이 이야기는 3부 중 4부로 제공됩니다. 랜섬웨어 탐지 시리즈 여기에서 클라우드 규모에서 Qumulo 데이터를 분석하고 보호하는 방법을 살펴봅니다. 1부와 2부에서 우리는 랜섬웨어를 탐지하는 방법 Qumulo 및 Azure Sentinel을 사용하여 액세스 패턴을 확인한 다음 두 가지 추가 방법을 설명했습니다. 데이터 상관관계로 랜섬웨어 탐지. 아래 3부에서는 외부 위협 인텔리전스 데이터를 사용하여 데이터 상관 관계를 지원하는 방법에 대해 설명합니다.
랜섬웨어 탐지에 대한 이 시리즈의 2부에서는 들어오는 Qumulo Audit 이벤트와의 데이터 상관 관계를 위해 블랙리스트 또는 기타 조회 테이블과 같은 정적 테이블을 사용했습니다. 이 기사에서는 데이터 상관 관계 분석을 위해 외부 위협 인텔리전스 피드를 사용하는 몇 가지 간단한 예를 소개합니다. 참고로 아래 이미지는 랜섬웨어 탐지 워크플로를 보여줍니다.
랜섬웨어 실시간 탐지
이 시리즈의 앞부분에서 언급했듯이 잠재적인 랜섬웨어 위협 또는 기타 의심스러운 활동은 피해를 입히기 전에 탐지해야 합니다. 이를 달성하기 위한 한 가지 목표는 업계에서 제공하는 자동 지표 공유(AIS)를 사용하는 것입니다.
AIS는 기계가 읽을 수 있는 실시간 교환을 가능하게 합니다. 사이버 위협 지표 참가자를 보호하고 궁극적으로 사이버 공격의 확산을 줄이는 데 도움이 되는 방어 조치. AIS는 STIX™(Structured Threat Information Expression)라는 개방형 표준 데이터 형식과 기계 간 통신을 위한 TAXII™(Trusted Automated Exchange of Indicator Information) 프로토콜을 사용합니다.
Azure Sentinel 작업 영역에 위협 인텔리전스를 제공하는 방법
Azure Sentinel은 기본 제공 TAXII 커넥터를 사용하여 STIX 피드를 구독할 수 있습니다. 많은 오픈 소스 피드와 전문 피드를 사용할 수 있습니다. 우리는 사용할 것입니다 Anomali의 리무진 위협 스트림 위협 인텔리전스를 Sentinel 작업 공간에 제공하고 데이터를 감사 이벤트와 연관시킵니다.
curl을 사용하여 limo.anomaly.com에서 제공하는 피드 목록을 얻을 수 있습니다.
컬 -u 게스트 https://limo.anomali.com/api/v1/taxii2/feeds/collections/ { "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, { "can_read": true, "can_write": false, "description": "", "id": "135", "title": "Abuse.ch Ransomware IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "136", "title": "Abuse.ch Ransomware Domains" }, { "can_read": true, "can_write": false, "description": "", "id": "150", "title": "DShield 스캐닝 IP" }, { "can_read": true, "can_write": false, "description": "", "id": "200", "title": "Malware Domain List - Hotlist" }, { "can_read": true, "can_write": false, "description": "", "id": "209", "title": "Blutmagie TOR 노드" }, { "can_read": true, "can_write": false, "description": "", "id": "31", "title" : "Emerging Threats C&C Server" }, { "can_read": true, "can_write": false, "description": "", "id": "33", "title": "Lehigh Malwaredomains" }, { "can_read ": true, "can_write": false,"설명": "", "id": "41", "title": "CyberCrime" }, { "can_read": true, "can_write": false, "description": "", "id": "68 ", "title": "새로운 위협 - 손상됨" } ] }
위협 인텔리전스 피드를 구독하는 방법
위에 나열된 위협 인텔리전스 피드 중 하나를 구독하려면 Azure Sentinel에서 몇 가지 빠른 단계를 살펴보겠습니다. Sentinel에서 다음 단계를 수행하십시오.
- 데이터 커넥터를 클릭하십시오.
- 검색창에 "택시"를 입력하세요.
- 위협 인텔리전스 선택 – (TAXII)
- 위 목록에서 피드 세부정보를 입력하세요.
예를 들어 구독하려는 경우 새로운 위협 C&C 서버 피드에서 대화 상자에 다음 정보를 입력합니다.
이렇게 하면 작업 공간에 피드가 추가됩니다. 몇 초 후에 수신된 TI 데이터를 볼 수 있습니다.
탐색 창에서 "위협 인텔리전스"를 선택하여 TI 이벤트를 표시합니다.
다음 쿼리를 사용하여 위협 인텔리전스 데이터를 쿼리할 수 있습니다.
ThreatIntelligenceIndicator
| project TimeGenerated, Action, Description, NetworkIP, Url, SourceSystem</var/www/wordpress>
</var/www/wordpress>An output example is shown in the next figure:
Qumulo 이벤트를 위협 인텔리전스 데이터와 연관시키는 방법
이제 위협 인텔리전스를 Azure Sentinel 작업 영역에 공급하면서 데이터를 상호 연관시키고 모든 Qumulo 파일 시스템 활동을 확인할 수 있습니다. 예를 들어 다음 쿼리를 사용하여 다른 피드에서 알려진 잘못된 IP 주소에 대한 연결을 찾을 수 있습니다.
시간 범위 = 15분, let MalIpList = (ThreatIntelligenceIndicator | 여기서 설명에는 "mal_ip"가 포함됨 | 프로젝트 NetworkIP); QumuloAuditEvents | 여기서 ClientIP는 (MalIpList)
이 쿼리는 모든 Qumulo 노드가 인텔리전스 피드에서 알려진 잘못된 주소 중 하나와 함께 수행한 모든 활동 목록을 생성합니다.
자동화를 시작해야 하는 좋은 예입니다. 위의 쿼리가 긍정적인 결과를 표시하는 경우 자동으로 경고, 사고를 생성하고 잠재적으로 자동화된 응답을 시작하려고 합니다. 이 경우 할당된 데이터 보안 분석가는 이 IP 주소가 우리 환경에서 더 일찍 나타난 적이 있는지 조사하고 만약 나타났다면 조치를 취할 것입니다.
어쨌든 이 주소가 완전히 차단되도록 방화벽의 규칙을 업데이트합니다. 이것은 예방 조치의 좋은 예입니다. 이 IP 주소가 (바라건대) 우리 네트워크에 접속한 적이 없었지만 (TI 피드에서) 맬웨어 활동과 관련이 있다는 것을 알고 있기 때문에 미리 차단합니다.
[box type=”shadow”]참고: Qumulo 이벤트를 위협 인텔리전스 데이터와 연관시키는 것뿐만 아니라 많은 의미가 있습니다. 사실 클라이언트 이벤트, 방화벽 이벤트 및 Active Directory 이벤트에 대해 이러한 상관관계 및 (자동화된) 응답을 실행하는 것이 훨씬 더 합리적입니다! 이러한 악의적인 연결을 훨씬 더 일찍 발견할 수 있습니다. 또한 사용자가 액세스를 시도하기 전에 방화벽, 인터넷 게이트웨이 또는 http 프록시 서버에서 악성 URL을 찾아 이러한 사이트를 차단할 수 있습니다.[/box]
기계 학습을 사용하여 랜섬웨어 및 의심스러운 이상 징후를 탐지하는 방법
Azure Sentinel에는 ML(기계 학습)을 사용하여 데이터 스토리지 환경에서 변칙을 발견하거나 랜섬웨어를 감지하는 몇 가지 분석 규칙이 있습니다. Microsoft는 이를 위해 Anomaly라는 새로운 규칙 유형을 도입했습니다. ML 런타임 환경 관리에 대해 걱정할 필요가 없습니다. 의심스러운 이상, Azure Sentinel이 뒤에서 모든 것을 처리하기 때문입니다.
분석 탭의 Azure Sentinel에서 이러한 규칙을 찾을 수 있으며 Microsoft가 시간이 지남에 따라 추가하는 것으로 보입니다. 이러한 규칙은 ML을 사용하여 며칠 동안 모델을 훈련하여 일반적인 조건에 대한 기준을 설정합니다. 네트워크 트래픽 패턴, Azure AD(Azure Active Directory)의 로그인 패턴, 방화벽 경보, 웹 요청 등이 될 수 있습니다. 사전 정의된 규칙의 매개변수를 수정하여 소음 수준을 의미 있는 수준으로 균형을 맞출 수 있습니다.
