Esta es la historia final en nuestro 4 partes Detección de ransomware serie en la que exploramos cómo analizar y proteger sus datos de Qumulo con Azure Sentinel. En las partes 1, 2 y 3 examinamos cómo detectar patrones de acceso de ransomware, describió dos métodos más para detectar ransomware con correlación de datos, y luego ofreció una descripción general de detección de ransomware mediante inteligencia de amenazas externa datos para respaldar la correlación de datos. En nuestra última entrada de esta serie, mostraremos cómo automatizar estas consultas de detección en Azure Sentinel para la seguridad proactiva de los datos.
Anteriormente en esta serie, hemos escrito sobre cómo ejecutar consultas para detectar ransomware y otras actividades sospechosas. Ahora comenzaremos a automatizar el proceso de detección de ransomware.
En este artículo, usamos reglas de análisis para ejecutar consultas en Azure Sentinel. Para hacer esto, siga los siguientes pasos:
- Inicie las consultas periódicamente, por ejemplo, cada 5 minutos, para analizar y correlacionar los datos que ingresaron durante el período anterior de 5 minutos.
- En caso de coincidencias positivas, creamos uno o más incidentes en Azure Sentinel y, opcionalmente, los asignamos a un administrador o analista de seguridad de datos, enviamos alertas y más.
- Podemos activar respuestas automáticas con Playbooks basadas en alertas o incidentes. Los libros de jugadas pueden incluir casi cualquier código sin servidor que se inicie como una función de Azure.
Cómo crear reglas de análisis para ejecutar consultas en Azure Sentinel y detectar amenazas de ransomware
El siguiente diagrama de flujo ilustra lo que estamos implementando con las reglas de análisis.
Como recordatorio, aquí está la consulta que usamos para filtrar en nuestra lista negra:
let timerange = 10min;
let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true);
QumuloAuditEvents
| where EventTime >= ago(timerange)
| where FileExt1 in (blacklist)</var/www/wordpress>
Ahora creemos una regla de análisis en Azure Sentinel, para que esta consulta se ejecute cada 10 minutos.
En Azure Sentinel, seleccione su Espacio de trabajo > Análisis > Crear > Horarios regla de consulta. Luego ingresa los detalles de la regla, como el Nombre, la Descripción y la Severidad (puede ignorar la categoría de tácticas en este punto). Puede comparar la siguiente captura de pantalla con sus reglas de análisis.
En el siguiente paso, ingresa la consulta y los detalles de programación, como el intervalo y si desea agrupar eventos potenciales en una sola alerta.
Luego, decide si se está creando un incidente automáticamente para las alertas.
En el paso final, elegiremos una respuesta automática. Las respuestas automatizadas se implementan con Libros de jugadas en Azure Sentinel. Un Playbook puede contener casi cualquier respuesta usando Aplicaciones lógicas de Azure.
Automatización de respuestas con guías en Azure Sentinel
Los equipos de gestión de eventos e información de seguridad (SIEM) y del Centro de operaciones de seguridad (SOC) suelen estar inundados de alertas e incidentes de seguridad de forma regular, en volúmenes tan grandes que el personal disponible se ve abrumado. Esto da como resultado situaciones en las que se ignoran muchas alertas y muchos incidentes no se investigan, lo que deja a la organización vulnerable a ataques que pasan desapercibidos.
Muchas, si no la mayoría, de estas alertas e incidentes se ajustan a patrones recurrentes que pueden abordarse mediante conjuntos específicos y definidos de acciones de remediación.
Un libro de jugadas es una colección de estas acciones de corrección que se pueden ejecutar desde Azure Sentinel como una rutina. Un libro de jugadas puede ayudar automatizado y orquestar su respuesta ante amenazas en caso de detección de ransomware. Puede ejecutarse manualmente o configurarse para que se ejecute automáticamente en respuesta a alertas o incidentes específicos, cuando se activa mediante una regla de análisis o una regla de automatización, respectivamente.
Los libros de jugadas se crean y aplican a nivel de suscripción, pero la pestaña de libros de jugadas muestra todos los libros de jugadas disponibles en las suscripciones seleccionadas.
El concepto de Logic Apps está más allá del alcance de este artículo. Pero es importante comprender que puede ejecutar cualquier tipo de código desde un libro de jugadas con una respuesta de Logic Apps a una alerta o incidente.
