Attaque de cloud AWS

IBM® QRadar® vous aide à surveiller votre environnement de cloud Amazon Web Services (AWS) afin de détecter rapidement les erreurs de configuration à haut risque, les menaces ciblées et l'exploitation des ressources de cloud.

Le cas d'utilisation AWS Cloud attack montre comment QRadar détecte une connexion suspecte à Amazon Web Services (AWS), suivie de la création d'un volume élevé d'instances Amazon Elastic Compute Cloud (EC2) et de l'exfiltration de données potentielle à partir d'un compartiment Amazon Simple Storage Service (S3).

L'attaque simulée commence par un message d'informations du serveur de messagerie, indiquant un message indésirable potentiel avec une pièce jointe suspecte. Peu de temps après l'ouverture de la pièce jointe, QRadar détecte une série d'événements qui contribuent à une infraction unique, ce qui peut indiquer qu'une menace active se produit.

Simulation de la menace

Pour voir comment QRadar détecte l' AWS Cloud Attack, regardez la vidéo de simulation AWS Cloud Attack .

Pour exécuter la simulation dans QRadar, procédez comme suit:
  1. Dans l'onglet Activité du journal , cliquez sur Afficher Experience Center.
  2. Cliquez sur Simulateur de menaces.
  3. Recherchez la simulation AWS Cloud Attack puis cliquez sur Run.
Dans l'onglet Activité du journal , vous pouvez voir les événements entrants suivants qui sont utilisés pour simuler le cas d'utilisation:
Tableau 1. Evénements entrants pour le cas d'utilisation AWS Cloud Attack
Contenu Descriptif
Evénements Message d'informations du serveur de messagerie

Création de processus

Connexion à la console

Instances d'exécution

Lister les compartiments

Obtenir l'objet
Sources de journal Centre d'expérience : WindowsAuthServer @ IE8WIN7

Centre d'expérience : AWS Syslog @ 192.168.0.17

Centre d'expérience : Cisco IronPort @ 192.168.0.15

Les événements s'exécutent dans une boucle et le même cas d'utilisation se répète plusieurs fois. Pour arrêter la simulation, cliquez sur Arrêter dans l'onglet Simulateur de menaces .

Détection de la menace : QRadar en action

Le composant CRE (Custom Rules Engine) d' QRadar est responsable du traitement des événements et des flux entrants. Il compare les événements et les flux par rapport à un ensemble de tests, également appelés règles. Les règles créent des infractions lorsque certaines conditions sont détectées. Il effectue également le suivi des tests de règle et du nombre d'incidents.

Savoir qu'une infraction s'est produite n'est que la première étape. QRadar vous permet d'effectuer plus facilement une analyse approfondie et d'identifier comment cela s'est produit, où cela s'est produit et qui l'a fait. Lorsque l'infraction est indexée, tous les événements ayant le même nom de menace s'affichent sous la forme d'une seule infraction.

Examen de la menace

Pour afficher la liste du contenu QRadar qui contribue à cette simulation, y compris les règles, les recherches sauvegardées, les infractions et les ensembles de référence, procédez comme suit:
  1. Ouvrez l'application IBM QRadar Experience Center .
  2. Dans la fenêtre Threat simulator, cliquez sur le lien Read More pour les simulations puis sélectionnez le type de contenu à examiner.

    Vous pouvez également, à partir de l'onglet Activité du journal , exécuter la recherche rapide appelée EC: AWS Cloud Attack Events pour afficher tous les événements associés à l'infraction.