Azure Native Qumulo Maintenant disponible dans l'UE, au Royaume-Uni et au Canada - En savoir plus

Comment automatiser la détection des ransomwares à l'aide de règles d'analyse dans Azure Sentinel

Rédigé par:

Ceci est l'histoire finale de notre 4 parties Détection des ransomwares série dans laquelle nous explorons comment analyser et protéger vos données Qumulo avec Azure Sentinel. Dans les parties 1, 2 et 3, nous avons examiné comment détecter les modèles d'accès aux ransomwares, a décrit deux autres méthodes pour détecter les ransomwares grâce à la corrélation des données, puis a offert un aperçu de détection de ransomware à l'aide de Threat Intelligence externe données pour prendre en charge la corrélation des données. Dans notre dernière entrée de cette série, nous montrerons comment automatiser ces requêtes de détection dans Azure Sentinel pour une sécurité proactive des données.


Auparavant dans cette série, nous avons expliqué comment exécuter des requêtes pour détecter les ransomwares et autres activités suspectes. Nous allons maintenant commencer à automatiser le processus de détection des ransomwares.

Dans cet article, nous utilisons des règles d'analyse pour exécuter des requêtes dans Azure Sentinel. Pour ce faire, procédez comme suit :

  1. Lancez les requêtes périodiquement, par exemple toutes les 5 minutes, pour analyser et corréler les données entrées au cours de la période de 5 minutes précédente.
  2. En cas de correspondance(s) positive(s), nous créons un ou plusieurs incidents dans Azure Sentinel et les attribuons éventuellement à un administrateur ou à un analyste de la sécurité des données, envoyons des alertes, etc.
  3. Nous pouvons déclencher des réponses automatisées avec Playbooks en fonction d'alertes ou d'incidents. Les playbooks peuvent inclure presque n'importe quel code sans serveur lancé en tant que fonction Azure.

Comment créer des règles d'analyse pour exécuter des requêtes dans Azure Sentinel et détecter les menaces de ransomware

L'organigramme suivant illustre ce que nous mettons en œuvre avec les règles d'analyse.

 

Pour rappel, voici la requête que nous avons utilisée pour filtrer sur notre liste noire :

let timerange = 10min;
let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true);
QumuloAuditEvents
| where EventTime >= ago(timerange)
| where FileExt1 in (blacklist)</var/www/wordpress>

Créons maintenant une règle d'analyse dans Azure Sentinel, afin que cette requête s'exécute toutes les 10 minutes.

Dans Azure Sentinel, sélectionnez votre Espace de travail > Analytique > Création > Horaires règle de requête. Ensuite, vous entrez les détails de la règle tels que le nom, la description et la gravité (vous pouvez ignorer la catégorie de tactique à ce stade). Vous pouvez comparer la capture d'écran suivante avec vos règles d'analyse.

À l'étape suivante, vous entrez la requête et les détails de planification tels que l'intervalle et si vous souhaitez regrouper les événements potentiels dans une seule alerte.

Vous décidez ensuite si un incident est créé automatiquement pour les alertes.

Dans la dernière étape, nous choisirons une réponse automatisée. Les réponses automatisées sont mises en œuvre avec Playbooks dans Azure Sentinel. Un Playbook peut contenir presque n'importe quelle réponse en utilisant Applications logiques Azure.

Automatisation des réponses avec des playbooks dans Azure Sentinel

Les équipes de gestion des informations et des événements de sécurité (SIEM) et du centre d'opérations de sécurité (SOC) sont généralement régulièrement inondées d'alertes et d'incidents de sécurité, à des volumes si importants que le personnel disponible est submergé. Cela se traduit par des situations où de nombreuses alertes sont ignorées et de nombreux incidents ne font pas l'objet d'une enquête, laissant l'organisation vulnérable aux attaques qui passent inaperçues.

Beaucoup, sinon la plupart, de ces alertes et incidents se conforment à des modèles récurrents qui peuvent être traités par des ensembles spécifiques et définis d'actions correctives.

Un playbook est une collection de ces actions de correction qui peuvent être exécutées à partir d'Azure Sentinel en tant que routine. Un livre de jeu peut vous aider automatiser et orchestrez votre réponse aux menaces en cas de détection de ransomware. Il peut être exécuté manuellement ou configuré pour s'exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, lorsqu'il est déclenché par une règle d'analyse ou une règle d'automatisation, respectivement.

Les playbooks sont créés et appliqués au niveau de l'abonnement, mais l'onglet playbooks affiche tous les playbooks disponibles pour tous les abonnements sélectionnés.

