Diese Geschichte kommt zu euch als Teil 3 von 4 in unserem Ransomware-Erkennungsserie in dem wir untersuchen, wie Sie Ihre Qumulo-Daten im Cloud-Maßstab analysieren und schützen können. In den Teilen 1 und 2 haben wir untersucht So erkennen Sie Ransomware Zugriffsmuster mit Qumulo und Azure Sentinel und skizzierten dann zwei zusätzliche Methoden für Erkennung von Ransomware mit Datenkorrelation. In Teil 3 unten besprechen wir, wie externe Threat Intelligence-Daten verwendet werden, um die Datenkorrelation zu unterstützen.
In Teil 2 dieser Serie zum Erkennen von Ransomware haben wir statische Tabellen wie Blacklists oder andere Lookup-Tabellen für die Datenkorrelation mit eingehenden Qumulo-Audit-Ereignissen verwendet. In diesem Artikel stellen wir einige einfache Beispiele vor, die externe Threat Intelligence-Feeds für die Datenkorrelation verwenden. Zur Erinnerung: Das folgende Bild veranschaulicht den Workflow zur Erkennung von Ransomware.
Ransomware in Echtzeit erkennen
Wie bereits in dieser Serie erwähnt, sollten potenzielle Ransomware-Bedrohungen oder andere verdächtige Aktivitäten erkannt werden, bevor sie Schaden anrichten können. Ein Ziel, um dies zu erreichen, ist der Einsatz von Automated Indicator Sharing (AIS).
AIS ermöglicht den Echtzeit-Austausch von maschinenlesbaren Indikatoren für Cyber-Bedrohungen und Abwehrmaßnahmen, um die Teilnehmer zu schützen und letztendlich die Verbreitung von Cyberangriffen zu reduzieren. AIS verwendet ein offenes Standarddatenformat namens Structured Threat Information Expression (STIX™) und das Protokoll Trusted Automated Exchange of Indicator Information (TAXII™) für die Maschine-zu-Maschine-Kommunikation.
So speisen Sie Threat Intelligence in einen Azure Sentinel-Arbeitsbereich ein
Azure Sentinel kann STIX-Feeds über den integrierten TAXII-Connector abonnieren. Es gibt viele Open-Source-Feeds sowie professionelle Feeds. Wir verwenden Anomalis Limo Bedrohungsstream um Threat Intelligence in unseren Sentinel-Workspace einzuspeisen und die Daten mit unseren Audit-Ereignissen zu korrelieren.
Mit curl können wir eine Liste der Feeds abrufen, die von limo.anomaly.com bereitgestellt werden:
curl -u guest https://limo.anomali.com/api/v1/taxii2/feeds/collections/ { "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, { "can_read": true, "can_write": false, "description": "", "id": "135", "title": "Abuse.ch Ransomware IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "136", "title": "Abuse.ch Ransomware Domains" }, { "can_read": true, "can_write": false, "description": "", "id": "150", "title": "DShield Scanning IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "200", "title": "Malware Domain List - Hotlist" }, { "can_read": true, "can_write": false, "description": "", "id": "209", "title": "Blutmagie TOR Nodes" }, { "can_read": true, "can_write": false, "description": "", "id": "31", "title" : "Neu auftretende Bedrohungen C&C Server" }, { "can_read": true, "can_write": false, "description": "", "id": "33", "title": "Lehigh Malwaredomains" }, { "can_read ": true, "can_write": false,"description": "", "id": "41", "title": "CyberCrime" }, { "can_read": true, "can_write": false, "description": "", "id": "68 ", "title": "Neu auftretende Bedrohungen – gefährdet" } ] }
So abonnieren Sie einen Threat Intelligence-Feed
Um einen der oben aufgeführten Threat Intelligence-Feeds zu abonnieren, führen wir einige kurze Schritte in Azure Sentinel durch. Führen Sie in Sentinel die folgenden Schritte aus:
- Klicken Sie auf Datenkonnektoren
- Geben Sie „Taxii“ in das Suchfeld ein
- Wählen Sie Bedrohungsinformationen – (TAXII)
- Geben Sie die Feed-Details aus der obigen Liste ein
Wenn Sie zum Beispiel die . abonnieren möchten Neue Bedrohungen C&C Server Feed, würden Sie die folgenden Informationen in das Dialogfeld eingeben:
Dadurch wird der Feed zu Ihrem Arbeitsbereich hinzugefügt. Bereits nach wenigen Sekunden können Sie die empfangenen TI-Daten sehen.
