Azure Native Qumulo 이제 EU, 영국 및 캐나다에서 사용 가능 – 상세 보기

Qumulo 및 Azure Sentinel을 사용하여 랜섬웨어 액세스 패턴을 감지하는 방법

작성자 :

이 4부작 시리즈는 랜섬웨어 탐지 클라우드 규모에서 Qumulo 데이터를 분석하고 보호하는 방법을 살펴봅니다. 위협 헌팅을 수행하고 랜섬웨어를 탐지하는 데 사용되는 다양한 네트워크 보안 모니터링 기술이 있습니다. 이 시리즈에서는 이러한 위협 탐지 방법을 검토하고 랜섬웨어 공격으로부터 데이터를 보호하는 데 도움이 되는 단계별 가이드를 제공합니다.


이전에 우리는 에 대해 썼습니다. 내장 데이터 보호 및 보안 제어 Qumulo 파일 데이터 플랫폼과 함께 표준으로 제공됩니다. 네트워크, 컴퓨팅, 장치 및 이벤트 모니터링 기술과 함께 데이터 상관 관계 및 분석을 포함하는 전체적인 보안 접근 방식이 스토리지 시스템에 내장된 사일로 보안 솔루션보다 선호되는 이유를 설명했습니다. 목표는 위협이 파일 데이터 저장소에 도달하기 전에 탐지하는 것입니다. 그리고 그들이 할 경우, 클라우드 기반 백업 및 재해 복구 비즈니스 연속성을 보장하는 전략.

위협 추적 및 랜섬웨어 탐지에 대한 이 시리즈가 시작되는 곳입니다. 

이 기사에서는 일반적인 랜섬웨어 탐지 워크플로를 살펴보겠습니다. 그런 다음 이러한 탐지 기술을 Azure Sentinel과 함께 사용하여 랜섬웨어를 나타낼 수 있는 Qumulo 데이터에 대한 의심스러운 액세스 패턴을 탐지하는 방법에 대해 알아보겠습니다.

Qumulo의 감사 로깅 기능이 Azure Sentinel과 통합되는 방식

모든 산업 표준 SIEM(보안 정보 및 이벤트 관리) 플랫폼을 사용할 수 있지만 Azure Sentinel을 SIEM 및 보안 오케스트레이션, 자동화 및 대응(SOAR) 다음과 같은 이유로 이 구현을 위한 솔루션:

  • Azure Sentinel은 데이터 센터에 인프라를 설정할 필요가 없는 클라우드 기반 솔루션입니다. 
  • Sentinel은 온프레미스, Azure 또는 기타 클라우드 환경에 있는 시스템에 대해 클라우드 규모로 작동합니다.
  • 선불 라이선스 비용은 없습니다. 수집하고 Azure Monitor 로그에 저장하는 데이터에 대해서만 비용을 지불합니다.
  • 데이터 분석 및 처리에는 비용이 들지 않습니다.
  • Sentinel에는 고급 보안 분석 및 위협 인텔리전스 기능이 포함되어 있으며 다른 많은 일반 플랫폼에 대한 풍부한 커넥터 세트를 제공합니다.
  • 응답 자동화는 모든 종류의 필수 코드를 실행하는 논리 앱으로 구현될 수 있습니다. 또한 사전 구축된 여러 논리 앱을 사용하여 응답을 자동화하고 많은 다른 IT 시스템에 연결할 수 있습니다.

이라는 제목의 이전 블로그 게시물에서 Qumulo Audit 및 Azure Log Analytic으로 데이터 보호, 우리는 Qumulo Audit 데이터가 Azure Sentinel로 수집되는 방법을 설명했습니다. 그 데이터만으로도 우리는 랜섬웨어 공격을 나타낼 수 있는 의심스러운 액세스 패턴을 찾아 탐지할 수 있습니다. 

의심스러운 액세스 패턴을 탐지하는 랜섬웨어 탐지 워크플로

첫 번째 단계에서는 Qumulo Audit 데이터를 사용하여 의심스러운 액세스 패턴을 찾습니다. 

