Zielgerichteter Angriff

IBM® QRadar® kann Ihnen dabei helfen, gezielte Bedrohungen zu erkennen, z. B. wenn ein Mitarbeiter unwissentlich einen Anhang in einer Phishing-E-Mail öffnet.

Im Anwendungsfall Zielgerichteter Angriff überträgt eine Datei, die aus einer Phishing-E-Mail heruntergeladen wird, Malware, die die Workstation eines Mitarbeiters infiziert, und eine Verbindung zu einem Command and Control Server (C & C) wird hergestellt. Der Angreifer nutzt die infizierte Workstation, um sich innerhalb der Netzinfrastruktur horizontal zu bewegen und nach kritischen Unternehmensressourcen zu suchen.

Wenn eine Firewall zwischen der infizierten Workstation und dem Servernetz vorhanden ist, erkennt QRadar eine übermäßige Anzahl von Firewallverweigerungsereignissen und generiert einen Angriff. Während der Attacke erkennt QRadar auch, dass eine lokale Datenbankverbindung zu einem Server hergestellt wurde, der kritische Daten hostet, und dass die infizierte Workstation jetzt zum Herunterladen von Daten von diesem Server verwendet wird. Alle diese Ereignisse werden zur Untersuchung in einem einzigen Angriff zusammengefasst.

Bedrohung simulieren

Um zu sehen, wie QRadar den Angriff erkennt, sehen Sie sich das Simulationsvideo Targeted Attack an.

Führen Sie die folgenden Schritte aus, um die Simulation in QRadarauszuführen:
  1. Klicken Sie auf der Registerkarte Protokollaktivität auf Show Experience Center (Experience Center anzeigen).
  2. Klicken Sie auf Bedrohungssimulator.
  3. Suchen Sie die Simulation Zielgerichteter Angriff und klicken Sie auf Ausführen.
Auf der Registerkarte Protokollaktivität können Sie die folgenden eingehenden Ereignisse sehen, die zur Simulation des Anwendungsfalls verwendet werden:
Tabelle 1. Eingehende Ereignisse für den Anwendungsfall 'Targeted Attack'
Inhalt Beschreibung
Ereignisse Sonstige GET-Anforderung

Firewall ausschalten

ERSTELLEN

SFTP-Sitzung geöffnet

SFTP-Sitzung geschlossen
Protokollquellen Erlebniszentrum: Bluecoat @ bluecoat.think2019.test

Erlebniszentrum: Checkpoint @ checkpoint.firewall-1.test.com

Erlebniszentrum: Oracle DB @ 192.168.15.125

Erlebniszentrum: LinuxOS @ 192.168.15.25

Die Ereignisse werden in einer Schleife wiedergegeben und derselbe Anwendungsfall wird mehrfach wiederholt. Klicken Sie zum Stoppen der Simulation auf der Registerkarte Bedrohungssimulator auf Stoppen .

Bedrohung erkennen: QRadar in Aktion

Die Komponente Custom Rules Engine (CRE) von QRadar ist für die Verarbeitung eingehender Ereignisse und Datenflüsse verantwortlich. Die CRE vergleicht die Ereignisse und Datenflüsse mit einer Zusammenstellung von Tests, die als Regeln bekannt sind. Diese Regeln erstellen Angriffe, wenn bestimmte Bedingungen erfüllt sind. Die CRE überwacht die Regeltests und Vorfallhäufigkeiten über längere Zeit.

Zu wissen, dass ein Angriff stattgefunden hat, ist nur der erste Schritt. Mit QRadar können Sie einfacher eine detaillierte Analyse durchführen und ermitteln, wie es passiert ist, wo es passiert ist und wer es getan hat. Dank der Indexierung des Angriffs werden alle Ereignisse mit demselben Bedrohungsnamen als ein einziger Angriff angezeigt.

Bedrohung untersuchen

Führen Sie die folgenden Schritte aus, um die Liste der QRadar -Inhalte anzuzeigen, die zu dieser Simulation beitragen, einschließlich Regeln, gespeicherten Suchen, Angriffen und Referenzsets:
  1. Öffnen Sie die App IBM QRadar Experience Center .
  2. Klicken Sie im Fenster Threat simulator (Bedrohungssimulator) auf den Link Read More (Weitere Informationen) für die Simulation und wählen Sie den Inhaltstyp aus, den Sie überprüfen möchten.

    Alternativ können Sie auf der Registerkarte Protokollaktivität die Schnellsuche mit dem Namen EC: Targeted Attack Events ausführen, um alle Ereignisse anzuzeigen, die dem Angriff zugeordnet sind.