Ataque en AWS Cloud

IBM® QRadar® le ayuda a supervisar el entorno de nube de Amazon Web Services (AWS) para que pueda detectar rápidamente errores de configuración de alto riesgo, amenazas específicas y explotación de recursos de nube.

El caso de uso de AWS Cloud attack muestra cómo QRadar detecta un inicio de sesión sospechoso en Amazon Web Services (AWS), seguido de la creación de un alto volumen de instancias de Amazon Elastic Compute Cloud (EC2) y la posible exfiltración de datos de un grupo de Amazon Simple Storage Service (S3).

El ataque simulado se inicia con un mensaje informativo del servidor de correo que indica que se ha detectado un posible correo electrónico no deseado con un archivo adjunto sospechoso. Poco después de abrir el archivo adjunto, QRadar detecta una serie de sucesos que contribuyen a un único delito, lo que puede indicar que se está produciendo una amenaza activa.

Simulación de la amenaza

Para ver cómo QRadar detecta el AWS Cloud Attack, vea el vídeo de simulación AWS Cloud Attack .

Para ejecutar la simulación en QRadar, siga estos pasos:
  1. En el separador Actividad de registro, pulse Mostrar Experience Center.
  2. Pulse Simulador de amenazas.
  3. Busque la simulación Ataque en AWS Cloud y pulse Ejecutar.
En el separador Actividad de registro, puede ver los siguientes sucesos entrantes, que se utilizan para simular el caso práctico:
Tabla 1. Sucesos entrantes para el caso práctico Ataque en AWS Cloud
Contenido Descripción
Sucesos Mensaje de información del servidor de correo

Crear proceso

Inicio de sesión de consola

Ejecutar instancias

Listar buckets

Obtener objeto
Orígenes de registro Centro de experiencias: WindowsAuthServer @ IE8WIN7

Centro de experiencia: AWS Syslog @ 192.168.0.17

Centro de experiencia: Cisco IronPort @ 192.168.0.15

Los sucesos se reproducen en bucle y el mismo caso práctico se repite varias veces. Para detener la simulación, pulse Detener en la pestaña Simulador de amenazas .

Detección de amenazas: QRadar en acción

El componente Motor de reglas personalizadas (CRE) de QRadar es responsable de procesar sucesos y flujos de entrada. El CRE compara los sucesos y los flujos con una recopilación de pruebas, que se denominan reglas, y las reglas crean delitos cuando se cumplen unas condiciones determinadas. El CRE realiza el seguimiento de las pruebas de reglas y los recuentos de incidentes a lo largo del tiempo.

Saber que se ha producido un delito es solo el primer paso. QRadar facilita el análisis en profundidad e identifica cómo ha sucedido, dónde ha sucedido y quién lo ha hecho. Al indexar el delito, todos los sucesos que incluyen el mismo nombre de amenaza aparecen como un único delito.

Investigación de la amenaza

Para ver la lista del contenido de QRadar que contribuye a esta simulación, incluidas las reglas, las búsquedas guardadas, los delitos y los conjuntos de referencia, siga estos pasos:
  1. Abra la aplicación IBM QRadar Experience Center .
  2. En la ventana Simulador de amenazas, pulse el enlace Leer más de las simulaciones y seleccione el tipo de contenido que quiera revisar.

    Si lo prefiere, ejecute, desde el separador Actividad de registro, la búsqueda rápida denominada EC: Sucesos de ataque en AWS Cloud para ver todos los sucesos asociados al delito.