Le concept de Logic Apps dépasse le cadre de cet article. Mais il est important de comprendre que vous pouvez exécuter n'importe quel type de code à partir d'un playbook avec une réponse Logic Apps à une alerte ou à un incident.

À titre d'exemple, un playbook très basique utiliserait un connecteur pré-construit pour se connecter à un serveur SMTP afin d'envoyer des e-mails en réponse à un incident. La figure suivante est une capture d'écran du concepteur d'application logique, afin que vous puissiez voir comment concevoir une application logique de base dans le concepteur d'application logique.

 

Une réponse automatisée typique pour un événement de sécurité sur un système de fichiers Qumulo effectuerait, par exemple, une ou plusieurs des actions suivantes :

  • Attribuer automatiquement un incident à un administrateur ou à un analyste de sécurité
  • Envoyez des alertes par e-mail ou SMS aux administrateurs ou même aux utilisateurs concernés
  • Créer un ticket dans ServiceNow
  • Connectez-vous au cluster Qumulo concerné et supprimez immédiatement les fichiers associés ou mettez-les en quarantaine
  • Définir un partage Qumulo en lecture seule ou bloquer l'accès pour un certain utilisateur ou client
  • Connectez-vous au pare-feu et bloquez certaines adresses IP
  • Se connecter à Active Directory et bloquer un utilisateur

Pour en savoir plus sur les playbooks et les applications logiques, veuillez visiter Automatisez la réponse aux menaces avec des playbooks dans Azure Sentinel.

De plus, nous vous encourageons à lisez notre livre blanc complet sur la chasse aux menaces pour une plongée plus approfondie dans les méthodes et les workflows de détection des ransomwares avec Qumulo Audit et Azure Sentinel.

Mettre en œuvre une stratégie holistique de détection et de prévention des ransomwares

Dans ce nouvel article concernant notre nouveau projet détection de ransomware série, nous avons discuté de la chasse aux menaces avec Azure Sentinel pour les clusters Qumulo. Que vous exécutiez un cluster Qumulo sur site, Qumulo SaaS dans Azure ou Qumulo dans d'autres clouds, Azure Sentinel est l'une des principales plateformes SIEM et SOAR pour les entreprises axées sur les données. Il peut être utilisé pour mettre en œuvre une stratégie holistique de détection et de prévention des ransomwares afin de protéger vos données sur le stockage de fichiers Qumulo et d'autres actifs critiques pour continuité d'activité et reprise après sinistre.

Qumulo Recover Q : solution de récupération après sinistre pour vous protéger contre les ransomwares

Journaux d'audit de Qumulo peut être utilisé via syslog avec n'importe quelle solution SIEM pour la détection.

Nous offrons également des Qumulo Récupérer Q-un flexible solution cloud de reprise après sinistre qui s'intègre dans toute stratégie de continuité d'activité existante. L'utilisation de Recover Q dans le cloud peut aider à optimiser les dépenses de votre entreprise pour la continuité des activités en réduisant les coûts sur site au profit d'un service cloud natif à la demande. Les fonctionnalités de protection active contribuent à garantir la sécurité et l'intégrité des données, tandis que les fonctionnalités intégrées de réplication de snapshot et de cloud ajoutent des couches de défense contre les menaces du monde réel qui pourraient compromettre vos données ou vos opérations.

Qumulo sur Azure en tant que service, par exemple, comprend un contrôle d'accès intégré basé sur les rôles pour tous les utilisateurs, un audit d'activité pour tous les utilisateurs et fichiers, et le chiffrement des données au repos associé aux services de sécurité Azure pour vous aider à repousser les menaces externes. Dans notre vidéo ci-dessous, vous pouvez voir comment Qumulo sur Azure simplifie les services de fichiers cloud et peut vous aider à protéger vos données grâce à des fonctionnalités de reprise après sinistre, notamment la réplication continue, codage d'effacement, instantanés et basculement automatique.

[identifiant qumulo_cta = »260147″]

Lectures complémentaires

Jetez un œil à nos deux livres blancs (ci-dessous) pour en savoir plus sur la détection des ransomwares avec les données d'audit Qumulo et les plateformes SIEM, ainsi que sur les services de données (Qumulo Protect et Qumulo Secure) fournis en standard avec votre abonnement logiciel Qumulo.

Vous aimez ce que vous voyez?

Contactez-nous pour réserver une démo or organiser une réunion. Vous pouvez même Test Drive un environnement Qumulo entièrement fonctionnel directement depuis votre navigateur.

Articles Similaires

Remonter en haut