Como ejemplo, un libro de jugadas muy básico usaría un conector prediseñado para conectarse a un servidor SMTP para activar el correo electrónico como respuesta a un incidente. La siguiente figura es una captura de pantalla del diseñador de aplicaciones lógicas, para que pueda ver cómo diseñar una aplicación lógica básica en el diseñador de aplicaciones lógicas.
Una respuesta automática típica para un evento de seguridad en un sistema de archivos Qumulo, por ejemplo, realizaría una o más de las siguientes acciones:
- Asignar automáticamente un incidente a un administrador o analista de seguridad
- Envíe alertas por correo electrónico o SMS a los administradores o incluso a los usuarios afectados
- Cree un ticket en ServiceNow
- Conéctese al clúster de Qumulo relevante y elimine los archivos relacionados de inmediato o póngalos en cuarentena
- Configure un recurso compartido de Qumulo para que sea de solo lectura o bloquee el acceso de un determinado usuario o cliente
- Conéctese al firewall y bloquee ciertas direcciones IP
- Conéctese a Active Directory y bloquee a un usuario
Para obtener más información sobre los libros de jugadas y las aplicaciones lógicas, visite Automatice la respuesta a amenazas con guías en Azure Sentinel.
Además, le animamos a lea nuestro informe completo sobre la caza de amenazas para profundizar en los métodos de detección de ransomware y los flujos de trabajo con Qumulo Audit y Azure Sentinel.
Implementar una estrategia integral de detección y prevención de ransomware
En este detección de ransomware serie, discutimos Threat Hunting con Azure Sentinel para clústeres de Qumulo. Independientemente de si ejecuta un clúster de Qumulo local, Qumulo SaaS en Azure o Qumulo en otras nubes, Azure Sentinel es una de las plataformas SIEM y SOAR líderes para empresas basadas en datos. Se puede utilizar para implementar una estrategia holística de prevención y detección de ransomware para proteger sus datos en el almacenamiento de archivos de Qumulo y otros activos críticos para continuidad del negocio y recuperación ante desastres.
Qumulo Recover Q: Solución de recuperación ante desastres para ayudar a protegerse contra el ransomware
Registros de auditoría de Qumulo se puede utilizar a través de syslog con cualquier solución SIEM para la detección.
También ofrecemos Qumulo Recuperar Q—Un flexible solución de recuperación ante desastres en la nube que encaja en cualquier estrategia de continuidad empresarial existente. El uso de Recover Q en la nube puede ayudar a optimizar el gasto de su empresa para la continuidad del negocio al reducir los costos locales en favor de un servicio nativo de la nube bajo demanda. Las funciones de protección activa ayudan a garantizar la seguridad e integridad de los datos, mientras que las funciones integradas de instantáneas y replicación en la nube agregan capas de defensa contra amenazas del mundo real que podrían comprometer sus datos u operaciones.
Qumulo en Azure como servicio, por ejemplo, incluye control de acceso integrado basado en roles para todos los usuarios, auditoría de actividades para todos los usuarios y archivos, y cifrado de datos en reposo junto con los servicios de seguridad de Azure para ayudarlo a repeler amenazas externas. En nuestro video a continuación, puede ver cómo Qumulo en Azure simplifica los servicios de archivos en la nube y puede ayudar a mantener sus datos seguros con capacidades de recuperación de desastres, incluida la replicación continua. codificación de borrado, instantáneas y conmutación por error automática.
[qumulo_cta id=”260147″]
OTRAS LECTURAS
Eche un vistazo a nuestros dos informes técnicos (a continuación) para obtener más información sobre la detección de ransomware con los datos de auditoría de Qumulo y las plataformas SIEM, y las servicios de datos (Qumulo Protect y Qumulo Secure) que vienen de serie con su suscripción al software Qumulo.
- Arquitectura de seguridad y mejores prácticas para contrarrestar el malware
- Caza de amenazas con Qumulo Audit y Azure Sentinel
¿Te gusta lo que ves?
Contáctenos para RESERVAR UNA DEMOSTRACIÓN or organizar una reunión. Incluso puede Test Drive un entorno Qumulo completamente funcional directamente desde su navegador.
