Comment détecter les modèles d'accès aux ransomwares avec Qumulo et Azure Sentinel

Cette série en 4 parties sur Détection des ransomwares explore comment analyser et protéger les données Qumulo à l'échelle du cloud. Il existe diverses techniques de surveillance de la sécurité du réseau utilisées pour rechercher les menaces et détecter les ransomwares. Dans cette série, nous passerons en revue ces méthodes de détection des menaces et fournirons un guide étape par étape pour vous aider à protéger vos données contre les attaques de ransomware.


Auparavant, nous avons écrit sur le intégré protection des données et contrôles de sécurité qui est fourni en standard avec la plate-forme de données de fichiers Qumulo. Nous avons expliqué pourquoi une approche de sécurité holistique qui inclut des techniques de surveillance du réseau, du calcul, des appareils et des événements, ainsi que la corrélation et l'analyse des données, est préférable aux solutions de sécurité en silos intégrées au système de stockage. L'objectif étant de détecter les menaces avant qu'elles n'atteignent votre stockage de données de fichiers. Et, s'ils le font, avoir un sauvegarde et reprise après sinistre basées sur le cloud stratégie qui assure la continuité de l'activité.

C'est là que commence cette série sur la chasse aux menaces et la détection des ransomwares. 

Dans cet article, nous examinerons un flux de travail de détection de ransomware typique. Ensuite, nous verrons comment ces techniques de détection peuvent être utilisées avec Azure Sentinel pour détecter les modèles d'accès suspects aux données Qumulo, ce qui pourrait indiquer un ransomware.

Comment la fonctionnalité de journalisation d'audit de Qumulo s'intègre à Azure Sentinel

Bien que vous puissiez utiliser n'importe quelle plate-forme de gestion des informations et des événements de sécurité (SIEM) standard, nous avons décidé d'utiliser Azure Sentinel comme SIEM et orchestration, automatisation et réponse de la sécurité (SOAR) solution pour cette implémentation pour les raisons suivantes :

  • Azure Sentinel est une solution basée sur le cloud qui ne nécessite aucune configuration d'infrastructure dans votre centre de données. 
  • Sentinel fonctionne à l'échelle du cloud pour les systèmes qui résident sur site, dans Azure ou tout autre environnement cloud.
  • Il n'y a pas de frais de licence initiaux. Vous ne payez que pour les données que vous ingérez et stockez dans les journaux Azure Monitor.
  • Il n'y a aucun coût pour l'analyse et le traitement des données.
  • Sentinel contient des fonctionnalités avancées d'analyse de sécurité et de renseignement sur les menaces et fournit un riche ensemble de connecteurs à de nombreuses autres plates-formes courantes.
  • L'automatisation des réponses peut être implémentée avec des applications logiques, exécutant tout type de code requis. En outre, un certain nombre d'applications logiques prédéfinies peuvent être utilisées pour automatiser les réponses et se connecter à un grand nombre d'autres systèmes informatiques.

Dans un article de blog précédent, intitulé Sécurisez vos données avec Qumulo Audit et Azure Log Analytic, nous avons décrit comment les données Qumulo Audit sont ingérées dans Azure Sentinel. Avec ces seules données, nous pouvons rechercher et détecter des modèles d'accès suspects qui pourraient indiquer une attaque de ransomware. 

Workflow de détection de ransomware pour détecter les modèles d'accès suspects

Dans la première étape, nous utiliserons les données d'audit Qumulo pour rechercher des modèles d'accès suspects. Le flux de travail typique est illustré dans le diagramme suivant.

détecter les modèles suspects de ransomware

Il existe différentes manières de rechercher les menaces et de détecter les ransomwares. Examinons les techniques suivantes :

  1. Les données d'événement sont ingérées dans les journaux Azure Monitor
  2. Avec automatisé Requêtes KQL, nous recherchons des modèles d'accès suspects.
  3. S'il n'y a pas de correspondance positive, nous continuerons à surveiller les nouvelles données entrantes
  4. En cas de correspondance positive, Sentinel peut créer une alerte de sécurité et éventuellement un incident. L'incident est utilisé pour l'affectation à un analyste de la sécurité des données et la gestion des alertes. Plusieurs alertes d'un type similaire peuvent également être regroupées en un seul incident.
  5. En fonction du type d'incidents, un Playbook peut être lancé et peut effectuer presque toutes les actions telles que : envoyer une notification aux analystes de la sécurité des données, supprimer les données suspectes, bloquer l'accès aux données, bloquer un utilisateur, modifier les règles de pare-feu, etc. (Les mécanismes de réponse automatisés seront traités plus loin dans cette série). 
  6. Une fois qu'un Playbook est exécuté ou que les analystes de la sécurité des données ont enquêté sur les incidents, le statut de l'incident est mis à jour, puis fermé ou éventuellement traité.

Maintenant que nous avons une idée du workflow de détection des ransomwares, voyons deux exemples simples d'activité suspecte.

Détection des ransomwares (exemples) ou d'autres activités suspectes potentielles

L'un des moyens les plus simples de découvrir une activité suspecte potentielle est d'identifier quand quelqu'un a essayé de se connecter à plusieurs reprises, mais où la connexion a échoué. Il peut s'agir d'une connexion à l'interface Web, à l'API ou même lors de la tentative de montage d'une exportation SMB.

Découvrir trop de tentatives de connexion infructueuses (exemple 1)

Pour trouver ces tentatives de connexion infructueuses au cours des 30 dernières minutes, nous pourrions lancer une simple requête KQL dans laquelle QumuloAuditÉvénements est une fonction que nous utilisons pour extraire des champs distincts des données d'audit brutes ; c'est expliqué plus en détail ici.

QumuloAuditÉvénements
| où EventTime > il y a (30m)
| où ResponseCode == "STATUS_LOGON_FAILURE"

Le résultat serait une liste de toutes les tentatives de connexion avec toutes les informations pertinentes nécessaires pour analyser plus en détail ce qui s'est passé :

détection d'exemples de ransomware

Au lieu de lancer cette requête manuellement, nous créerions, bien sûr, une règle qui l'exécuterait toutes les 30 minutes (ou selon l'intervalle que nous souhaitons). Le traitement des alertes ou des incidents se déroulerait alors de la manière décrite ci-dessus.

Bien que cela ne couvre que les échecs de connexion sur Qumulo, vous devriez envisager d'utiliser le Connecteur Sentinelle pour Microsoft Defender pour l'identité pour diffuser les événements d'identité de votre serveur Active Directory directement dans Azure Sentinel. Cela vous fournirait plus d'options pour analyser les activités suspectes liées à l'accès aux fichiers vers et depuis Qumulo, plutôt que des activités plus larges liées à l'authentification.

Détecter les modèles d'accès aux ransomwares (exemple 2)

Si une machine cliente spécifique accède à des fichiers dans un répertoire à grande vitesse, cela indique qu'un processus lit les fichiers, les crypte et les réécrit au même endroit (parfois même le même nom de fichier ou le même nom de fichier avec un suffixe supplémentaire). 

La requête suivante filtrerait les événements des 5 dernières minutes qui indiquent un taux d'E/S élevé (opérations d'E/S par seconde) dans les répertoires d'un seul client qui dépasse un seuil configurable (ici, nous le définissons à 500).

laissez max_IOPS = 500 ; QumuloAuditEvénements | où EventTime > il y a (5m) | résumer events_count=count() par bin(EventTime,1s), ClientIP, Directory | où events_count > max_IOPS

L'inconvénient de cette requête est qu'elle peut également intercepter des activités d'application qui s'exécutent avec des taux d'E/S élevés sur des charges de travail régulières. Cependant, les ransomwares ont tendance à lire et à écrire avec des taux d'E/S élevés en même temps : en lisant puis en écrivant immédiatement les mêmes données (cryptées). 

Développons la requête, de sorte qu'elle n'affiche que les résultats avec des lectures et des tours écrit depuis le même client, en écrivant/lisant dans le même répertoire :

laissez max_IOPS = 500 ; QumuloAuditEvénements | où EventTime > il y a (5m) | résume events_count_write=countif(Operation == "fs_write_data"), events_count_read=countif(Operation == "fs_read_data") par bin(EventTime,1s), ClientIP, Dir1 | où events_count_write > max_IOPS et events_count_read > max_IOPS

Il s'agit évidemment d'un mécanisme de détection de ransomware très simple qui fonctionne pour plusieurs attaques de ransomware. Cependant, des versions de ransomware plus sophistiquées ont été observées qui retardent les opérations d'écriture sur de plus longues périodes, de sorte que la requête ci-dessus à elle seule ne serait pas assez sophistiquée pour les capturer. Pour détecter ces types d'attaques de ransomware, nous utiliserions la corrélation des données avec des données externes de renseignements sur les menaces. C'est le sujet de partie 2 dans cette série sur la détection des ransomwares.

Qumulo Récupérer Q : solution de reprise après sinistre pour aider à se prémunir contre ransomware

Qumulo Les journaux d'audit peut être utilisé via syslog avec n'importe quelle solution SIEM pour la détection de ransomware. 

On offre également des Qumulo Récupérer Q-un flexible solution de reprise après sinistre basée sur le cloud qui s'intègre dans toute stratégie de continuité d'activité existante. L'utilisation de Recover Q dans le cloud peut aider à optimiser les dépenses de votre entreprise pour la continuité des activités en réduisant les coûts sur site au profit d'un service cloud natif à la demande. Les fonctionnalités de protection active contribuent à garantir la sécurité et l'intégrité des données, tandis que les fonctionnalités intégrées de réplication de snapshot et de cloud ajoutent des couches de défense contre les menaces du monde réel qui pourraient compromettre vos données ou vos opérations.

Qumulo sur Azure en tant que service, par exemple, comprend un contrôle d'accès intégré basé sur les rôles pour tous les utilisateurs, un audit d'activité pour tous les utilisateurs et fichiers, et le chiffrement des données au repos associé aux services de sécurité Azure pour vous aider à repousser les menaces externes. Dans notre vidéo ci-dessous, vous pouvez voir comment Qumulo sur Azure simplifie les services de fichiers cloud et peut vous aider à protéger vos données grâce à des fonctionnalités de reprise après sinistre, notamment la réplication continue, codage d'effacement, instantanés et basculement automatique.

Lectures complémentaires

Consultez nos deux livres blancs ci-dessous pour en savoir plus sur la détection des ransomwares avec les données d'audit Qumulo et les plates-formes SIEM, ainsi que sur le services de données (Qumulo Protect et Qumulo Secure) fournis en standard avec votre abonnement logiciel Qumulo :

Vous aimez ce que vous voyez?

Contactez-nous pour réserver une démo or organiser une réunion. Vous pouvez même Test Drive un environnement Qumulo entièrement fonctionnel directement depuis votre navigateur : 

Testez gratuitement Qumulo

Testez gratuitement Qumulo

Explorez un environnement Qumulo entièrement fonctionnel, directement dans votre navigateur.

Try Demo

Partager cette publication