Cette histoire vous vient en tant que partie 2 de 4 dans notre Série de détection de ransomware dans lequel nous explorons comment analyser et protéger vos données Qumulo à l'échelle du cloud. Dans la partie 1, nous avons examiné comment détecter les ransomwares des modèles d'accès qui pourraient indiquer une menace pour vos données (avec Qumulo et Azure Sentinel). Dans la partie 2 ci-dessous, nous abordons l'étape suivante pour détecter les ransomwares : comment corréler les données entrantes avec des données externes, telles que des listes blanches ou des listes noires.


Auparavant, nous analysions le workflow de détection de ransomware utilisé avec Azure Sentinel pour détecter les modèles d'accès suspects aux données Qumulo. L'une des caractéristiques du ransomware est qu'il peut se cacher indéfiniment dans votre système pour permettre à son auteur de planifier une attaque ciblée. Dans cette histoire, nous ajouterons des techniques simples de corrélation de données au processus de détection des ransomwares pour découvrir et prévenir les attaques.

Les données externes, telles que les listes blanches ou noires, peuvent être implémenté dans Azure Sentinel de diverses façons. Par exemple sous forme de listes de surveillance ou de tableaux dans des fichiers CSV. Dans ce cas, nous utiliserons des données externes sous forme de tables statiques. Voir les exemples suivants à titre d'illustration :
1. Détecter les fichiers avec de mauvaises extensions de fichiers suspectes ou connues et ;
2. Détection d'un nombre élevé de réponses d'accès refusé dans les journaux d'événements de Qumulo.

Workflow de détection de ransomware avec corrélation de données

Le workflow de détection de ransomware ci-dessous ressemble assez à celui expliqué précédemment dans la partie 1—qui explore détection des modèles d'accès aux ransomwares. La différence ici est la corrélation des données ajoutées avec les données entrantes. Examinons ci-dessous comment procéder.

workflow de détection de ransomware

Méthodes de corrélation des données et de détection des ransomwares

Ensuite, nous aborderons les méthodes de corrélation des données et de détection des ransomwares ou d'autres événements de violation de données. Ces méthodes peuvent également être appliquées facilement pour découvrir d'autres activités suspectes.

1. Détectez les extensions de fichiers suspectes ou connues

Ici, nous vérifions les fichiers entrants par rapport à une liste externe d'extensions de fichiers indésirables (liste noire). Nous créons cette liste sous forme de fichier CSV, puis la stockons dans un conteneur blob.

Ce CSV contient une liste d'extensions de fichiers incorrectes connues :

Extension,Description .dam,Dommages Malware .dr,composant compte-gouttes pour un malware .gen, malware détecté à l'aide d'une signature générique .kit, constructeur de virus .ldr, composant de chargeur d'un malware .pak, malware compressé .plugin, plug- dans le composant .remnants, restes d'un virus .worm, composant de ver de ce malware .!bit, une catégorie interne utilisée pour faire référence à certaines menaces .!cl, une catégorie interne utilisée pour faire référence à certaines menaces .!dha, une catégorie interne utilisé pour désigner certaines menaces .!pfn, une catégorie interne utilisée pour désigner certaines menaces .!plock, une catégorie interne utilisée pour désigner certaines menaces .!rfn, une catégorie interne utilisée pour désigner certaines menaces .!rootkit, rootkit composant de ce malware .@m: worm mailers .@mm: mass mailer worm

Nous téléchargeons le fichier CSV dans un conteneur blob privé et nous obtenons l'URL suivante pour y accéder :

https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv

Cependant, comme nous ne voulons pas que cette liste soit accessible au public, nous créons un jeton SAS dans le portail Azure. De cette façon, nous pouvons accéder au fichier sans fournir la clé du compte de stockage. L'URL que nous en tirerions ressemble à ceci :

https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D

Pour interroger le contenu de la liste noire, nous écrivons la requête suivante dans Azure Sentinel :

externaldata (FileExt: string, Detail: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true)

Cela entraînerait l'affichage du contenu de la table CSV (nous avons ignoré la sortie):

signes de ransomware

Nous pouvons maintenant utiliser la requête suivante pour vérifier tous les fichiers touchés au cours des 10 dernières minutes sur les extensions de fichiers indésirables :

laissez plage de temps = 10min; let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se= 2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] avec (ignoreFirstRecord=true); QumuloAuditEvénements | où EventTime >= il y a (intervalle de temps) | où FileExt1 dans (liste noire)

