이 이야기는 2부 중 4부로 제공됩니다. 랜섬웨어 탐지 시리즈 여기에서 클라우드 규모에서 Qumulo 데이터를 분석하고 보호하는 방법을 살펴봅니다. 1부에서 우리는 랜섬웨어를 탐지하는 방법 데이터에 대한 위협을 나타낼 수 있는 액세스 패턴(Qumulo 및 Azure Sentinel 사용). 아래 2부에서는 랜섬웨어 탐지의 다음 단계인 수신 데이터를 화이트리스트 또는 블랙리스트와 같은 외부 데이터와 상관시키는 방법을 다룹니다.
이전에 우리는 Azure Sentinel과 함께 사용되는 랜섬웨어 탐지 워크플로를 분석하여 Qumulo 데이터에 대한 의심스러운 액세스 패턴을 탐지했습니다. 랜섬웨어의 특징 중 하나는 공격자가 표적 공격을 계획할 수 있도록 시스템에 무기한 숨길 수 있다는 것입니다. 이 이야기에서는 공격을 발견하고 방지하기 위해 랜섬웨어 탐지 프로세스에 간단한 데이터 상관 관계 기술을 추가합니다.
화이트리스트 또는 블랙리스트와 같은 외부 데이터는 Azure Sentinel에서 구현 다양한 방법으로. 예를 들어 감시 목록 또는 CSV 파일의 테이블로. 이 경우 정적 테이블 형태의 외부 데이터를 사용합니다. 설명을 위해 다음 예를 참조하십시오.
1. 의심스럽거나 알려진 악성 파일 확장자를 가진 파일 탐지 및
2. Qumulo 이벤트 로그에서 많은 수의 액세스 거부 응답 감지.
데이터 상관 관계가 있는 랜섬웨어 탐지 워크플로
아래의 랜섬웨어 탐지 워크플로는 이전 파트 1에서 설명한 것과 매우 유사합니다. 랜섬웨어 액세스 패턴 감지. 여기서 차이점은 들어오는 데이터와의 추가된 데이터 상관 관계입니다. 이 작업을 수행하는 방법을 아래에서 살펴보겠습니다.
데이터 상관관계 및 랜섬웨어 탐지 방법
다음으로 데이터 상관 관계 및 랜섬웨어 탐지 또는 기타 데이터 침해 이벤트에 대한 방법을 다룰 것입니다. 이러한 방법은 다른 의심스러운 활동도 발견하는 데 쉽게 적용할 수 있습니다.
1. 의심스럽거나 알려진 잘못된 파일 확장명 감지
여기에서 원하지 않는(블랙리스트에 있는) 파일 확장자의 외부 목록에 대해 들어오는 파일을 확인합니다. 이 목록을 CSV 파일로 만든 다음 Blob 컨테이너에 저장합니다.
이 CSV에는 알려진 잘못된 파일 확장자 목록이 포함되어 있습니다.
확장자, 설명 .dam, 손상 Malware .dr, 맬웨어 .gen용 드롭퍼 구성 요소, 일반 서명 .kit, 바이러스 생성자 .ldr, 맬웨어 .pak의 로더 구성 요소, 압축 맬웨어 .plugin, 플러그인을 사용하여 탐지된 맬웨어 구성 요소 .remnants에서 바이러스의 잔재 .worm, 해당 맬웨어의 웜 구성 요소 .!bit, 일부 위협을 나타내는 데 사용되는 내부 범주 .!cl 일부 위협을 나타내는 데 사용되는 내부 범주 .!dha, 내부 범주 일부 위협을 참조하는 데 사용 .!pfn, 일부 위협을 참조하는 데 사용되는 내부 범주 .!plock 일부 위협을 참조하는 데 사용되는 내부 범주 .!rfn, 일부 위협을 참조하는 데 사용되는 내부 범주 .!rootkit, 루트킷 해당 악성코드의 구성요소 .@m: 웜 메일러 .@mm: 대량 메일러 웜
CSV 파일을 개인 Blob 컨테이너에 업로드하고 이 파일에 액세스하기 위해 다음 URL을 얻습니다.
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv</var/www/wordpress>그러나 이 목록에 공개적으로 액세스할 수 없기 때문에 Azure Portal에서 SAS 토큰을 만듭니다. 이러한 방식으로 저장소 계정 키를 제공하지 않고 파일에 액세스할 수 있습니다. 우리가 얻을 수 있는 URL은 다음과 같습니다.
