Dies ist die letzte Geschichte in unserem 4-Teil Ransomware-Erkennung Reihe, in der wir untersuchen, wie Sie Ihre Qumulo-Daten mit Azure Sentinel analysieren und schützen. In den Teilen 1, 2 und 3 haben wir untersucht So erkennen Sie Ransomware-Zugriffsmuster, skizzierte zwei weitere Methoden, um Ransomware mit Datenkorrelation erkennen, und bot dann einen Überblick für Erkennung von Ransomware mithilfe externer Bedrohungsinformationen Daten zur Unterstützung der Datenkorrelation. In unserem letzten Eintrag in dieser Reihe zeigen wir, wie Sie diese Erkennungsabfragen in Azure Sentinel für proaktive Datensicherheit automatisieren.
Zuvor in dieser Serie haben wir darüber geschrieben, wie Abfragen ausgeführt werden, um Ransomware und andere verdächtige Aktivitäten zu erkennen. Jetzt beginnen wir damit, den Ransomware-Erkennungsprozess zu automatisieren.
In diesem Artikel verwenden wir Analyseregeln zum Ausführen von Abfragen in Azure Sentinel. Führen Sie dazu die folgenden Schritte aus:
- Starten Sie die Abfragen regelmäßig, beispielsweise alle 5 Minuten, um Daten zu analysieren und zu korrelieren, die während der vorherigen 5-Minuten-Periode eingegangen sind.
- Im Falle einer positiven Übereinstimmung(en) erstellen wir einen oder mehrere Vorfälle in Azure Sentinel und weisen sie optional einem Administrator oder Datensicherheitsanalysten zu, versenden Warnungen und mehr.
- Wir können mit Playbooks basierend auf Warnungen oder Vorfällen automatisierte Reaktionen auslösen. Playbooks können fast jeden serverlosen Code enthalten, der als Azure-Funktion gestartet wird.
So erstellen Sie Analyseregeln zum Ausführen von Abfragen in Azure Sentinel und Erkennen von Ransomware-Bedrohungen
Das folgende Flussdiagramm veranschaulicht, was wir mit Analyseregeln implementieren.
Zur Erinnerung, hier ist die Abfrage, die wir zum Filtern nach unserer schwarzen Liste verwendet haben:
let timerange = 10min;
let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true);
QumuloAuditEvents
| where EventTime >= ago(timerange)
| where FileExt1 in (blacklist)</var/www/wordpress>
Erstellen wir nun eine Analyseregel in Azure Sentinel, sodass diese Abfrage alle 10 Minuten ausgeführt wird.
Wählen Sie in Azure Sentinel Ihre aus Arbeitsplatz > Analyse > Erstellen > Ablauf Abfrageregel. Anschließend geben Sie die Regeldetails wie Name, Beschreibung und Schweregrad ein (die Taktikkategorie können Sie an dieser Stelle ignorieren). Sie können den folgenden Screenshot mit Ihren Analyseregeln vergleichen.
Im nächsten Schritt geben Sie die Abfrage und die Planungsdetails ein, z. B. das Intervall und ob Sie potenzielle Ereignisse in einer einzigen Warnung zusammenfassen möchten.
Anschließend entscheiden Sie, ob für Alarme automatisch ein Vorfall erstellt wird.
Im letzten Schritt wählen wir eine automatisierte Antwort. Automatisierte Antworten werden mit implementiert Playbooks in Azure Sentinel. Ein Playbook kann nahezu jede beliebige Antwort enthalten Azure-Logik-Apps.
Reaktionsautomatisierung mit Playbooks in Azure Sentinel
Teams für das Security Information and Event Management (SIEM) und das Security Operations Center (SOC) werden in der Regel regelmäßig mit Sicherheitswarnungen und -vorfällen überschwemmt, und zwar in einer solchen Menge, dass das verfügbare Personal überfordert ist. Dies führt dazu, dass viele Warnungen ignoriert und viele Vorfälle nicht untersucht werden, wodurch das Unternehmen anfällig für unbemerkte Angriffe wird.
Viele, wenn nicht die meisten dieser Warnungen und Vorfälle folgen wiederkehrenden Mustern, die durch spezifische und definierte Abhilfemaßnahmen behoben werden können.
Ein Playbook ist eine Sammlung dieser Korrekturmaßnahmen, die routinemäßig von Azure Sentinel ausgeführt werden können. Ein Spielbuch kann helfen automatisieren und orchestrieren Sie Ihre Bedrohungsreaktion im Falle einer Ransomware-Erkennung. Es kann manuell ausgeführt werden oder so eingestellt werden, dass es automatisch als Reaktion auf bestimmte Warnungen oder Vorfälle ausgeführt wird, wenn es durch eine Analyseregel bzw. eine Automatisierungsregel ausgelöst wird.
Playbooks werden auf Abonnementebene erstellt und angewendet, aber auf der Registerkarte „Playbooks“ werden alle Playbooks angezeigt, die für alle ausgewählten Abonnements verfügbar sind.
Das Konzept von Logic Apps geht über den Rahmen dieses Artikels hinaus. Es ist jedoch wichtig zu verstehen, dass Sie jede Art von Code aus einem Playbook mit einer Logic Apps-Reaktion auf eine Warnung oder einen Vorfall ausführen können.
