

macOS

Linux

Un processus a été arrêté.

Sortie forcée

macOS

Linux

Surveillé par le capteur de présélection, un processus a été forcé de quitter le système par un autre processus.

PTrace

macOS

Linux

Il s'agit d'un outil système Unix qui permet à un processus de surveiller et de contrôler un autre processus.

Démarrer

Windows

macOS

Linux

Un processus a démarré.

Suspendre

Linux

Surveillé par le capteur de présélection, un processus a été suspendu.

Évènement de processus Linux inconnu

macOS

Linux

Surveillé par le capteur de présélection, un évènement inconnu s'est produit avec le processus comme cible. Cela peut indiquer qu'un logiciel malveillant masque son activité.
  • Option de stratégie de terminal à activer : Visibilité Améliorée des processus et de l'accrochage
  • Type d'artefact : Processus
  • Plateforme : Windows

Type d'évènement

Description

SetThreadContext

Un processus a appelé l'API SetThreadContext.

Terminer

Un processus instigateur a mis fin à un autre processus cible.

Événement : Registre

  • Option de stratégie de terminal à activer : case à cocher Aurora Focus
  • Type d'artefact : registre, fichier (si la clé de registre fait référence à un fichier spécifique)
  • Plateforme : Windows

Type d'évènement

Description

KeyCreated

Une clé de registre a été créée.

KeyDeleting

Une clé de registre a été supprimée.

ValueChanging

La valeur de clé de registre a été modifiée.

ValueDeleting

Une valeur de clé de registre a été supprimée.

Événement : Scripts

  • Option de stratégie de terminal à activer : Visibilité avancée des scripts
  • Type d'artefact : Suivi PowerShell
  • Plateforme : Windows

Type d'évènement

Description

Exécuter la commande

Windows PowerShell a exécuté une commande. Les paramètres sont inconnus.

Exécuter le script

Windows PowerShell a exécuté un script.

Exécuter le bloc de script

Windows PowerShell a exécuté un bloc de script.

Appeler la commande

Windows PowerShell a appelé une commande avec des paramètres liés.

Empêcher le script

Un résultat de ScanBuffer AMSI indique qu'un script a été détecté ou bloqué par un administrateur.

Événement : Utilisateur

  • Option de stratégie de terminal à activer : Visibilité avancée des scripts
  • Type d'artefact : Windows Évènement
  • Plateforme : Windows

Type d'évènement

Description

Déconnexion du lot

L'ID d'événement Windows suivant s'est produit : 4634 (type 4).

Connexion au lot

L'ID d'événement Windows suivant s'est produit : 4624 (type 4).

Déconnexion interactive en cache

L'ID d'événement Windows suivant s'est produit : 4634 (type 11).

Connexion interactive en cache

L'ID d'événement Windows suivant s'est produit : 4624 (type 11).

Déconnexion interactive

L'ID d'événement Windows suivant s'est produit : 4634 (type 2).

Connexion interactive

L'ID d'événement Windows suivant s'est produit : 4624 (type 2).

Déconnexion du réseau

L'ID d'événement Windows suivant s'est produit : 4634 (type 3).

Connexion réseau

L'ID d'événement Windows suivant s'est produit : 4624 (type 3).

Déconnexion au réseau en texte clair

L'ID d'événement Windows suivant s'est produit : 4634 (type 8).

Connexion au réseau en texte clair

L'ID d'événement Windows suivant s'est produit : 4624 (type 8).

Déconnexion des nouveaux identifiants

L'ID d'événement Windows suivant s'est produit : 4634 (type 9).

Connexion aux nouveaux identifiants

L'ID d'événement Windows suivant s'est produit : 4624 (type 9).

Déconnexion interactive à distance

L'ID d'événement Windows suivant s'est produit : 4634 (type 10).

Connexion interactive à distance

L'ID d'événement Windows suivant s'est produit : 4624 (type 10).

Déconnexion du service

L'ID d'événement Windows suivant s'est produit : 4634 (type 5).

Connexion au service

L'ID d'événement Windows suivant s'est produit : 4624 (type 5).

Déverrouiller la déconnexion

L'ID d'événement Windows suivant s'est produit : 4634 (type 7).

Déverrouiller la connexion

L'ID d'événement Windows suivant s'est produit : 4624 (type 7).

