Mining von Kryptowährung
Eine Kryptowährung ist eine digitale Ressource, die durch eine starke Verschlüsselung Sicherheit für Finanztransaktionen, z. B. Bitcoins, bereitstellt. Bei Kryptowährungen werden keine zentralen digitalen Währungen oder Bankensysteme verwendet.
Statt persönliche Daten oder Identifikationsdaten zu stehlen, übernimmt Cryptomining-Malware Computerressourcen, um nach Kryptowährung zu schürfen (Mining). In den letzten Jahren tritt diese Art von Angriffen häufiger auf, da Kriminelle Endpunkte, Server, Smartphones und andere elektronische Geräte als Ziele wählen, um Einnahmequellen zu erschließen.
Diese Arten von Angriffen können mehr als nur Kryptowährung stehlen; IBM® QRadar® kann Ihnen helfen, Ihr Netz vor den nachfolgenden Leistungseinbußen, höheren Energiekosten und zusätzlichen Serverkosten in cloudbasierten Netzen zu schützen, die durch Kryptowährungsangriffe verursacht werden können.
Bedrohung simulieren
Die Simulation Cryptocurrency Mining (Mining von Kryptowährung) imitiert einen Trojaner-Virus, der in Ereignisnutzdaten eingebettet ist, die aus einer Kaspersky Security Center-Protokollquelle empfangen werden.
- Klicken Sie auf der Registerkarte Protokollaktivität auf Show Experience Center (Experience Center anzeigen).
- Klicken Sie auf Bedrohungssimulator.
- Suchen Sie die Simulation Cryptocurrency-Mining und klicken Sie auf Ausführen.
| Inhalt | Beschreibung |
|---|---|
| Ereignisse | Virus gefunden Die Protokollquelle für das eingehende Ereignis sieht so ähnlich wie in diesem Beispiel aus: Experience Center: KasperskySecurityCenter. |
| Protokollquellen | Experience Center: WindowsAuthServer @ EC: <machine_name> Experience Center: WindowsAuthServer @ EC: <user_name> |
Auf der Registerkarte Protokollaktivität werden die Ereignisse des Typs Virus gefunden angezeigt, die in QRadareingehen. Diese Ereignisse zeigen an, dass in den Ereignisnutzdaten ein Virus oder ein anderer Typ von Malware gefunden wurde.
Bedrohung erkennen: QRadar in Aktion
In dieser Simulation zeigt das Ereignis Virus found (Virus gefunden) an, dass die Ereignisnutzdaten, die aus der Protokollquelle Experience Center: KasperskySecurityCenter empfangen wurden, einen Virus enthalten. Die Custom Rule Engine (CRE) verarbeitet das Ereignis, das eine Regel auslöst, durch die ein neues Ereignis mit dem Namen Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center) erstellt wird.
Um Sie vor der potenziellen Bedrohung zu warnen, erstellt die CRE auch einen Angriff mit dem Namen Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center). Der Angriff wird indexiert, sodass alle beitragenden Ereignisse mit demselben Bedrohungsnamen in einem einzigen Angriff zusammengefasst werden.
Bedrohung untersuchen
Der folgende IBM QRadar -Inhalt wird von der Bedrohungssimulation Cryptocurrency Mining erstellt. Nachdem Sie die Simulation ausgeführt haben, können Sie die Bedrohung mithilfe dieses Inhalts verfolgen und untersuchen.
| Inhalt | Ihren Namen |
|---|---|
| Gespeicherte Suche | EC: Cryptocurrency-Mining |
| Eingehendes Ereignis | Virus gefunden Die Protokollquelle für das eingehende Ereignis sieht so ähnlich wie in diesem Beispiel aus: Experience Center: KasperskySecurityCenter. |
| Regel | Erkennt eine Cryptocurrency-Mining-Aktivität auf der Basis des Bedrohungsnamens (Exp Center) |
| Generiertes Ereignis | Erkennt eine Cryptocurrency-Mining-Aktivität auf der Basis des Bedrohungsnamens (Exp Center) Die Protokollquelle für Ereignisse, die von QRadar generiert werden, ist die Custom Rule Engine (CRE). |
| Angriff | Erkennt eine Cryptocurrency-Mining-Aktivität auf der Basis des Bedrohungsnamens (Exp Center) Der Angriff wird auf Basis des EC Threat Name (EC-Bedrohungsname) indexiert. Alle Ereignisse, die diese Regel auslösen und denselben Bedrohungsnamen haben, sind Teil desselben Angriffs. Abhängig von den Ereignissen und Regeln, die in Ihrer Umgebung vorhanden sind, bevor der Anwendungsfall ausgeführt wird, kann der Name des Verstoßes die Angabe folgt auf <offense name> oder enthält <offense name> enthalten. |