미리 정의된 규칙의 알고리즘은 Qumulo 이벤트에 대해 교육되지 않습니다. 그러나 Azure AD 또는 방화벽과 같은 다른 소스의 이벤트와 함께 사용하면 랜섬웨어 탐지가 향상되고 조사 및 위협 헌팅 시간이 단축됩니다.
다음은 기계 학습을 사용하여 랜섬웨어를 탐지하는 3가지 주요 사용 사례입니다.
1. 랜섬웨어 탐지를 개선하기 위한 추가 신호
데이터 보안 분석가는 이상 징후를 사용하여 새로운 위협을 감지하고 기존 감지를 보다 효과적으로 만들 수 있습니다. 하나의 이상 현상은 악의적인 행동의 강력한 신호가 아니지만 시스템의 서로 다른 지점에서 발생하는 여러 이상 현상과 결합될 때 사이버 킬 체인, 누적 효과가 훨씬 강합니다. 보안 분석가는 이상 징후로 식별된 비정상적 동작을 경고 발생 조건으로 만들어 기존 탐지 기능을 향상시킬 수도 있습니다.
2. 조사 중 증거자료
데이터 보안 분석가는 또한 조사 중에 이상 징후를 사용하여 침해를 확인하고 새로운 조사 경로를 찾고 잠재적 영향을 평가할 수 있습니다. 예를 들어, 사용자와 IP 주소가 관련된 사고를 조사할 때 보안 분석가는 "이상" 테이블에서 사용자와 IP 주소를 쿼리하여 해당 사용자가 수행하고 해당 IP 주소에서 발생한 다른 비정상적인 활동을 찾을 수 있습니다. . 이러한 데이터는 보안 분석가가 조사에 소요되는 시간을 줄이는 데 도움이 됩니다.
3. 선제적 위협 사냥의 시작
위협 사냥꾼은 변칙을 컨텍스트로 사용하여 쿼리가 의심스러운 행동을 감지했는지 여부를 판단할 수 있습니다. 동작이 의심스러운 경우 이상 징후는 추가 추적을 위한 잠재적 경로를 가리키기도 합니다. 이상 현상이 제공하는 이러한 단서는 위협을 감지하는 시간과 해를 입힐 가능성을 모두 줄입니다.
랜섬웨어 및 기타 의심스러운 활동을 감지하기 위해 쿼리를 실행하는 방법을 검토했습니다. 다음으로 보여드리겠습니다. 이러한 랜섬웨어 탐지를 자동화하는 방법 Azure Sentinel에서 쿼리합니다.
Qumulo Recover Q: 재해로부터 보호하는 데 도움이 되는 재해 복구 솔루션 랜섬
Qumulo 감사 로그 감지를 위해 모든 SIEM 솔루션과 함께 syslog를 통해 사용할 수 있습니다.
우리는 또한 제공 쿠물로 리커버 Q- 유연한 클라우드 기반 재해 복구 솔루션 기존 비즈니스 연속성 전략에 적합합니다. 능동적 보호 기능은 데이터 안전과 무결성을 보장하는 동시에 내장된 스냅샷 및 클라우드 복제 기능은 데이터 또는 작업을 손상시킬 수 있는 실제 위협에 대한 방어 계층을 추가합니다.
클라우드에서 Recover Q를 사용하면 온디맨드 클라우드 네이티브 서비스를 위해 온프레미스 비용을 줄여 비즈니스 연속성을 위한 회사의 지출을 최적화할 수 있습니다.
추가 읽기
Qumulo 감사 데이터 및 SIEM 플랫폼을 사용한 랜섬웨어 탐지에 대해 자세히 알아보려면 두 개의 백서를 살펴보십시오. 데이터 서비스 Qumulo 소프트웨어 구독과 함께 표준으로 제공되는 (Qumulo Protect 및 Qumulo Secure):
당신이 보는 무엇을 좋아하세요?
저희에게 연락하십시오 데모 예약 or 미팅을 주선하다. 너는 심지어 테스트 드라이브 브라우저에서 바로 모든 기능을 갖춘 Qumulo 환경:
