Ho installato un SIEM sulla mia azienda basato sulle regole di correlazione USM Alienvault. Come posso rilevare l'attività di Ransomware sulla mia rete?
Ho già attivato Suricata IDS su tutto il mio traffico di rete.
Ho installato un SIEM sulla mia azienda basato sulle regole di correlazione USM Alienvault. Come posso rilevare l'attività di Ransomware sulla mia rete?
Ho già attivato Suricata IDS su tutto il mio traffico di rete.
Utilizzare una soluzione SIEM per monitorare ramsonware è abbastanza semplice. Spiegandolo a un livello elevato: se abiliti i log di "file audit" sul tuo sistema operativo, riceverai i log ogni volta che un file viene modificato. Ransomware fondamentalmente crittografa (cambia) diversi file in un brevissimo periodo di tempo. Sulla base di ciò, è possibile creare una regola nel SIEM per rilevare questo burst in eventi "file modificati" e generare un incidente una volta raggiunta una soglia.
Qualcosa del genere: "Se ci sono più di 500 eventi di modifica file in meno di 5 minuti per la stessa fonte di log, crea un incidente".
È importante ricordare che l'abilitazione dei log di "file audit" può aumentare notevolmente il tasso di EPS. A mio parere, abilitare la verifica dei file offre molte capacità di monitoraggio (e aiuta molto nei casi forensi), ma ricorda l'aumento dell'EPS. Per questo motivo, ti raccomando di implementare in questo in fasi. Ad esempio, prima abilitare i registri di controllo dei file su 10-15 computer e analizzare l'aumento dell'EPS. Nella seconda fase, più 40-50 computer .. e così via ..
Inoltre, dovresti attivare i feed di intelligence nel tuo SIEM. Questi feed contengono "blacklist" dei server Command & Control, quindi se qualcuno dei tuoi computer si connette a quei server C & C riceverai un avviso.
Se vuoi saperne di più su questo argomento, ho scritto un post nel mio blog su questo. È più focalizzato su IBM QRadar, ma puoi adattarti facilmente a qualsiasi soluzione SIEM.
Leggi altre domande sui tag ransomware attacks