Beispielsweise würde ein sehr einfaches Playbook einen vorgefertigten Connector verwenden, um eine Verbindung zu einem SMTP-Server herzustellen und E-Mails als Reaktion auf einen Vorfall auszulösen. Die nächste Abbildung ist ein Screenshot des Logik-App-Designers, sodass Sie sehen können, wie Sie eine grundlegende Logik-App im Logik-App-Designer entwerfen.
Eine typische automatisierte Reaktion auf ein Sicherheitsereignis in einem Qumulo-Dateisystem würde beispielsweise eine oder mehrere der folgenden Aktionen ausführen:
- Weisen Sie einen Vorfall automatisch einem Administrator oder Sicherheitsanalysten zu
- Versenden Sie E-Mail- oder SMS-Benachrichtigungen an Administratoren oder sogar an die betroffenen Benutzer.
- Erstellen Sie ein Ticket in ServiceNow
- Stellen Sie eine Verbindung zum entsprechenden Qumulo-Cluster her und löschen Sie zugehörige Dateien sofort oder stellen Sie sie in Quarantäne
- Legen Sie fest, ob eine Qumulo-Freigabe schreibgeschützt ist, oder blockieren Sie den Zugriff für einen bestimmten Benutzer oder Client
- Stellen Sie eine Verbindung zur Firewall her und blockieren Sie bestimmte IP-Adressen
- Stellen Sie eine Verbindung zu Active Directory her und blockieren Sie einen Benutzer
Weitere Informationen zu Playbooks und Logic Apps finden Sie unter Automatisieren Sie die Reaktion auf Bedrohungen mit Playbooks in Azure Sentinel.
Darüber hinaus ermutigen wir Sie dazu Lesen Sie unser vollständiges Whitepaper zur Bedrohungssuche für einen tieferen Einblick in Ransomware-Erkennungsmethoden und -Workflows mit Qumulo Audit und Azure Sentinel.
Implementierung einer ganzheitlichen Ransomware-Erkennungs- und Präventionsstrategie
In diesem Ransomware-Erkennung In der Serie haben wir Threat Hunting mit Azure Sentinel für Qumulo-Cluster besprochen. Unabhängig davon, ob Sie einen On-Premise-Qumulo-Cluster, Qumulo SaaS in Azure oder Qumulo in anderen Clouds betreiben, ist Azure Sentinel eine der führenden SIEM- und SOAR-Plattformen für datengesteuerte Unternehmen. Es kann verwendet werden, um eine ganzheitliche Ransomware-Erkennungs- und Präventionsstrategie zu implementieren, um Ihre Daten im Qumulo-Dateispeicher und andere kritische Vermögenswerte zu schützen Geschäftskontinuität und Notfallwiederherstellung.
Qumulo Recover Q: Disaster-Recovery-Lösung zum Schutz vor Ransomware
Qumulo-Audit-Protokolle kann über Syslog mit jeder SIEM-Lösung zur Erkennung verwendet werden.
Wir bieten auch Qumulo Wiederherstellung Q—eine flexible Cloud-Disaster-Recovery-Lösung die in jede bestehende Business Continuity-Strategie passt. Die Verwendung von Recover Q in der Cloud kann dazu beitragen, die Ausgaben Ihres Unternehmens für die Geschäftskontinuität zu optimieren, indem die Kosten vor Ort zugunsten eines Cloud-nativen On-Demand-Service gesenkt werden. Aktive Schutzfunktionen tragen zur Gewährleistung der Datensicherheit und -integrität bei, während integrierte Snapshot- und Cloud-Replikationsfunktionen zusätzliche Schutzebenen gegen reale Bedrohungen bieten, die Ihre Daten oder Ihren Betrieb gefährden könnten.
Qumulo in Azure as a Service, umfasst beispielsweise eine integrierte rollenbasierte Zugriffssteuerung für alle Benutzer, Aktivitätsüberwachung für alle Benutzer und Dateien und die Verschlüsselung von Daten im Ruhezustand in Verbindung mit den Sicherheitsdiensten von Azure, um Ihnen bei der Abwehr externer Bedrohungen zu helfen. In unserem Video unten sehen Sie, wie Qumulo in Azure Cloud-Dateidienste einfach macht und Ihre Daten mit Notfallwiederherstellungsfunktionen wie kontinuierlicher Replikation, Löschcodierung, Snapshots und automatisches Failover.
[qumulo_cta id=“260147″]
Weiterführende Literatur
Werfen Sie einen Blick auf unsere beiden Whitepapers (unten), um mehr über die Ransomware-Erkennung mit Qumulo-Auditdaten und SIEM-Plattformen sowie die integrierten Funktionen zu erfahren Datendiensten (Qumulo Protect und Qumulo Secure), die standardmäßig in Ihrem Qumulo-Softwareabonnement enthalten sind.
- Sicherheitsarchitektur und Best Practices zur Abwehr von Malware
- Bedrohungsjagd mit Qumulo Audit und Azure Sentinel
Gefällt Ihnen was Sie sehen?
Kontaktieren Sie uns, um Demo buchen or Ein Treffen arrangieren. Sie können sogar Probefahrt eine voll funktionsfähige Qumulo-Umgebung direkt von Ihrem Browser aus.
