Esta historia le llega como parte 3 de 4 en nuestro Serie de detección de ransomware en el que exploramos cómo analizar y proteger sus datos de Qumulo a escala de nube. En las partes 1 y 2, examinamos cómo detectar ransomware patrones de acceso con Qumulo y Azure Sentinel, y luego describió dos métodos adicionales para detección de ransomware con correlación de datos. En la parte 3 a continuación, discutimos cómo usar datos externos de Threat Intelligence para respaldar la correlación de datos.
En la parte 2 de esta serie sobre la detección de ransomware, usamos tablas estáticas como listas negras u otras tablas de búsqueda para la correlación de datos con los eventos entrantes de Qumulo Audit. En este artículo, presentaremos algunos ejemplos simples que utilizan fuentes externas de Threat Intelligence para la correlación de datos. Como recordatorio, la siguiente imagen ilustra el flujo de trabajo de detección de ransomware.
Detectar ransomware en tiempo real
Como se señaló anteriormente en esta serie, las posibles amenazas de ransomware u otras actividades sospechosas deben detectarse antes de que puedan causar algún daño. Uno de los objetivos para lograr esto es utilizar el uso compartido de indicadores automatizados (AIS) proporcionado por la industria.
AIS permite el intercambio en tiempo real de archivos legibles por máquina. indicadores de amenazas cibernéticas y medidas defensivas para ayudar a proteger a los participantes y, en última instancia, reducir la prevalencia de ataques cibernéticos. AIS utiliza un formato de datos estándar abierto, llamado Expresión estructurada de información sobre amenazas (STIX ™), y el protocolo Trusted Automated Exchange of Indicator Information (TAXII ™) para la comunicación de máquina a máquina.
Cómo introducir Threat Intelligence en un área de trabajo de Azure Sentinel
Azure Sentinel puede suscribirse a fuentes STIX mediante el conector TAXII integrado. Hay muchos feeds de código abierto, así como feeds profesionales disponibles. Usaremos Flujo de amenazas Limo de Anomali para alimentar Threat Intelligence en nuestro espacio de trabajo de Sentinel y correlacionar los datos con nuestros eventos de auditoría.
Usando curl, podemos obtener una lista de feeds que son proporcionados por limo.anomaly.com:
curl -u invitado https://limo.anomali.com/api/v1/taxii2/feeds/collections/ {"collections": [{"can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank"}, {"can_read": true, "can_write": false, "description": "", "id": "135", "title": "Abuse.ch Ransomware IPs"}, {"can_read": true, "can_write": false, "description": "", "id": "136", "title": "Abuse.ch Ransomware Domains"}, {"can_read": true, "can_write": false, "description": "", "id": "150", "title": "DShield Scanning IPs"}, {"can_read": true, "can_write": false, "description": "", "id": "200", "title": "Lista de dominios de malware - Hotlist"}, {"can_read": true, "can_write": false, "description": "", "id": "209", "title": "Blutmagie TOR Nodes"}, {"can_read": true, "can_write": false, "description": "", "id": "31", "title" : "Servidor C&C de amenazas emergentes"}, {"can_read": true, "can_write": false, "description": "", "id": "33", "title": "Lehigh Malwaredomains"}, {"can_read ": verdadero," can_write ": falso,"description": "", "id": "41", "title": "CyberCrime"}, {"can_read": true, "can_write": false, "description": "", "id": "68 "," title ":" Amenazas emergentes: comprometidas "}]}
Cómo suscribirse a una fuente de inteligencia sobre amenazas
Para suscribirse a uno de los feeds de Threat Intelligence enumerados anteriormente, veamos algunos pasos rápidos en Azure Sentinel. En Sentinel, siga los siguientes pasos:
- Haga clic en conectores de datos
- Ingrese "Taxii" en el campo de búsqueda
- Seleccione Inteligencia de amenazas - (TAXII)
- Ingrese los detalles del feed de la lista anterior
Por ejemplo, si desea suscribirse al Servidor C&C de amenazas emergentes feed, debe ingresar la siguiente información en el cuadro de diálogo:
Esto agregaría el feed a su espacio de trabajo. Después de solo unos segundos, puede ver los datos de TI recibidos.
Seleccione "Threat Intelligence" en el panel de navegación para mostrar sus eventos de TI:
Puede consultar los datos de Threat Intelligence con la siguiente consulta:
ThreatIntelligenceIndicator
| project TimeGenerated, Action, Description, NetworkIP, Url, SourceSystem</var/www/wordpress>
</var/www/wordpress>An output example is shown in the next figure:
Cómo correlacionar los eventos de Qumulo con los datos de Threat Intelligence
Ahora, a medida que alimentamos Threat Intelligence en nuestro espacio de trabajo de Azure Sentinel, podemos correlacionar los datos y verificar toda la actividad del sistema de archivos de Qumulo. Por ejemplo, podríamos buscar conexiones a cualquier dirección IP incorrecta conocida de nuestros diferentes feeds con la siguiente consulta:
deje timerange = 15min; let MalIpList = (ThreatIntelligenceIndicator | donde Descripción contiene "mal_ip" | proyecto NetworkIP); QumuloAuditEvents | donde ClientIP en (MalIpList)
Esta consulta dará como resultado una lista de todas las actividades que tuvo cualquier nodo de Qumulo con una de las direcciones mal conocidas de las fuentes de inteligencia.
Este es un buen ejemplo en el que necesitaríamos iniciar la automatización. Si la consulta anterior muestra algún resultado positivo, nos gustaría crear automáticamente una alerta, un incidente y, potencialmente, activar una respuesta automática. En este caso, el analista de seguridad de datos asignado investigaría si esta dirección IP alguna vez apareció antes en nuestro entorno y tomaría medidas si lo hiciera.