위협 사냥을 수행하고 랜섬웨어를 탐지하는 방법은 다양합니다. 다음 기술을 살펴보겠습니다.

  1. 이벤트 데이터는 Azure Monitor 로그에서 수집됩니다.
  2. 자동화된 KQL 쿼리, 의심스러운 액세스 패턴을 찾습니다.
  3. 긍정적인 일치가 없으면 새로운 수신 데이터를 계속 주시합니다.
  4. 긍정적인 일치의 경우 Sentinel은 보안 경고를 생성하고 선택적으로 인시던트를 생성할 수 있습니다. 인시던트는 데이터 보안 분석가에게 할당하고 경고를 관리하는 데 사용됩니다. 유사한 유형의 여러 경고를 하나의 사건으로 그룹화할 수도 있습니다.
  5. 인시던트 유형에 따라 데이터 보안 분석가에게 알림 보내기, 의심스러운 데이터 제거, 데이터 액세스 차단, 사용자 차단, 방화벽 규칙 변경 등과 같은 거의 모든 작업을 수행할 수 있는 플레이북을 시작할 수 있습니다. (자동 응답 메커니즘은 이 시리즈의 뒷부분에서 다룹니다.) 
  6. 플레이북이 실행되거나 데이터 보안 분석가가 사건을 조사한 후 사건 상태가 업데이트되고 종료되거나 최종적으로 추가 처리됩니다.

이제 랜섬웨어 탐지 워크플로에 대한 아이디어를 얻었으므로 의심스러운 활동의 두 가지 간단한 예를 살펴보겠습니다.

랜섬웨어(예시) 또는 기타 잠재적인 의심스러운 활동 탐지

잠재적인 의심스러운 활동을 발견하는 가장 쉬운 방법 중 하나는 누군가 반복적으로 로그인을 시도했지만 로그인이 실패한 위치를 식별하는 것입니다. 이것은 WebUI, API에 대한 로그인이거나 SMB 내보내기를 탑재하려고 할 때일 수 있습니다.

너무 많은 로그인 시도 실패 발견(예제 1)

지난 30분 이내에 실패한 로그인 시도를 찾기 위해 간단한 KQL 쿼리를 실행할 수 있습니다. QumuloAudit이벤트 원시 감사 데이터에서 별도의 필드를 추출하는 데 사용하는 기능입니다. 더 자세히 설명되어 있습니다 여기를 눌러 더 많은 정보를 찾으세요..

QumuloAudit이벤트
| 여기서 EventTime > 전(30m)
| 여기서 ResponseCode == "STATUS_LOGON_FAILURE"

결과는 발생한 일을 추가로 분석하는 데 필요한 모든 관련 정보가 포함된 모든 로그인 시도 목록입니다.

 

물론 이 쿼리를 수동으로 실행하는 대신 30분마다(또는 원하는 간격으로) 실행하는 규칙을 만듭니다. 경보 또는 사건의 처리는 위에서 설명한 방식으로 진행됩니다.

이것은 Qumulo에서 실패한 로그인에 대해서만 다루지만 다음을 사용하는 것을 고려해야 합니다. 센티넬 커넥터 ID용 Microsoft Defender Active Directory 서버에서 Azure Sentinel로 직접 ID 이벤트를 스팀합니다. 이렇게 하면 인증과 관련된 광범위한 활동보다 Qumulo에 대한 파일 액세스와 관련된 의심스러운 활동을 분석할 수 있는 더 많은 옵션이 제공됩니다.

랜섬웨어 접근 패턴 탐지(예시 2)

특정 클라이언트 시스템이 디렉토리에 있는 파일에 고속으로 액세스하는 경우 프로세스가 파일을 읽고 암호화하고 동일한 위치에 다시 쓰고 있음을 나타냅니다(때로는 동일한 파일 이름 또는 추가 접미사가 있는 파일 이름). 

