この4部構成のシリーズ ランサムウェアの検出 Qumulo データをクラウド規模で分析および保護する方法を検討します。 以下のパート 1 では、ランサムウェア攻撃を示す可能性のある不審なアクセス パターンを検出する方法について説明します。 パート 2 では、データ相関技術を追加することで、より多くの潜在的な攻撃を発見し、防止するのにどのように役立つかを見ていきます。 パート 3 では、データ相関のために外部の脅威インテリジェンス フィードを使用する方法を明らかにします。 パート 4 では、Qumulo 監査データと Azure Sentinel を使用してこれらのクエリを自動化する方法を示します。
以前、私たちは 内蔵 データ保護とセキュリティ管理 これは、Qumulo File DataPlatformに標準で付属しています。 ネットワーク、コンピューティング、デバイス、およびイベントの監視技術と、データの相関および分析を含む包括的なセキュリティアプローチが、ストレージシステムに組み込まれているサイロ化されたセキュリティソリューションよりも好ましい理由を説明しました。 目標は、脅威がファイルデータストレージに到達する前に脅威を検出することです。 そして、もしそうなら、 クラウドベースのバックアップとディザスタリカバリ 事業継続を保証する戦略。
ここから、脅威のハンティングとランサムウェアの検出に関するこのシリーズが始まります。
この記事では、典型的なランサムウェアの検出ワークフローを見ていきます。 次に、これらの検出手法をAzure Sentinelで使用して、ランサムウェアを示す可能性のあるQumuloデータへの疑わしいアクセスパターンを検出する方法について詳しく説明します。
Qumulo の監査ログ機能と SIEM の統合方法
業界標準のセキュリティ情報およびイベント管理 (SIEM) プラットフォームを使用することもできますが、SIEM として Azure Sentinel を使用することにしました。 セキュリティオーケストレーション、自動化、および応答(SOAR) 次の理由によるこの実装のソリューション:
- Azure Sentinelは、データセンターにインフラストラクチャをセットアップする必要のないクラウドベースのソリューションです。
- Sentinelは、オンプレミス、Azure、またはその他のクラウド環境に存在するシステムに対してクラウドスケールで動作します。
- 事前のライセンス費用はありません。 取り込み、AzureMonitorログに保存するデータに対してのみ料金を支払います。
- データの分析と処理に費用はかかりません。
- Sentinelには、高度なセキュリティ分析と脅威インテリジェンス機能が含まれており、他の多くの一般的なプラットフォームへの豊富なコネクタセットを提供します。
- 応答の自動化は、必要なあらゆる種類のコードを実行するロジックアプリで実装できます。 さらに、多数の構築済みロジックアプリを使用して、応答を自動化し、他の多数のITシステムに接続できます。
以前のブログ投稿で、 QumuloAuditとAzureLogAnalyticを使用してデータを保護する、QumuloAuditデータがAzureSentinelに取り込まれる方法について説明しました。 そのデータだけで、ランサムウェア攻撃を示す可能性のある疑わしいアクセスパターンを探して検出できます。
疑わしいアクセスパターンを検出するためのランサムウェア検出ワークフロー
最初のステップでは、Qumulo 監査データを使用して、不審なアクセス パターンを探します。
脅威ハンティングを実行し、ランサムウェアを検出するには、さまざまな方法があります。 次のテクニックを調べてみましょう。
- イベントデータはAzureモニターログに取り込まれます
- 自動化された KQLクエリ、疑わしいアクセスパターンを探します。
- 正の一致がない場合は、新しい受信データを監視し続けます
- 正の一致の場合、Sentinelはセキュリティアラートとオプションでインシデントを作成できます。 インシデントは、データセキュリティアナリストへの割り当てとアラートの管理に使用されています。 同様のタイプの複数のアラートをXNUMXつのインシデントにグループ化することもできます。
- インシデントの種類に基づいて、データセキュリティアナリストへの通知の送信、疑わしいデータの削除、データへのアクセスのブロック、ユーザーのブロック、ファイアウォールルールの変更など、ほぼすべてのアクションを実行できるPlaybookを起動できます。 (自動応答メカニズムについては、このシリーズの後半で説明します)。
- Playbookが実行されるか、データセキュリティアナリストがインシデントを調査した後、インシデントステータスが更新され、クローズされるか、最終的にはさらに処理されます。
ランサムウェアの検出ワークフローがわかったので、疑わしいアクティビティのXNUMXつの簡単な例を見てみましょう。
ランサムウェア(例)またはその他の潜在的な疑わしいアクティビティの検出
潜在的な疑わしいアクティビティを発見する最も簡単な方法のXNUMXつは、誰かが繰り返しログインを試みたが、ログインが失敗した場所を特定することです。 これは、WebUI、APIへのログイン、またはSMBエクスポートをマウントしようとしている場合のいずれかである可能性があります。
失敗したログイン試行の回数が多すぎることを明らかにします(例1)
過去30分以内に失敗したログイン試行を見つけるために、単純なKQLクエリを起動できます。 Qumulo監査イベント 生の監査データから個別のフィールドを抽出するために使用する関数です。 それはさらに詳細に説明されています こちら.
