Azure Sentinel에서 분석 규칙을 사용하여 랜섬웨어 탐지를 자동화하는 방법

이전에 이 시리즈에서 쿼리를 실행하여 랜섬웨어 및 기타 의심스러운 활동을 탐지하는 방법에 대해 작성했습니다. 이제 랜섬웨어 탐지 프로세스를 자동화하기 시작합니다.

이 문서에서는 분석 규칙을 사용하여 Azure Sentinel에서 쿼리를 실행합니다. 이렇게 하려면 다음 단계를 수행하십시오.

1. 쿼리를 주기적으로(예: 5분마다) 실행하여 이전 5분 기간 동안 들어온 데이터를 분석하고 상호 연관시킵니다.
2. 긍정적인 일치의 경우 Azure Sentinel에서 하나 이상의 인시던트를 만들고 선택적으로 관리자 또는 데이터 보안 분석가에게 할당하고 경고를 보내는 등의 작업을 수행합니다.
3. 경고 또는 사건을 기반으로 플레이북을 사용하여 자동화된 응답을 트리거할 수 있습니다. 플레이북에는 Azure 기능으로 실행되는 거의 모든 서버리스 코드가 포함될 수 있습니다.

Azure Sentinel에서 쿼리를 실행하고 랜섬웨어 위협을 감지하는 분석 규칙을 만드는 방법

다음 순서도는 분석 규칙으로 구현하는 것을 보여줍니다.

 

참고로 다음은 블랙리스트를 필터링하는 데 사용한 쿼리입니다.

let timerange = 10min;
let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true);
QumuloAuditEvents
| where EventTime >= ago(timerange)
| where FileExt1 in (blacklist)</var/www/wordpress>

이제 이 쿼리가 10분마다 실행되도록 Azure Sentinel에서 분석 규칙을 만들어 보겠습니다.

Azure Sentinel에서 다음을 선택합니다. 작업 공간 > 통계 분석 > 만들기 > 스케쥴 쿼리 규칙. 그런 다음 이름, 설명 및 심각도와 같은 규칙 세부 정보를 입력합니다(이 시점에서 전술 범주는 무시할 수 있음). 다음 스크린샷을 분석 규칙과 비교할 수 있습니다.

다음 단계에서는 쿼리와 일정 세부 정보(예: 간격 및 잠재적 이벤트를 단일 알림으로 그룹화할지 여부)를 입력합니다.

그런 다음 경고에 대해 인시던트가 자동으로 생성되는지 여부를 결정합니다.

마지막 단계에서는 자동 응답을 선택합니다. 자동화된 응답은 다음과 같이 구현됩니다. Azure Sentinel의 플레이북. Playbook은 다음을 사용하는 거의 모든 응답을 포함할 수 있습니다. Azure 논리 앱.

Azure Sentinel의 플레이북을 사용한 응답 자동화

보안 정보 및 이벤트 관리(SIEM) 및 보안 운영 센터(SOC) 팀은 일반적으로 정기적으로 보안 경고 및 사건으로 넘쳐나며, 그 양이 너무 많아 가용 인력이 감당할 수 없을 정도입니다. 이로 인해 많은 경고가 무시되고 많은 사고가 조사되지 않는 상황이 발생하여 조직이 눈에 띄지 않는 공격에 취약해집니다.

대부분은 아니지만 대부분의 이러한 경고 및 사고는 특정하고 정의된 수정 조치 세트로 해결할 수 있는 반복 패턴을 따릅니다.

플레이북은 Azure Sentinel에서 루틴으로 실행할 수 있는 이러한 수정 작업의 모음입니다. 플레이북이 도움이 될 수 있습니다 자동화 랜섬웨어 탐지 시 위협 대응을 조정합니다. 수동으로 실행하거나 분석 규칙 또는 자동화 규칙에 의해 각각 트리거될 때 특정 경고 또는 사고에 대한 응답으로 자동 실행되도록 설정할 수 있습니다.

플레이북은 구독 수준에서 생성 및 적용되지만 플레이북 탭에는 선택한 모든 구독에서 사용 가능한 모든 플레이북이 표시됩니다.

Logic Apps의 개념은 이 문서의 범위를 벗어납니다. 그러나 경고 또는 인시던트에 대한 Logic Apps 응답을 사용하여 플레이북에서 모든 종류의 코드를 실행할 수 있다는 점을 이해하는 것이 중요합니다.