En cualquier caso, actualizaríamos las reglas en nuestro (s) firewall (s) para que esta dirección quede totalmente bloqueada. Este es un buen ejemplo de acción preventiva. A pesar de que esta dirección IP (con suerte) nunca se había puesto en contacto con nuestra red, la bloquearíamos de antemano porque sabemos (por el feed de TI) que está relacionada con actividades de malware.
[box type=”shadow”]Nota: tendría mucho sentido no solo correlacionar los eventos de Qumulo con los datos de Threat Intelligence. De hecho, ¡ejecutar esas correlaciones y las respuestas (automatizadas) contra eventos de clientes, eventos de firewall y eventos de Active Directory tiene aún más sentido! Descubrirías estas conexiones maliciosas mucho antes. Además, es posible que desee buscar direcciones URL maliciosas en su firewall, puerta de enlace de Internet o servidor proxy http para bloquear estos sitios, antes de que cualquier usuario pueda intentar acceder a ellos.[/box]
Cómo utilizar el aprendizaje automático para detectar ransomware y anomalías sospechosas
Azure Sentinel tiene algunas reglas analíticas que utilizan Machine Learning (ML) para descubrir anomalías o detectar ransomware en su entorno de almacenamiento de datos. Microsoft ha introducido un nuevo tipo de regla, llamado Anomalía, para este propósito. No necesita preocuparse por administrar el entorno de tiempo de ejecución de ML para anomalías sospechosas, porque Azure Sentinel se encarga de todo detrás de escena.
Puede encontrar estas reglas en Azure Sentinel en la pestaña Análisis, y parece que Microsoft está agregando más con el tiempo. Estas reglas usan ML para entrenar un modelo durante un par de días para establecer la línea de base para las condiciones habituales. Esto podría ser patrones de tráfico de red, patrones de inicio de sesión en Azure Active Directory (Azure AD), alarmas de firewall, solicitudes web y más. Los parámetros de las reglas predefinidas se pueden modificar para equilibrar el nivel de ruido a un nivel significativo.
Los algoritmos de las reglas predefinidas no están entrenados para eventos de Qumulo. Sin embargo, usarlos con eventos de otras fuentes, como Azure AD o firewalls, mejora la detección de ransomware y reduce el tiempo de investigación y búsqueda de amenazas.
A continuación, se muestran los 3 casos de uso principales del uso del aprendizaje automático para detectar ransomware.
1. Señales adicionales para mejorar la detección de ransomware
Los analistas de seguridad de datos pueden usar anomalías para detectar nuevas amenazas y hacer que las detecciones existentes sean más efectivas. Una sola anomalía no es una señal fuerte de comportamiento malicioso, pero cuando se combina con varias anomalías que ocurren en diferentes puntos de la cadena de matanza cibernética, su efecto acumulativo es mucho más fuerte. Los analistas de seguridad también pueden mejorar las detecciones existentes al hacer que el comportamiento inusual identificado por anomalías sea una condición para que se activen las alertas.
2. Pruebas durante las investigaciones
Los analistas de seguridad de datos también pueden utilizar anomalías durante las investigaciones para ayudar a confirmar una infracción, encontrar nuevos caminos para investigarla y evaluar su impacto potencial. Por ejemplo, al investigar un incidente que involucra a un usuario y una dirección IP, un analista de seguridad puede consultar al usuario y la dirección IP en la tabla "Anomalías" para averiguar otras actividades anómalas realizadas por ese usuario y que sucedieron en esa dirección IP. . Estos datos ayudan a los analistas de seguridad a reducir el tiempo dedicado a las investigaciones.
3. El comienzo de las búsquedas de amenazas proactivas
Los cazadores de amenazas pueden usar anomalías como contexto para ayudar a determinar si sus consultas han detectado un comportamiento sospechoso. Cuando el comportamiento es sospechoso, las anomalías también apuntan hacia caminos potenciales para una mayor búsqueda. Estas pistas proporcionadas por anomalías reducen tanto el tiempo para detectar una amenaza como la posibilidad de causar daño.
Acabamos de revisar cómo ejecutar consultas para detectar ransomware y otras actividades sospechosas. A continuación, te mostraremos cómo automatizar la detección de ransomware consultas en Azure Sentinel.
Qumulo Recover Q: Solución de recuperación ante desastres para ayudar a protegerse contra ransomware
Registros de auditoría de Qumulo se puede utilizar a través de syslog con cualquier solución SIEM para la detección.
También ofrecemos Qumulo Recuperar Q—Un flexible solución de recuperación ante desastres basada en la nube que encaja en cualquier estrategia de continuidad empresarial existente. Las funciones de protección activa ayudan a garantizar la seguridad e integridad de los datos, mientras que las funciones integradas de instantáneas y replicación en la nube agregan capas de defensa contra amenazas del mundo real que podrían comprometer sus datos u operaciones.
El uso de Recover Q en la nube puede ayudar a optimizar el gasto de su empresa para la continuidad del negocio al reducir los costos locales en favor de un servicio nativo de la nube bajo demanda.
OTRAS LECTURAS
Eche un vistazo a nuestros dos informes técnicos para obtener más información sobre la detección de ransomware con los datos de auditoría de Qumulo y las plataformas SIEM, y las servicios de datos (Qumulo Protect y Qumulo Secure) que vienen de serie con su suscripción al software Qumulo:
- Arquitectura de seguridad y mejores prácticas para contrarrestar el malware
- Caza de amenazas con Qumulo Audit y Azure Sentinel
¿Te gusta lo que ves?
Contáctenos para RESERVAR UNA DEMOSTRACIÓN or organizar una reunión. Incluso puede Test Drive un entorno Qumulo completamente funcional directamente desde su navegador: