Utilisation des requêtes InstaQuery et avancées pour analyser les données d'artefact

Les requêtes InstaQuery et avancées sont des fonctionnalités d'Aurora Focus qui vous permettent d'analyser les données d'artefact pour découvrir les indicateurs de compromis et déterminer leur prévalence sur les terminaux de votre entreprise. Les résultats d'une requête ne vous indiqueront pas comment ou quand un artefact a été utilisé, mais ils indiqueront si un artefact a déjà été observé en termes techniques significatifs pouvant signaler une menace pour les terminaux et les données de votre organisation.

InstaQuery vous permet d'interroger un ensemble de terminaux sur un type spécifique d'artefact médico-légal et de déterminer si un artefact existe sur les terminaux et à quel point cet artefact est commun. La requête avancée est une évolution d'InstaQuery qui fournit des fonctionnalités de recherche plus granulaires à l'aide de la syntaxe EQL pour améliorer votre capacité à identifier les menaces.

Une fois l'agent Aurora Focus installé et activé sur un terminal, il collecte les artefacts et les stocke dans la base de données Aurora Focus. Avec l'agent Aurora Focus 2.x et versions antérieures, la base de données est stockée localement sur le terminal. Avec l'agent Aurora Focus 3.0 et versions ultérieures, l'agent charge et stocke automatiquement les données dans la base de données cloud Aurora Focus. Lorsque vous créez une requête, les données importantes au niveau technique sont récupérées auprès de la base de données Aurora Focus. Vous pouvez afficher et examiner les résultats dans la console de gestion.

Pour les terminaux dotés de l'agent Aurora Focus 2.x et versions antérieures, une requête ne peut s'exécuter correctement que lorsqu'un terminal est en ligne. Pour les terminaux dotés de l'agent 3.0 et versions ultérieures, il n'est pas nécessaire que le terminal soit en ligne, car la requête utilisera les données les plus récentes disponibles dans la base de données cloud Aurora Focus.

Une seule requête affiche et conserve un maximum de 10 000 résultats. Les résultats d'une requête sont conservés pendant 60 jours.

Notez les détails suivants sur les artefacts spécifiques que vous pouvez interroger :

Artefact

Détails

Fichiers

Vous pouvez interroger des fichiers spécifiques qui ont été créés, modifiés ou supprimés après l'installation de l'agent Aurora Focus sur le terminal. Aurora Focus se concentre sur les fichiers qui peuvent être utilisés pour exécuter du contenu (par exemple, des fichiers exécutables, des documents Microsoft Office, des PDF, etc.).

Connexions réseau

Vous pouvez effectuer des requêtes sur les adresses IP de destination IPv4 et IPv6. Aurora Focus ignore le trafic réseau privé, non routable, multicast, link-local et de bouclage.

Processus
Tous les processus sont indexés dans la base de données Aurora Focus, avec les restrictions suivantes :
  • Les lignes de commande sont limitées à 1 Kio de données
  • Les noms de processus ne doivent pas contenir plus de 256 caractères
  • Les chemins d'accès aux fichiers d'image de processus ne doivent pas contenir plus de 512 caractères
  • Les lignes de commande modifiées après le démarrage du processus ne sont pas surveillées

Clés de registre

Aurora Focus surveille uniquement les points de persistance et les points de suppression de fichiers. Il s'agit de zones généralement exploitées par des programmes malveillants.

Pour obtenir la liste détaillée des clés de registre et des valeurs surveillées par Aurora Focus, consultez l'article KB 42221237570843.

Pour en savoir plus sur la manière dont Aurora Focus surveille les points de persistance dans le registre, consultez l'article KB 42221282185883.