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D</var/www/wordpress>블랙리스트의 콘텐츠를 쿼리하기 위해 Azure Sentinel에서 다음 쿼리를 작성합니다.
externaldata (FileExt: string, Detail: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true)
이렇게 하면 CSV 테이블의 내용이 표시됩니다(출력은 건너뛰었습니다).
이제 다음 쿼리를 사용하여 원치 않는 파일 확장자에서 지난 10분 동안 터치한 모든 파일을 확인할 수 있습니다.
시간 범위 = 10분으로 하십시오. let blacklist = externaldata (FileExt: 문자열) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se= 2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true); QumuloAuditEvents | 여기서 EventTime >= 전(시간 범위) | 여기서 FileExt1은 (블랙리스트)
이 쿼리는 파일 확장자가 외부 블랙리스트에 나열된 파일에 액세스한 모든 이벤트를 나열합니다.
위에 표시된 탐지 워크플로에 따라 경고 및 사고가 자동으로 생성됩니다. 추가 조사를 위해 보안 사고를 보안 분석가에게 할당하거나 각본 자동화된 응답을 시작하는 트리거될 수 있습니다.
2. 임계값을 초과하는 액세스 거부 응답
이 예제 방법에서는 파일 시스템에서 특정 작업을 감지하려고 합니다. 일정 기간 내에 높은 임계값을 초과한 파일 시스템의 "액세스 거부" 응답이 포함된 작업을 찾고 있습니다. 액세스가 초당 10회 이상 거부되면 의심스러운 활동을 나타내며 보안 팀에 알려야 합니다.
이 사용 사례에서는 조회에 사용되는 정적 테이블인 감시 목록을 생성합니다. 이 예에서 감시 목록 Q-Response-Codes</var/www/wordpress> contains all file system response codes. We can query the watchlist with the following:
_GetWatchlist('Q-Response-Messages')</var/www/wordpress>
이제 이 목록에 대해 지난 10분 동안 들어오는 이벤트를 추적하고 "ok" 이외의 응답 코드가 있는 이벤트를 포착하기 위해 다음 쿼리를 실행할 수 있습니다.
시간 범위 = 10분, let watchlist = (_GetWatchlist('Q-Response-Messages') | 여기서 ErrorStatus <> "ok" | 프로젝트 ErrorStatus) ; QumuloAuditEvents | 여기서 EventTime >= 전(시간 범위) | 여기서 ResponseCode는 (감시 목록)
관심 목록을 다음으로 제한할 수도 있습니다. fs_access_denied_error</var/www/wordpress> and http_unauthorized_error</var/www/wordpress> if we wanted the alerts to occur only on those events. To automatically alert only on access denied errors that exceed a certain threshold, we’ll create an analytic rule in Azure Sentinel that is fired up in regular intervals, and will trigger an alert only if the number of events exceeds a threshold that we can configure. From here, the alerts or incidents would be processed according to the workflow described above.
다음은 랜섬웨어 탐지에 대한 이 시리즈의 3부입니다! 우리는 볼 것이다 외부 위협 인텔리전스 데이터를 사용하여 데이터 상관 관계를 지원하는 방법.
Qumulo Recover Q: 재해로부터 보호하는 데 도움이 되는 재해 복구 솔루션 랜섬
Qumulo 감사 로그 감지를 위해 모든 SIEM 솔루션과 함께 syslog를 통해 사용할 수 있습니다.
우리는 또한 제공 쿠물로 리커버 Q- 유연한 클라우드 기반 재해 복구 솔루션 기존 비즈니스 연속성 전략에 적합합니다. 능동적 보호 기능은 데이터 안전과 무결성을 보장하는 동시에 내장된 스냅샷 및 클라우드 복제 기능은 데이터 또는 작업을 손상시킬 수 있는 실제 위협에 대한 방어 계층을 추가합니다.
클라우드에서 Recover Q를 사용하면 온디맨드 클라우드 네이티브 서비스를 위해 온프레미스 비용을 줄여 비즈니스 연속성을 위한 회사의 지출을 최적화할 수 있습니다.
추가 읽기
Qumulo 감사 데이터 및 SIEM 플랫폼을 사용한 랜섬웨어 탐지에 대해 자세히 알아보려면 두 개의 백서를 살펴보십시오. 데이터 서비스 Qumulo 소프트웨어 구독과 함께 표준으로 제공되는 (Qumulo Protect 및 Qumulo Secure):
당신이 보는 무엇을 좋아하세요?
저희에게 연락하십시오 데모 예약 or 미팅을 주선하다. 너는 심지어 테스트 드라이브 브라우저에서 바로 모든 기능을 갖춘 Qumulo 환경:
