Cette histoire vous vient en tant que partie 3 de 4 dans notre Série de détection de ransomware dans lequel nous explorons comment analyser et protéger vos données Qumulo à l'échelle du cloud. Dans les parties 1 et 2, nous avons examiné comment détecter les ransomwares modèles d'accès avec Qumulo et Azure Sentinel, puis décrit deux méthodes supplémentaires pour détection de ransomware avec corrélation de données. Dans la partie 3 ci-dessous, nous expliquons comment utiliser les données externes de Threat Intelligence pour prendre en charge la corrélation des données.
Dans la partie 2 de cette série sur la détection des ransomwares, nous avons utilisé des tables statiques telles que des listes noires ou d'autres tables de recherche pour la corrélation des données avec les événements d'audit Qumulo entrants. Dans cet article, nous allons présenter quelques exemples simples qui utilisent des flux externes de Threat Intelligence pour la corrélation des données. Pour rappel, l'image ci-dessous illustre le workflow de détection de ransomware.
Détecter les ransomwares en temps réel
Comme indiqué précédemment dans cette série, les menaces potentielles de ransomware ou d'autres activités suspectes doivent être détectées avant qu'elles ne puissent nuire. L'un des objectifs pour y parvenir est d'utiliser le partage d'indicateurs automatisé (AIS) fourni par l'industrie.
L'AIS permet l'échange en temps réel de données lisibles par machine indicateurs de cybermenace et des mesures défensives pour aider à protéger les participants et, en fin de compte, réduire la prévalence des cyberattaques. AIS utilise un format de données standard ouvert, appelé Structured Threat Information Expression (STIX™), et le protocole Trusted Automated Exchange of Indicator Information (TAXII™) pour la communication de machine à machine.
Comment alimenter Threat Intelligence dans un espace de travail Azure Sentinel
Azure Sentinel peut s'abonner aux flux STIX à l'aide du connecteur TAXII intégré. Il existe de nombreux flux open source, ainsi que des flux professionnels disponibles. nous utiliserons Le flux de menaces de la limousine d'Anomali pour alimenter la Threat Intelligence dans notre espace de travail Sentinel et corréler les données avec nos événements d'audit.
En utilisant curl, nous pouvons obtenir une liste des flux fournis par limo.anomaly.com :
curl -u guest https://limo.anomali.com/api/v1/taxii2/feeds/collections/ { "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, { "can_read": true, "can_write": false, "description": "", "id": "135", "title": "Abuse.ch Ransomware IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "136", "title": "Abuse.ch Ransomware Domains" }, { "can_read": true, "can_write": false, "description": "", "id": "150", "title": " DShield Scanning IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "200", "title": "Malware Domain List - Hotlist" }, { "can_read": true, "can_write": false, "description": "", "id": "209", "title": "Blutmagie TOR Nodes" }, { "can_read": true, "can_write": false, "description": "", "id": "31", "title" : "Emerging Threats C&C Server" }, { "can_read": true, "can_write": false, "description": "", "id": "33", "title": "Lehigh Malwaredomains" }, { "can_read ": true, "can_write": false,"description": "", "id": "41", "title": "CyberCrime" }, { "can_read": true, "can_write": false, "description": "", "id": "68 ", "title": " Menaces émergentes - Compromis " } ] }
Comment s'abonner à un flux de renseignements sur les menaces
Pour vous abonner à l'un des flux Threat Intelligence répertoriés ci-dessus, passons en revue quelques étapes rapides dans Azure Sentinel. Dans Sentinel, procédez comme suit :
- Cliquez sur Connecteurs de données
- Entrez « Taxii » dans le champ de recherche
- Sélectionnez Threat Intelligence - (TAXII)
- Entrez les détails du flux dans la liste ci-dessus
Par exemple, si vous souhaitez vous abonner au Serveur C&C des menaces émergentes flux, vous devez saisir les informations suivantes dans la boîte de dialogue :
Cela ajouterait le flux à votre espace de travail. Après seulement quelques secondes, vous pouvez voir les données TI reçues.
Sélectionnez « Threat Intelligence » dans le volet de navigation pour afficher vos événements TI :
Vous pouvez interroger les données Threat Intelligence avec la requête suivante :
ThreatIntelligenceIndicator
| project TimeGenerated, Action, Description, NetworkIP, Url, SourceSystem</var/www/wordpress>
</var/www/wordpress>An output example is shown in the next figure:
Comment corréler les événements Qumulo avec les données de Threat Intelligence
Maintenant, alors que nous alimentons les informations sur les menaces dans notre espace de travail Azure Sentinel, nous pouvons corréler les données et vérifier toute l'activité du système de fichiers Qumulo. Par exemple, nous pourrions rechercher des connexions à toute mauvaise adresse IP connue de nos différents flux avec la requête suivante :
laissez timerange = 15min; let MalIpList = (ThreatIntelligenceIndicator | où Description contient "mal_ip" | projet NetworkIP); QumuloAuditEvénements | où ClientIP dans (MalIpList)
Cette requête aboutira à une liste de toutes les activités qu'un nœud Qumulo a eues avec l'une des mauvaises adresses connues des flux de renseignement.
C'est un bon exemple où nous aurions besoin de commencer l'automatisation. Si la requête ci-dessus montre des résultats positifs, nous aimerions créer automatiquement une alerte, un incident et potentiellement déclencher une réponse automatisée. Dans ce cas, l'analyste de la sécurité des données affecté enquêterait si cette adresse IP s'est déjà présentée plus tôt dans notre environnement et prendrait des mesures si c'était le cas.
