Diese 4-teilige Serie über Ransomware-Erkennung untersucht, wie Qumulo-Daten im Cloud-Maßstab analysiert und geschützt werden können. Im folgenden Teil 1 besprechen wir, wie man verdächtige Zugriffsmuster erkennt, die auf einen Ransomware-Angriff hinweisen könnten. In Teil 2 werden wir untersuchen, wie das Hinzufügen von Datenkorrelationstechniken dazu beitragen kann, weitere potenzielle Angriffe aufzudecken und zu verhindern. In Teil 3 zeigen wir, wie man externe Threat Intelligence-Feeds für die Datenkorrelation nutzt. In Teil 4 zeigen wir, wie Sie diese Abfragen mit Qumulo-Prüfdaten und Azure Sentinel automatisieren.
Zuvor haben wir über die . geschrieben eingebaut Datenschutz- und Sicherheitskontrollen die standardmäßig mit der Qumulo File Data Platform geliefert wird. Wir haben erklärt, warum ein ganzheitlicher Sicherheitsansatz, der Techniken zur Netzwerk-, Rechen-, Geräte- und Ereignisüberwachung sowie Datenkorrelation und -analyse umfasst, gegenüber isolierten Sicherheitslösungen, die in das Speichersystem eingebettet sind, vorzuziehen ist. Das Ziel besteht darin, Bedrohungen zu erkennen, bevor sie Ihren Dateidatenspeicher erreichen. Und wenn sie es tun, um eine Cloud-basiertes Backup und Disaster Recovery Strategie, die die Geschäftskontinuität sicherstellt.
Hier setzt diese Serie über Bedrohungssuche und Ransomware-Erkennung an.
In diesem Artikel betrachten wir einen typischen Arbeitsablauf zur Erkennung von Ransomware. Anschließend erfahren Sie, wie diese Erkennungstechniken mit Azure Sentinel verwendet werden können, um verdächtige Zugriffsmuster auf Qumulo-Daten zu erkennen, die auf Ransomware hinweisen könnten.
Wie sich die Audit-Protokollierungsfunktion von Qumulo in SIEM integriert
Während Sie jede branchenübliche SIEM-Plattform (Security Information and Event Management) verwenden können, haben wir uns für die Verwendung von Azure Sentinel als SIEM entschieden Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) Lösung für diese Implementierung aus folgenden Gründen:
- Azure Sentinel ist eine cloudbasierte Lösung, die keine Infrastruktureinrichtung in Ihrem Rechenzentrum erfordert.
- Sentinel arbeitet im Cloud-Maßstab für Systeme, die sich lokal, in Azure oder einer anderen Cloud-Umgebung befinden.
- Es fallen keine Lizenzkosten im Voraus an. Sie zahlen nur für die Daten, die Sie aufnehmen und in Azure Monitor-Protokollen speichern.
- Für die Analyse und Verarbeitung der Daten fallen keine Kosten an.
- Sentinel enthält erweiterte Sicherheitsanalyse- und Threat-Intelligence-Funktionen und bietet eine Vielzahl von Konnektoren zu vielen anderen gängigen Plattformen.
- Die Reaktionsautomatisierung kann mit Logik-Apps implementiert werden, die jede Art von erforderlichem Code ausführen. Darüber hinaus lassen sich über eine Reihe vorgefertigter Logik-Apps Reaktionen automatisieren und eine Vielzahl anderer IT-Systeme anbinden.
In einem früheren Blogbeitrag mit dem Titel Sichern Sie Ihre Daten mit Qumulo Audit und Azure Log Analytichaben wir beschrieben, wie Qumulo Audit-Daten in Azure Sentinel aufgenommen werden. Allein mit diesen Daten können wir verdächtige Zugriffsmuster suchen und erkennen, die auf einen Ransomware-Angriff hinweisen könnten.
Workflow zur Erkennung von Ransomware, um verdächtige Zugriffsmuster zu erkennen
Im ersten Schritt verwenden wir Qumulo Audit-Daten, um nach verdächtigen Zugriffsmustern zu suchen.
Es gibt verschiedene Möglichkeiten, eine Bedrohungssuche durchzuführen und Ransomware zu erkennen. Lassen Sie uns die folgenden Techniken untersuchen:
- Ereignisdaten werden in Azure Monitor-Protokollen aufgenommen
- Mit automatisiertem KQL-Abfragen, suchen wir nach verdächtigen Zugriffsmustern.
- Wenn es keine positive Übereinstimmung gibt, beobachten wir weiterhin neue eingehende Daten
- Im Falle einer positiven Übereinstimmung kann Sentinel eine Sicherheitswarnung und optional einen Vorfall erstellen. Der Vorfall wird zur Zuweisung an einen Datensicherheitsanalysten und zur Verwaltung der Warnung(en) verwendet. Mehrere Warnungen eines ähnlichen Typs können ebenfalls zu einem Vorfall gruppiert werden.
- Basierend auf der Art der Vorfälle kann ein Playbook gestartet werden, das fast alle Aktionen ausführen kann, wie beispielsweise: eine Benachrichtigung an Datensicherheitsanalysten senden, verdächtige Daten entfernen, den Zugriff auf Daten blockieren, einen Benutzer blockieren, Firewall-Regeln ändern und mehr. (Automatisierte Reaktionsmechanismen werden später in dieser Serie behandelt).
- Nachdem ein Playbook ausgeführt wurde oder Datensicherheitsanalysten die Vorfälle untersucht haben, wird der Vorfallstatus aktualisiert und dann geschlossen oder schließlich weiterverarbeitet.
Nachdem wir uns nun eine Vorstellung vom Workflow zur Erkennung von Ransomware gemacht haben, sehen wir uns zwei einfache Beispiele für verdächtige Aktivitäten an.
Erkennen von Ransomware (Beispiele) oder andere potenziell verdächtige Aktivitäten
Eine der einfachsten Möglichkeiten, eine potenziell verdächtige Aktivität aufzudecken, besteht darin, festzustellen, wann jemand wiederholt versucht hat, sich anzumelden, die Anmeldung jedoch fehlgeschlagen ist. Dies kann entweder eine Anmeldung bei der WebUI, der API oder sogar beim Versuch sein, einen SMB-Export bereitzustellen.
Entdecken Sie zu viele fehlgeschlagene Anmeldeversuche (Beispiel 1)
Um diese fehlgeschlagenen Anmeldeversuche innerhalb der letzten 30 Minuten zu finden, könnten wir eine einfache KQL-Abfrage starten, in der QumuloAuditEvents ist eine Funktion, die wir verwenden, um separate Felder aus den Audit-Rohdaten zu extrahieren; es ist genauer erklärt hier.
QumuloAuditEvents | wo EreignisZeit > vor (30m) | where ResponseCode == "STATUS_LOGON_FAILURE"
Das Ergebnis wäre eine Liste aller Anmeldeversuche mit allen relevanten Informationen, die zur weiteren Analyse des Geschehens benötigt werden:
Anstatt diese Abfrage manuell zu starten, würden wir natürlich eine Regel erstellen, die sie alle 30 Minuten (oder in jedem beliebigen Intervall) ausführt. Die Behandlung der Alarme oder Vorfälle würde dann wie oben beschrieben ablaufen.
Dies würde zwar nur fehlgeschlagene Anmeldungen auf Qumulo abdecken, Sie sollten jedoch in Betracht ziehen, die Sentinel-Anschluss für Microsoft Defender für Identität um Identitätsereignisse von Ihrem Active Directory-Server direkt in Azure Sentinel zu übertragen. Dies würde Ihnen mehr Möglichkeiten bieten, verdächtige Aktivitäten im Zusammenhang mit dem Dateizugriff auf und von Qumulo zu analysieren, als breitere Aktivitäten im Zusammenhang mit der Authentifizierung.
Ransomware-Zugriffsmuster erkennen (Beispiel 2)
Wenn ein bestimmter Client-Rechner mit hoher Geschwindigkeit auf Dateien in einem Verzeichnis zugreift, ist dies ein Hinweis darauf, dass ein Prozess Dateien liest, verschlüsselt und an dieselbe Stelle zurückschreibt (manchmal sogar denselben Dateinamen oder Dateinamen mit zusätzlichem Suffix).
Die folgende Abfrage würde Ereignisse der letzten 5 Minuten herausfiltern, die auf eine hohe IO-Rate (IO-Operationen pro Sekunde) in Verzeichnissen eines einzelnen Clients hinweisen, die einen konfigurierbaren Schwellenwert überschreiten (hier setzen wir ihn auf 500).
sei max_IOPS = 500; QumuloAuditEvents | wo EventTime > vor (5m) | fasse events_count=count() nach bin(EventTime,1s), ClientIP, Verzeichnis zusammen | wobei events_count > max_IOPS
Der Nachteil dieser Abfrage besteht darin, dass sie möglicherweise auch Anwendungsaktivitäten abfängt, die bei normalen Workloads mit hohen E/A-Raten ausgeführt werden. Ransomware neigt jedoch dazu, gleichzeitig mit hohen IO-Raten zu lesen und zu schreiben: die gleichen (verschlüsselten) Daten zu lesen und dann sofort zu schreiben.
Lassen Sie uns die Abfrage erweitern, sodass nur Ergebnisse mit Lesevorgängen angezeigt werden und schreibt vom selben Client, schreibt/liest in dasselbe Verzeichnis:
sei max_IOPS = 500; QumuloAuditEvents | wo EventTime > vor (5m) | Fassen Sie events_count_write=countif(Operation == "fs_write_data"), events_count_read=countif(Operation == "fs_read_data") von bin(EventTime,1s), ClientIP, Dir1 zusammen | wobei events_count_write > max_IOPS und events_count_read > max_IOPS
Dies ist offensichtlich ein sehr einfacher Ransomware-Erkennungsmechanismus, der bei mehreren Ransomware-Angriffen funktioniert. Es wurden jedoch ausgefeiltere Ransomware-Versionen beobachtet, die Schreibvorgänge über längere Zeiträume verzögern, sodass die obige Abfrage allein nicht ausgereift genug wäre, um sie zu erfassen. Um diese Art von Ransomware-Angriffen zu erkennen, nutzen wir die Datenkorrelation mit externen Threat-Intelligence-Daten. Das ist das Thema von Teil 2 dieser Serie zur Ransomware-Erkennung.
Qumulo Wiederherstellen Q: Disaster Recovery-Lösung zum Schutz vor Ransomware
Qumulo Prüfprotokolle kann über Syslog mit jeder SIEM-Lösung zur Ransomware-Erkennung verwendet werden.
Wir bieten auch Qumulo Wiederherstellung Q—eine flexible Cloud-basierte Disaster-Recovery-Lösung die in jede bestehende Business Continuity-Strategie passt. Die Verwendung von Recover Q in der Cloud kann dazu beitragen, die Ausgaben Ihres Unternehmens für die Geschäftskontinuität zu optimieren, indem die Kosten vor Ort zugunsten eines Cloud-nativen On-Demand-Service gesenkt werden. Aktive Schutzfunktionen tragen zur Gewährleistung der Datensicherheit und -integrität bei, während integrierte Snapshot- und Cloud-Replikationsfunktionen zusätzliche Schutzebenen gegen reale Bedrohungen bieten, die Ihre Daten oder Ihren Betrieb gefährden könnten.
Qumulo in Azure as a Serviceumfasst beispielsweise eine integrierte rollenbasierte Zugriffskontrolle für alle Benutzer, Aktivitätsüberwachung für alle Benutzer und Dateien sowie die Verschlüsselung ruhender Daten in Verbindung mit den Sicherheitsdiensten von Azure, um Sie bei der Abwehr externer Bedrohungen zu unterstützen. In unserem Video unten können Sie sehen, wie Qumulo auf Azure Cloud-Dateidienste vereinfacht und mit Disaster-Recovery-Funktionen wie kontinuierlicher Replikation, Erasure Coding, Snapshots und automatischem Failover dazu beitragen kann, Ihre Daten zu schützen.
Weiterführende Literatur
Sehen Sie sich unsere beiden folgenden Whitepaper an, um mehr über die Ransomware-Erkennung mit Qumulo-Auditdaten und SIEM-Plattformen und das integrierte . zu erfahren Datendiensten (Qumulo Protect und Qumulo Secure), die standardmäßig in Ihrem Qumulo-Software-Abonnement enthalten sind:
- Sicherheitsarchitektur und Best Practices zur Abwehr von Malware
- Bedrohungsjagd mit Qumulo Audit und Azure Sentinel
Gefällt Ihnen was Sie sehen?
Kontaktieren Sie uns, um Demo buchen or Ein Treffen arrangieren. Du kannst sogar Probefahrt eine voll funktionsfähige Qumulo-Umgebung direkt von Ihrem Browser aus.