다음 쿼리는 구성 가능한 임계값(여기서는 5으로 설정)을 초과하는 단일 클라이언트의 디렉터리에서 높은 IO 속도(초당 IO 작업)를 나타내는 지난 500분의 이벤트를 필터링합니다.

max_IOPS = 500으로 둡니다. QumuloAuditEvents | 여기서 EventTime > 전(5분) | bin(EventTime,1s), ClientIP, Directory로 events_count=count() 요약 | 여기서 events_count > max_IOPS

이 쿼리의 단점은 일반 워크로드에서 높은 IO 속도로 실행되는 애플리케이션 활동도 포착할 수 있다는 것입니다. 그러나 랜섬웨어는 동시에 높은 IO 속도로 읽고 쓰는 경향이 있습니다. 즉, 동일한(암호화된) 데이터를 읽고 즉시 쓰는 것입니다. 

읽기가 있는 결과만 표시하도록 쿼리를 확장해 보겠습니다. 동일한 클라이언트에서 쓰기, 동일한 디렉토리에 쓰기/읽기:

max_IOPS = 500으로 둡니다. QumuloAuditEvents | 여기서 EventTime > 전(5분) | 요약 events_count_write=countif(작업 == "fs_write_data"), events_count_read=countif(작업 == "fs_read_data") by bin(EventTime,1s), ClientIP, Dir1 | 여기서 events_count_write > max_IOPS 및 events_count_read > max_IOPS

이것은 분명히 여러 랜섬웨어 공격에 작동하는 매우 간단한 랜섬웨어 탐지 메커니즘입니다. 그러나 보다 정교한 랜섬웨어 버전은 쓰기 작업을 장기간 지연시키는 것으로 관찰되었으므로 위의 쿼리만으로는 캡처할 수 있을 만큼 정교하지 않습니다. 이러한 유형의 랜섬웨어 공격을 탐지하기 위해 외부 위협 인텔리전스 데이터와의 데이터 상관 관계를 사용합니다. 의 주제입니다 일부 2 랜섬웨어 탐지에 대한 이 시리즈에서.

Qumulo 복구 Q: 보호하는 재해 복구 솔루션 랜섬

꾸 울로 감사 로그 랜섬웨어 탐지를 위해 모든 SIEM 솔루션과 함께 syslog를 통해 사용할 수 있습니다. 

우리는 또한 제공 쿠물로 리커버 Q- 유연한 클라우드 기반 재해 복구 솔루션 이는 기존의 비즈니스 연속성 전략에 적합합니다. 클라우드에서 Recover Q를 사용하면 온디맨드 클라우드 네이티브 서비스를 위해 온프레미스 비용을 절감하여 비즈니스 연속성을 위한 회사의 지출을 최적화할 수 있습니다. 활성 보호 기능은 데이터 안전과 무결성을 보장하는 데 도움이 되며 기본 제공 스냅샷 및 클라우드 복제 기능은 데이터 또는 운영을 손상시킬 수 있는 실제 위협에 대한 방어 계층을 추가합니다.

Azure의 서비스로서의 Qumulo예를 들어, 모든 사용자에 대한 기본 제공 역할 기반 액세스 제어, 모든 사용자 및 파일에 대한 활동 감사, 외부 위협을 격퇴하는 데 도움이 되는 Azure의 보안 서비스와 결합된 저장 데이터 암호화가 포함됩니다. 아래 비디오에서 Azure의 Qumulo가 클라우드 파일 서비스를 단순하게 만들고 연속 복제, 삭제 코딩, 스냅샷 및 자동 장애 조치.

추가 읽기

Qumulo 감사 데이터 및 SIEM 플랫폼을 사용한 랜섬웨어 탐지에 대해 자세히 알아보려면 아래 두 백서를 살펴보십시오. 데이터 서비스 Qumulo 소프트웨어 구독과 함께 표준으로 제공되는 (Qumulo Protect 및 Qumulo Secure):

당신이 보는 무엇을 좋아하세요?

저희에게 연락하십시오 데모 예약 or 미팅을 주선하다. 너는 심지어 테스트 드라이브 브라우저에서 바로 완전한 기능을 갖춘 Qumulo 환경.

관련 게시물

위쪽으로 스크롤