Dans tous les cas, nous mettrons à jour les règles de nos pare-feu afin que cette adresse soit totalement bloquée. C'est un bon exemple d'action préventive. Même si cette adresse IP n'a (espérons-le) jamais contacté notre réseau, nous la bloquons à l'avance car nous savons (d'après le flux TI) qu'elle est liée à des activités malveillantes.
[box type="shadow"]Remarque : il serait très logique de ne pas seulement corréler les événements Qumulo avec les données Threat Intelligence. En fait, exécuter ces corrélations et les réponses (automatisées) contre les événements clients, les événements de pare-feu et les événements Active Directory est encore plus logique ! Vous découvrirez ces connexions malveillantes beaucoup plus tôt. En outre, vous souhaiterez peut-être rechercher des URL malveillantes sur votre pare-feu, votre passerelle Internet ou votre serveur proxy http pour bloquer ces sites, avant qu'un utilisateur ne puisse tenter d'y accéder.[/box]
Comment utiliser le Machine Learning pour détecter les ransomwares et les anomalies suspectes
Azure Sentinel dispose de règles analytiques qui utilisent Machine Learning (ML) pour découvrir des anomalies ou détecter des ransomwares dans votre environnement de stockage de données. Microsoft a introduit un nouveau type de règle, appelé Anomaly, à cette fin. Vous n'avez pas à vous soucier de la gestion de l'environnement d'exécution ML pour anomalies suspectes, car Azure Sentinel s'occupe de tout en coulisses.
Vous pouvez trouver ces règles dans Azure Sentinel dans l'onglet Analytics, et il semble que Microsoft en ajoute de plus en plus au fil du temps. Ces règles utilisent le ML pour entraîner un modèle pendant quelques jours afin de définir la référence pour les conditions habituelles. Il peut s'agir de modèles de trafic réseau, de modèles de connexion dans Azure Active Directory (Azure AD), d'alarmes de pare-feu, de requêtes Web, etc. Les paramètres des règles prédéfinies peuvent être modifiés pour équilibrer le niveau de bruit à un niveau significatif.
Les algorithmes des règles prédéfinies ne sont pas entraînés pour les événements Qumulo. Cependant, leur utilisation avec des événements provenant d'autres sources, telles qu'Azure AD ou des pare-feu, améliore la détection des ransomwares et réduit le temps d'investigation et de recherche des menaces.
Voici les 3 principaux cas d'utilisation de l'apprentissage automatique pour détecter les ransomwares.
1. Signaux supplémentaires pour améliorer la détection des ransomwares
Les analystes de la sécurité des données peuvent utiliser des anomalies pour détecter de nouvelles menaces et rendre les détections existantes plus efficaces. Une seule anomalie n'est pas un signal fort de comportement malveillant, mais lorsqu'elle est combinée à plusieurs anomalies qui se produisent à différents points sur le chaîne de cyber-tuerie, leur effet cumulatif est beaucoup plus fort. Les analystes de sécurité peuvent également améliorer les détections existantes en faisant du comportement inhabituel identifié par des anomalies une condition pour le déclenchement d'alertes.
2. Preuve lors des enquêtes
Les analystes de la sécurité des données peuvent également utiliser des anomalies pendant les enquêtes pour aider à confirmer une violation, trouver de nouvelles voies pour l'enquêter et évaluer son impact potentiel. Par exemple, lors d'une enquête sur un incident impliquant un utilisateur et une adresse IP, un analyste de sécurité peut interroger l'utilisateur et l'adresse IP dans le tableau « Anomalies » pour découvrir d'autres activités anormales effectuées par cet utilisateur et qui se sont produites sur cette adresse IP. . Ces données aident les analystes de sécurité à réduire le temps consacré aux enquêtes.
3. Le début des chasses proactives aux menaces
Les chasseurs de menaces peuvent utiliser les anomalies comme contexte pour déterminer si leurs requêtes ont détecté un comportement suspect. Lorsque le comportement est suspect, les anomalies pointent également vers des chemins potentiels pour une poursuite de la chasse. Ces indices fournis par les anomalies réduisent à la fois le temps de détection d'une menace et ses chances de causer des dommages.
Nous venons de voir comment exécuter des requêtes pour détecter les ransomwares et autres activités suspectes. Ensuite, nous allons vous montrer comment automatiser la détection de ces ransomwares requêtes dans Azure Sentinel.
Qumulo Recover Q : solution de reprise après sinistre pour aider à se prémunir contre ransomware
Journaux d'audit de Qumulo peut être utilisé via syslog avec n'importe quelle solution SIEM pour la détection.
On offre également des Qumulo Récupérer Q-un flexible solution de reprise après sinistre basée sur le cloud qui s'intègre dans toute stratégie de continuité d'activité existante. Les fonctionnalités de protection active contribuent à garantir la sécurité et l'intégrité des données, tandis que les fonctionnalités intégrées de réplication de snapshot et de cloud ajoutent des couches de défense contre les menaces du monde réel qui pourraient compromettre vos données ou vos opérations.
L'utilisation de Recover Q dans le cloud peut aider à optimiser les dépenses de votre entreprise pour la continuité des activités en réduisant les coûts sur site au profit d'un service cloud natif à la demande.
Lectures complémentaires
Consultez nos deux livres blancs pour en savoir plus sur la détection des ransomwares avec les données d'audit Qumulo et les plateformes SIEM, ainsi que sur le services de données (Qumulo Protect et Qumulo Secure) fournis en standard avec votre abonnement logiciel Qumulo :
- Architecture de sécurité et meilleures pratiques pour contrer les logiciels malveillants
- Chasse aux menaces avec Qumulo Audit et Azure Sentinel
Vous aimez ce que vous voyez?
Contactez-nous pour réserver une démo or organiser une réunion. Vous pouvez même Test Drive un environnement Qumulo entièrement fonctionnel directement depuis votre navigateur :