Cette requête répertorie tous les événements pour lesquels des fichiers ont été consultés et dont l'extension de fichier est répertoriée dans la liste noire externe :

identifier les ransomwares

Selon le workflow de détection indiqué ci-dessus, des alertes et des incidents seraient créés automatiquement. L'incident de sécurité pourrait être confié à un analyste de la sécurité pour une enquête plus approfondie ou à un playbook peut être déclenché, ce qui lance des réponses automatisées.

2. Accès refusé réponses au-dessus du seuil

Dans cet exemple de méthode, nous voulons détecter certaines actions sur le système de fichiers. Nous recherchons des actions contenant des réponses « accès refusé » du système de fichiers qui ont dépassé un seuil élevé au cours d'une période donnée. Si l'accès est refusé plus de 10 fois par seconde, cela indique une activité suspecte et l'équipe de sécurité doit être alertée.

Pour ce cas d'utilisation, nous créons une liste de surveillance qui est une table statique utilisée pour les recherches. Dans cet exemple, la liste de surveillance Q-Response-Codes contient tous les codes de réponse du système de fichiers. Nous pouvons interroger la liste de surveillance avec les éléments suivants :

_GetWatchlist('Q-Response-Messages')

symptômes du ransomware

Maintenant, pour suivre les événements entrants des 10 dernières minutes par rapport à cette liste et intercepter tout événement avec un code de réponse autre que « ok », nous pouvons exécuter la requête suivante :

laissez plage de temps = 10min; let watchlist = (_GetWatchlist('Q-Response-Messages') | où ErrorStatus <> "ok" | project ErrorStatus) ; QumuloAuditEvénements | où EventTime >= il y a (intervalle de temps) | où ResponseCode dans (liste de surveillance)

Nous pourrions également limiter la liste de surveillance à fs_access_denied_error et http_unauthorized_error si nous voulions que les alertes se produisent uniquement sur ces événements. Pour alerter automatiquement uniquement sur les erreurs d'accès refusé qui dépassent un certain seuil, nous allons créer une règle analytique dans Azure Sentinel qui est déclenchée à intervalles réguliers et déclenchera une alerte uniquement si le nombre d'événements dépasse un seuil que nous pouvons configurer . À partir de là, les alertes ou incidents seraient traités selon le workflow décrit ci-dessus.

La prochaine étape est la troisième partie de cette série sur la détection des ransomwares ! Nous regarderons comment utiliser les données externes de Threat Intelligence pour prendre en charge la corrélation des données.

Qumulo Recover Q : solution de reprise après sinistre pour aider à se prémunir contre ransomware

Journaux d'audit de Qumulo peut être utilisé via syslog avec n'importe quelle solution SIEM pour la détection.

Qumulo Récupérer QNous offrons également une Qumulo Récupérer Q-un flexible solution de reprise après sinistre basée sur le cloud qui s'intègre dans toute stratégie de continuité d'activité existante. Les fonctionnalités de protection active contribuent à garantir la sécurité et l'intégrité des données, tandis que les fonctionnalités intégrées de réplication de snapshot et de cloud ajoutent des couches de défense contre les menaces du monde réel qui pourraient compromettre vos données ou vos opérations.

L'utilisation de Recover Q dans le cloud peut aider à optimiser les dépenses de votre entreprise pour la continuité des activités en réduisant les coûts sur site au profit d'un service cloud natif à la demande.

Pour aller plus loin

Consultez nos deux livres blancs pour en savoir plus sur la détection des ransomwares avec les données d'audit Qumulo et les plateformes SIEM, ainsi que sur le services de données (Qumulo Protect et Qumulo Secure) fournis en standard avec votre abonnement logiciel Qumulo :

Vous aimez ce que vous voyez?

Contactez-nous pour réserver une démo or organiser une réunion. Vous pouvez même Test Drive un environnement Qumulo entièrement fonctionnel directement depuis votre navigateur :

Testez gratuitement Qumulo

Testez gratuitement Qumulo

Explorez un environnement Qumulo entièrement fonctionnel, directement dans votre navigateur.

Try Demo