Déconnexion utilisateur

L'ID d'événement Windows suivant s'est produit : 4634 (valeur de type non répertoriée).

Connexion utilisateur

L'ID d'événement Windows suivant s'est produit : 4624 (valeur de type non répertoriée).

Artefacts et facets

Les artefacts sont des éléments d'information complexes pouvant être utilisés par Aurora Focus. Le moteur d'analyse de contexte (CAE) peut identifier les artefacts sur les terminaux et les utiliser pour déclencher une réponse automatique aux incidents et des actions correctives. Les requêtes InstaQueries utilisent des artefacts comme base d'une requête.

Les facets sont les attributs d'un artefact qui peuvent être utilisés pour identifier les traits d'un artefact associé à un évènement. Les facets sont corrélés et combinés pendant l'analyse pour identifier les activités potentiellement malveillantes. Par exemple, un fichier nommé « explorer.exe » peut ne pas être intrinsèquement suspect, mais si le fichier n'est pas signé par Microsoft et qu'il réside dans un répertoire temporaire, il peut être identifié comme suspect dans certains environnements.

Aurora Focus utilise les artefacts et facets suivants :

Artefact

Facets

Appel d'API
  • Fonction
  • DLL
  • Paramètres

DNS
  • Connexion
  • IsRecursionDesired
  • IsUnsolicitedResponse
  • Opcode
  • RequestId
  • Résolution
  • ResponseOriginatedFromThisDevice
  • Questions

Évènement
  • Heure d'occurrence
  • Heure d'enregistrement

Fichier
  • Enregistrement de fichier exécutable (fichiers binaires uniquement)
  • Heure de création du fichier (signalée par le système d'exploitation)
  • Chemin du fichier
  • Signature de fichier (fichiers binaires uniquement)
  • Taille du fichier
  • Heure de la dernière modification (signalée par le système d'exploitation)
  • Hachage md5 (fichiers binaires uniquement)
  • Emplacement d'écriture récent
  • Hachage sha256 (fichiers binaires uniquement)
  • Type de fichier suspecté
  • Utilisateur

Réseau
  • Adresse locale
  • Port local
  • Protocole
  • Adresse distante
  • Port distant

Suivi PowerShell
  • EventId
  • Charge utile
  • PayloadAnalysis
  • ScriptBlockText
  • ScriptBlockTextAnalysis

Processus
  • Ligne de commande
  • Fichier à partir duquel l'exécutable a été exécuté
  • Processus parent
  • ID de processus
  • Heure de début
  • Utilisateur

Registre
  • Si la valeur fait référence à un fichier sur le système
  • Chemin de registre
  • Valeur

Utilisateurs
  • Domaine
  • Identifiant spécifique au système d'exploitation (par exemple, SID)
  • Nom d'utilisateur
Les artefacts utilisateur peuvent contenir l'une des valeurs suivantes. Cependant, les données ne sont pas disponibles sur la plupart des terminaux.
  • AccountType
  • BadPasswordCount
  • Commentaire
  • CountryCode
  • FullName
  • HasPasswordExpired
  • HomeDirectory
  • IsAccountDisabled
  • IsLocalAccount
  • IsLockedOut
  • IsPasswordRequired
  • LanguageCodePage
  • LogonServer
  • PasswordAge
  • PasswordDoesNotExpire
  • ProfilePath
  • ScriptPath
  • UserPrivilege
  • Workstations

Windows Événement Windows
  • Classe
  • ID d'évènement
  • Serveur objet
  • Liste de privilèges
  • ID de processus
  • Nom du processus
  • Nom du fournisseur
  • Service
  • Nom du domaine objet
  • ID de connexion objet
  • Nom d'utilisateur objet
  • Sid d'utilisateur objet

Suivi WMI
  • ConsumerText
  • ConsumerTextAnalysis
  • EventId
  • Espace de noms
  • Opération
  • OperationAnalysis
  • OriginatingMachineName

Valeurs et clés de registre

Aurora Focus surveille les valeurs et les clés communes de persistance, de démarrage de processus et d'escalade des privilèges, ainsi que les valeurs indiquées dans l'article KB 42221237570843.

Pour en savoir plus sur la manière dont Aurora Focus surveille les points de persistance dans le registre, consultez l'article KB 42221282185883.