Wählen Sie im Navigationsbereich „Threat Intelligence“, um Ihre TI-Ereignisse anzuzeigen:
Sie können die Threat Intelligence-Daten mit der folgenden Abfrage abfragen:
ThreatIntelligenceIndicator
| project TimeGenerated, Action, Description, NetworkIP, Url, SourceSystem</var/www/wordpress>
</var/www/wordpress>An output example is shown in the next figure:
So korrelieren Sie Qumulo-Ereignisse mit Threat Intelligence-Daten
Wenn wir nun die Threat Intelligence in unseren Azure Sentinel-Arbeitsbereich einspeisen, können wir die Daten korrelieren und alle Qumulo-Dateisystemaktivitäten überprüfen. Beispielsweise könnten wir mit der folgenden Abfrage nach Verbindungen zu bekannten fehlerhaften IP-Adressen in unseren verschiedenen Feeds suchen:
let timerange = 15min; let MalIpList = (ThreatIntelligenceIndicator | wobei die Beschreibung „mal_ip“ enthält | project NetworkIP); QumuloAuditEvents | wo ClientIP in (MalIpList)
Diese Abfrage führt zu einer Liste aller Aktivitäten, die ein Qumulo-Knoten mit einer der nicht bekannten Adressen aus den Intelligence-Feeds hatte.
Dies ist ein gutes Beispiel dafür, wo wir mit der Automatisierung beginnen müssten. Wenn die obige Abfrage positive Ergebnisse liefert, möchten wir automatisch eine Warnung bzw. einen Vorfall erstellen und möglicherweise eine automatische Reaktion auslösen. In diesem Fall würde der beauftragte Datensicherheitsanalyst untersuchen, ob diese IP-Adresse jemals früher in unserer Umgebung aufgetaucht ist, und gegebenenfalls Maßnahmen ergreifen.
In jedem Fall würden wir die Regeln in unseren Firewalls so aktualisieren, dass diese Adresse vollständig blockiert wird. Dies ist ein gutes Beispiel für vorbeugende Maßnahmen. Auch wenn diese IP-Adresse (hoffentlich) nie Kontakt zu unserem Netzwerk aufgenommen hat, würden wir sie im Voraus blockieren, da wir (aus dem TI-Feed) wissen, dass sie mit Malware-Aktivitäten zusammenhängt.
[box type=“shadow“]Hinweis: Es wäre sehr sinnvoll, Qumulo-Ereignisse nicht nur mit Threat Intelligence-Daten zu korrelieren. Tatsächlich ist es sogar noch sinnvoller, diese Korrelationen und die (automatisierten) Reaktionen auf Client-Ereignisse, Firewall-Ereignisse und Active Directory-Ereignisse auszuführen! Sie würden diese bösartigen Verbindungen viel früher aufdecken. Möglicherweise möchten Sie auch auf Ihrer Firewall, Ihrem Internet-Gateway oder Ihrem HTTP-Proxy-Server nach bösartigen URLs suchen, um diese Websites zu blockieren, bevor ein Benutzer versuchen kann, auf sie zuzugreifen.[/box]
So nutzen Sie maschinelles Lernen, um Ransomware und verdächtige Anomalien zu erkennen
Azure Sentinel verfügt über einige Analyseregeln, die maschinelles Lernen (ML) nutzen, um Anomalien aufzudecken oder Ransomware in Ihrer Datenspeicherumgebung zu erkennen. Zu diesem Zweck hat Microsoft einen neuen Regeltyp namens Anomaly eingeführt. Sie müssen sich keine Gedanken über die Verwaltung der ML-Laufzeitumgebung machen verdächtige Anomalien, denn Azure Sentinel kümmert sich um alles hinter den Kulissen.
Sie finden diese Regeln in Azure Sentinel auf der Registerkarte „Analytics“ und es scheint, dass Microsoft im Laufe der Zeit weitere hinzufügt. Diese Regeln verwenden ML, um ein Modell ein paar Tage lang zu trainieren, um die Basislinie für normale Bedingungen festzulegen. Dies können Netzwerkverkehrsmuster, Anmeldemuster in Azure Active Directory (Azure AD), Firewall-Alarme, Webanfragen und mehr sein. Die Parameter der vordefinierten Regeln können geändert werden, um den Geräuschpegel auf einen sinnvollen Wert auszugleichen.