예를 들어, 매우 기본적인 플레이북은 사전 구축된 커넥터를 사용하여 SMTP 서버에 연결하여 사건에 대한 응답으로 이메일을 발송합니다. 다음 그림은 논리 앱 디자이너의 스크린샷이므로 논리 앱 디자이너에서 기본 논리 앱을 디자인하는 방법을 확인할 수 있습니다.

 

예를 들어 Qumulo 파일 시스템의 보안 이벤트에 대한 일반적인 자동 응답은 다음 작업 중 하나 이상을 수행합니다.

• 관리자 또는 보안 분석가에게 인시던트를 자동으로 할당
• 관리자 또는 영향을 받는 사용자에게 이메일 또는 SMS 알림 보내기
• ServiceNow에서 티켓 만들기
• 관련 Qumulo 클러스터에 연결하고 관련 파일을 즉시 삭제하거나 검역소에 넣습니다.
• Qumulo 공유를 읽기 전용으로 설정하거나 특정 사용자 또는 클라이언트에 대한 액세스를 차단합니다.
• 방화벽에 연결하고 특정 IP 주소 차단
• Active Directory에 연결하고 사용자 차단

플레이북 및 Logic Apps에 대해 자세히 알아보려면 다음을 방문하세요. Azure Sentinel의 플레이북을 사용하여 위협 대응 자동화.

또한 다음을 권장합니다. 전체 위협 사냥 백서를 읽어보십시오. Qumulo Audit 및 Azure Sentinel을 사용한 랜섬웨어 탐지 방법 및 워크플로에 대해 자세히 알아보세요.

전체적인 랜섬웨어 탐지 및 방지 전략 구현

이번에 랜섬웨어 탐지 시리즈에서는 Qumulo 클러스터용 Azure Sentinel을 사용한 위협 찾기에 대해 논의했습니다. 온-프레미스 Qumulo 클러스터, Azure의 Qumulo SaaS 또는 다른 클라우드의 Qumulo를 실행하는지 여부에 관계없이 Azure Sentinel은 데이터 기반 기업을 위한 최고의 SIEM 및 SOAR 플랫폼 중 하나입니다. Qumulo 파일 스토리지 및 기타 중요한 자산의 데이터를 보호하기 위해 전체적인 랜섬웨어 탐지 및 예방 전략을 구현하는 데 사용할 수 있습니다. 비즈니스 연속성 및 재해 복구.

Qumulo Recover Q: 랜섬웨어로부터 보호하는 데 도움이 되는 재해 복구 솔루션

Qumulo 감사 로그 감지를 위해 모든 SIEM 솔루션과 함께 syslog를 통해 사용할 수 있습니다.

우리는 또한 제공 쿠물로 리커버 Q- 유연한 클라우드 재해 복구 솔루션 이는 기존의 비즈니스 연속성 전략에 적합합니다. 클라우드에서 Recover Q를 사용하면 온디맨드 클라우드 네이티브 서비스를 위해 온프레미스 비용을 절감하여 비즈니스 연속성을 위한 회사의 지출을 최적화할 수 있습니다. 활성 보호 기능은 데이터 안전과 무결성을 보장하는 데 도움이 되며 기본 제공 스냅샷 및 클라우드 복제 기능은 데이터 또는 운영을 손상시킬 수 있는 실제 위협에 대한 방어 계층을 추가합니다.

Azure의 서비스로서의 Qumulo예를 들어, 모든 사용자에 대한 기본 제공 역할 기반 액세스 제어, 모든 사용자 및 파일에 대한 활동 감사, 외부 위협을 격퇴하는 데 도움이 되는 Azure의 보안 서비스와 결합된 저장 데이터 암호화가 포함됩니다. 아래 비디오에서 Azure의 Qumulo가 클라우드 파일 서비스를 단순하게 만들고 연속 복제, 삭제 코딩, 스냅샷 및 자동 장애 조치.

[qumulo_cta id=”260147″]

추가 읽기

Qumulo 감사 데이터 및 SIEM 플랫폼을 사용한 랜섬웨어 탐지에 대해 자세히 알아보려면 두 개의 백서(아래)를 살펴보십시오. 데이터 서비스 (Qumulo Protect 및 Qumulo Secure)는 Qumulo 소프트웨어 구독과 함께 표준으로 제공됩니다.

• 맬웨어 대응을 위한 보안 아키텍처 및 모범 사례
• Qumulo Audit 및 Azure Sentinel을 사용한 위협 사냥

당신이 보는 무엇을 좋아하세요?

저희에게 연락하십시오 데모 예약 or 미팅을 주선하다. 너는 심지어 테스트 드라이브 브라우저에서 바로 완전한 기능을 갖춘 Qumulo 환경.