Qumulo監査イベント | ここで、EventTime>前(30m) | ここで、ResponseCode == "STATUS_LOGON_FAILURE"
結果は、何が起こったかをさらに分析するために必要なすべての関連情報を含むすべてのログイン試行のリストになります。
もちろん、このクエリを手動で起動する代わりに、30分ごと(または必要な間隔)にクエリを実行するルールを作成します。 アラートまたはインシデントの処理は、上記の方法で続行されます。
これはQumuloでの失敗したログインをカバーするだけですが、 センチネルコネクタ アイデンティティのためのMicrosoftDefender ActiveDirectoryサーバーからAzureSentinelに直接IDイベントを送信します。 これにより、認証に関連するより広範なアクティビティではなく、Qumuloとの間のファイルアクセスに関連する疑わしいアクティビティを分析するためのより多くのオプションが提供されます。
ランサムウェアのアクセスパターンを検出する(例2)
特定のクライアントマシンがディレクトリ内のファイルに高速でアクセスしている場合は、プロセスがファイルを読み取り、暗号化して同じ場所に書き戻していることを示しています(同じファイル名または追加のサフィックスが付いたファイル名の場合もあります)。
次のクエリは、構成可能なしきい値(ここでは5に設定)を超える単一のクライアントからのディレクトリでの高いIOレート(500秒あたりのIO操作)を示す過去XNUMX分間のイベントを除外します。
max_IOPS = 500とします。 QumuloAuditEvents | ここで、EventTime>前(5m)| events_count = count()をbin(EventTime、1s)、ClientIP、Directoryで要約します| ここで、events_count> max_IOPS
このクエリの欠点は、通常のワークロードで高いIOレートで実行されるアプリケーションアクティビティもキャッチする可能性があることです。 ただし、ランサムウェアは、高いIOレートで同時に読み取りと書き込みを行う傾向があります。つまり、同じ(暗号化された)データの読み取りと直後の書き込みです。
クエリを展開して、読み取りを含む結果のみを表示するようにします & 同じクライアントからの書き込み、同じディレクトリへの書き込み/読み取り:
max_IOPS = 500とします。 QumuloAuditEvents | ここで、EventTime>前(5m)| events_count_write = countif(Operation == "fs_write_data")、events_count_read = countif(Operation == "fs_read_data")をbin(EventTime、1s)、ClientIP、Dir1で要約します| ここで、events_count_write> max_IOPSおよびevents_count_read> max_IOPS
これは明らかに、いくつかのランサムウェア攻撃に機能する非常に単純なランサムウェア検出メカニズムです。 ただし、より高度なランサムウェア バージョンでは、書き込み操作が長期間にわたって遅延することが観察されているため、上記のクエリだけではそれらを捕捉できるほど高度ではありません。 このような種類のランサムウェア攻撃を検出するには、外部の脅威インテリジェンス データとのデータ相関を使用します。 これが、ランサムウェア検出に関するこのシリーズのパート 2 のトピックです。
Qumulo Recover Q: 防御に役立つディザスタリカバリソリューション ランサムウェア
クムロ 監査ログ ランサムウェア検出用の任意のSIEMソリューションでsyslogを介して使用できます。
我々はまた、提供しています Qumulo回復Q-柔軟 クラウドベースのディザスタリカバリソリューション これは、既存のビジネス継続性戦略に適合します。 クラウドでRecoverQを使用すると、オンプレミスのコストを削減してオンデマンドのクラウドネイティブサービスを採用することで、企業のビジネス継続性への支出を最適化できます。 アクティブな保護機能はデータの安全性と整合性を確保するのに役立ち、組み込みのスナップショットとクラウドレプリケーション機能は、データや操作を危険にさらす可能性のある現実の脅威に対する防御層を追加します。
Azure on aServiceのQumuloたとえば、すべてのユーザーに対する組み込みのロールベースのアクセス制御、すべてのユーザーとファイルのアクティビティ監査、外部の脅威を撃退するのに役立つ Azure のセキュリティ サービスと組み合わせた保存データの暗号化が含まれています。 以下のビデオでは、Azure 上の Qumulo がどのようにクラウド ファイル サービスをシンプルにし、継続的レプリケーション、イレイジャー コーディング、スナップショット、自動フェールオーバーなどのディザスター リカバリー機能によってデータを安全に保つことができるかをご覧いただけます。
参考文献
Qumulo監査データとSIEMプラットフォーム、および組み込みのランサムウェア検出の詳細については、以下のXNUMXつのホワイトペーパーをご覧ください。 データサービス (QumuloProtectおよびQumuloSecure)Qumuloソフトウェアサブスクリプションに標準で付属しています:
あなたが見るもののように?
お問い合わせ デモを予約する or 会議を手配する. あなたもすることができます 試乗 ブラウザから完全に機能するQumulo環境。