Die Algorithmen in den vordefinierten Regeln sind nicht für Qumulo-Ereignisse trainiert. Die Verwendung mit Ereignissen aus anderen Quellen – etwa Azure AD oder Firewalls – verbessert jedoch die Ransomware-Erkennung und verkürzt die Untersuchungs- und Bedrohungssuchzeit.
Im Folgenden sind die drei Hauptanwendungsfälle für den Einsatz von maschinellem Lernen zur Erkennung von Ransomware aufgeführt.
1. Zusätzliche Signale zur Verbesserung der Ransomware-Erkennung
Datensicherheitsanalysten können Anomalien nutzen, um neue Bedrohungen zu erkennen und bestehende Erkennungen effektiver zu machen. Eine einzelne Anomalie ist kein starkes Signal für böswilliges Verhalten, aber in Kombination mit mehreren Anomalien, die an verschiedenen Stellen auf dem Netzwerk auftreten Cyber-Kill-Kette, ihre kumulative Wirkung ist viel stärker. Sicherheitsanalysten können auch bestehende Erkennungen verbessern, indem sie das durch Anomalien identifizierte ungewöhnliche Verhalten zu einer Bedingung für die Auslösung von Warnungen machen.
2. Beweise während der Ermittlungen
Datensicherheitsanalysten können bei Untersuchungen auch Anomalien nutzen, um einen Verstoß zu bestätigen, neue Wege für die Untersuchung zu finden und seine möglichen Auswirkungen abzuschätzen. Wenn ein Sicherheitsanalyst beispielsweise einen Vorfall untersucht, an dem ein Benutzer und eine IP-Adresse beteiligt sind, kann er den Benutzer und die IP-Adresse in der Tabelle „Anomalien“ abfragen, um andere anomale Aktivitäten herauszufinden, die von diesem Benutzer ausgeführt wurden und an dieser IP-Adresse stattgefunden haben . Diese Daten helfen Sicherheitsanalysten, den Zeitaufwand für Untersuchungen zu reduzieren.
3. Der Beginn der proaktiven Bedrohungsjagd
Bedrohungsjäger können Anomalien als Kontext verwenden, um festzustellen, ob ihre Abfragen verdächtiges Verhalten erkannt haben. Wenn das Verhalten verdächtig ist, weisen die Anomalien auch auf mögliche Wege für die weitere Jagd hin. Diese durch Anomalien bereitgestellten Hinweise verkürzen sowohl die Zeit zum Erkennen einer Bedrohung als auch ihre Wahrscheinlichkeit, Schaden anzurichten.
Wir haben gerade besprochen, wie man Abfragen durchführt, um Ransomware und andere verdächtige Aktivitäten zu erkennen. Als nächstes zeigen wir es Ihnen wie man diese Ransomware-Erkennung automatisiert Abfragen in Azure Sentinel.
Qumulo Recover Q: Disaster-Recovery-Lösung zum Schutz vor Katastrophen Ransomware
Qumulo-Audit-Protokolle kann über Syslog mit jeder SIEM-Lösung zur Erkennung verwendet werden.
Wir bieten auch Qumulo Wiederherstellung Q—eine flexible Cloud-basierte Disaster-Recovery-Lösung das in jede bestehende Business-Continuity-Strategie passt. Aktive Schutzfunktionen tragen zur Gewährleistung der Datensicherheit und -integrität bei, während integrierte Snapshot- und Cloud-Replikationsfunktionen zusätzliche Schutzebenen gegen reale Bedrohungen bieten, die Ihre Daten oder Ihren Betrieb gefährden könnten.
Der Einsatz von Recover Q in der Cloud kann dazu beitragen, die Ausgaben Ihres Unternehmens für die Geschäftskontinuität zu optimieren, indem die Kosten vor Ort zugunsten eines cloudnativen On-Demand-Dienstes gesenkt werden.
Weiterführende Literatur
Werfen Sie einen Blick auf unsere beiden Whitepapers, um mehr über die Ransomware-Erkennung mit Qumulo-Auditdaten und SIEM-Plattformen sowie die integrierte Lösung zu erfahren Datendiensten (Qumulo Protect und Qumulo Secure), die standardmäßig in Ihrem Qumulo-Software-Abonnement enthalten sind:
- Sicherheitsarchitektur und Best Practices zur Abwehr von Malware
- Bedrohungsjagd mit Qumulo Audit und Azure Sentinel
Gefällt Ihnen was Sie sehen?
Kontaktieren Sie uns, um Demo buchen or Ein Treffen arrangieren. Sie können sogar Probefahrt eine voll funktionsfähige Qumulo-Umgebung direkt von Ihrem Browser aus:
