Cette histoire vous vient en tant que partie 2 de 4 dans notre Série de détection de ransomware dans lequel nous explorons comment analyser et protéger vos données Qumulo à l'échelle du cloud. Dans la partie 1, nous avons examiné comment détecter les ransomwares des modèles d'accès qui pourraient indiquer une menace pour vos données (avec Qumulo et Azure Sentinel). Dans la partie 2 ci-dessous, nous abordons l'étape suivante pour détecter les ransomwares : comment corréler les données entrantes avec des données externes, telles que des listes blanches ou des listes noires.
Auparavant, nous analysions le workflow de détection de ransomware utilisé avec Azure Sentinel pour détecter les modèles d'accès suspects aux données Qumulo. L'une des caractéristiques du ransomware est qu'il peut se cacher indéfiniment dans votre système pour permettre à son auteur de planifier une attaque ciblée. Dans cette histoire, nous ajouterons des techniques simples de corrélation de données au processus de détection des ransomwares pour découvrir et prévenir les attaques.
Les données externes, telles que les listes blanches ou noires, peuvent être implémenté dans Azure Sentinel de diverses façons. Par exemple sous forme de listes de surveillance ou de tableaux dans des fichiers CSV. Dans ce cas, nous utiliserons des données externes sous forme de tables statiques. Voir les exemples suivants à titre d'illustration :
1. Détecter les fichiers avec de mauvaises extensions de fichiers suspectes ou connues et ;
2. Détection d'un nombre élevé de réponses d'accès refusé dans les journaux d'événements de Qumulo.
Workflow de détection de ransomware avec corrélation de données
Le workflow de détection de ransomware ci-dessous ressemble assez à celui expliqué précédemment dans la partie 1—qui explore détection des modèles d'accès aux ransomwares. La différence ici est la corrélation des données ajoutées avec les données entrantes. Examinons ci-dessous comment procéder.
Méthodes de corrélation des données et de détection des ransomwares
Ensuite, nous aborderons les méthodes de corrélation des données et de détection des ransomwares ou d'autres événements de violation de données. Ces méthodes peuvent également être appliquées facilement pour découvrir d'autres activités suspectes.
1. Détectez les extensions de fichiers suspectes ou connues
Ici, nous vérifions les fichiers entrants par rapport à une liste externe d'extensions de fichiers indésirables (liste noire). Nous créons cette liste sous forme de fichier CSV, puis la stockons dans un conteneur blob.
Ce CSV contient une liste d'extensions de fichiers incorrectes connues :
Extension,Description .dam,Dommages Malware .dr,composant compte-gouttes pour un malware .gen, malware détecté à l'aide d'une signature générique .kit, constructeur de virus .ldr, composant de chargeur d'un malware .pak, malware compressé .plugin, plug- dans le composant .remnants, restes d'un virus .worm, composant de ver de ce malware .!bit, une catégorie interne utilisée pour faire référence à certaines menaces .!cl, une catégorie interne utilisée pour faire référence à certaines menaces .!dha, une catégorie interne utilisé pour désigner certaines menaces .!pfn, une catégorie interne utilisée pour désigner certaines menaces .!plock, une catégorie interne utilisée pour désigner certaines menaces .!rfn, une catégorie interne utilisée pour désigner certaines menaces .!rootkit, rootkit composant de ce malware .@m: worm mailers .@mm: mass mailer worm
Nous téléchargeons le fichier CSV dans un conteneur blob privé et nous obtenons l'URL suivante pour y accéder :
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv</var/www/wordpress>Cependant, comme nous ne voulons pas que cette liste soit accessible au public, nous créons un jeton SAS dans le portail Azure. De cette façon, nous pouvons accéder au fichier sans fournir la clé du compte de stockage. L'URL que nous en tirerions ressemble à ceci :
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D</var/www/wordpress>Pour interroger le contenu de la liste noire, nous écrivons la requête suivante dans Azure Sentinel :
externaldata (FileExt: string, Detail: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true)
Cela entraînerait l'affichage du contenu de la table CSV (nous avons ignoré la sortie):
Nous pouvons maintenant utiliser la requête suivante pour vérifier tous les fichiers touchés au cours des 10 dernières minutes sur les extensions de fichiers indésirables :
laissez plage de temps = 10min; let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se= 2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] avec (ignoreFirstRecord=true); QumuloAuditEvénements | où EventTime >= il y a (intervalle de temps) | où FileExt1 dans (liste noire)
Cette requête répertorie tous les événements pour lesquels des fichiers ont été consultés et dont l'extension de fichier est répertoriée dans la liste noire externe :
Selon le workflow de détection indiqué ci-dessus, des alertes et des incidents seraient créés automatiquement. L'incident de sécurité pourrait être confié à un analyste de la sécurité pour une enquête plus approfondie ou à un playbook peut être déclenché, ce qui lance des réponses automatisées.
2. Accès refusé réponses au-dessus du seuil
Dans cet exemple de méthode, nous voulons détecter certaines actions sur le système de fichiers. Nous recherchons des actions contenant des réponses « accès refusé » du système de fichiers qui ont dépassé un seuil élevé au cours d'une période donnée. Si l'accès est refusé plus de 10 fois par seconde, cela indique une activité suspecte et l'équipe de sécurité doit être alertée.
Pour ce cas d'utilisation, nous créons une liste de surveillance qui est une table statique utilisée pour les recherches. Dans cet exemple, la liste de surveillance Q-Response-Codes</var/www/wordpress> contains all file system response codes. We can query the watchlist with the following:
_GetWatchlist('Q-Response-Messages')</var/www/wordpress>
Maintenant, pour suivre les événements entrants des 10 dernières minutes par rapport à cette liste et intercepter tout événement avec un code de réponse autre que « ok », nous pouvons exécuter la requête suivante :
laissez plage de temps = 10min; let watchlist = (_GetWatchlist('Q-Response-Messages') | où ErrorStatus <> "ok" | project ErrorStatus) ; QumuloAuditEvénements | où EventTime >= il y a (intervalle de temps) | où ResponseCode dans (liste de surveillance)
Nous pourrions également limiter la liste de surveillance à fs_access_denied_error</var/www/wordpress> and http_unauthorized_error</var/www/wordpress> if we wanted the alerts to occur only on those events. To automatically alert only on access denied errors that exceed a certain threshold, we’ll create an analytic rule in Azure Sentinel that is fired up in regular intervals, and will trigger an alert only if the number of events exceeds a threshold that we can configure. From here, the alerts or incidents would be processed according to the workflow described above.
La prochaine étape est la troisième partie de cette série sur la détection des ransomwares ! Nous regarderons comment utiliser les données externes de Threat Intelligence pour prendre en charge la corrélation des données.
Qumulo Recover Q : solution de reprise après sinistre pour aider à se prémunir contre ransomware
Journaux d'audit de Qumulo peut être utilisé via syslog avec n'importe quelle solution SIEM pour la détection.
Nous offrons également des Qumulo Récupérer Q-un flexible solution de reprise après sinistre basée sur le cloud qui s'intègre dans toute stratégie de continuité d'activité existante. Les fonctionnalités de protection active contribuent à garantir la sécurité et l'intégrité des données, tandis que les fonctionnalités intégrées de réplication de snapshot et de cloud ajoutent des couches de défense contre les menaces du monde réel qui pourraient compromettre vos données ou vos opérations.
L'utilisation de Recover Q dans le cloud peut aider à optimiser les dépenses de votre entreprise pour la continuité des activités en réduisant les coûts sur site au profit d'un service cloud natif à la demande.
Lectures complémentaires
Consultez nos deux livres blancs pour en savoir plus sur la détection des ransomwares avec les données d'audit Qumulo et les plateformes SIEM, ainsi que sur le services de données (Qumulo Protect et Qumulo Secure) fournis en standard avec votre abonnement logiciel Qumulo :
- Architecture de sécurité et meilleures pratiques pour contrer les logiciels malveillants
- Chasse aux menaces avec Qumulo Audit et Azure Sentinel
Vous aimez ce que vous voyez?
Contactez-nous pour réserver une démo or organiser une réunion. Vous pouvez même Test Drive un environnement Qumulo entièrement fonctionnel directement depuis votre navigateur :
