Atak chmury AWS

Program IBM® QRadar ® ułatwia monitorowanie środowiska chmury Amazon Web Services (AWS), dzięki czemu można szybko wykrywać błędy w konfiguracji wysokiego ryzyka, ukierunkowane zagrożenia i wykorzystywanie zasobów chmury.

Przypadek użycia AWS Cloud attack pokazuje, w jaki sposób QRadar wykrywa podejrzane logowanie do Amazon Web Services (AWS), po czym następuje utworzenie dużej liczby instancji Amazon Elastic Compute Cloud (EC2), a także potencjalnej ekfiltracji danych z zasobnika Amazon Simple Storage Service (S3).

Symulowany atak zaczyna się od wiadomości z informacjami o serwerze pocztowym, wskazując potencjalną wiadomość e-mail spam z podejrzanym załącznikiem. Wkrótce po otwarciu załącznika program QRadar wykrywa serię zdarzeń, które przyczyniają się do pojedynczego wykroczenia, co może wskazywać na to, że występuje aktywne zagrożenie.

Symulowanie zagrożenia

Aby sprawdzić, w jaki sposób program QRadar wykryje AWS Atak Cloud, obejrzyj film wideo z symulacji AWS Atak Cloud .

Aby uruchomić symulację w programie QRadar, należy wykonać następujące czynności:
  1. Na karcie Aktywność dziennika kliknij opcję Pokaż centrum doświadczenia.
  2. Kliknij przycisk Symulator zagrożenia.
  3. Znajdź symulację AWS Cloud Attack i kliknij przycisk Uruchom.
Na karcie Aktywność dziennika można wyświetlić następujące zdarzenia przychodzące, które są używane do symulowania przypadku użycia:
Tabela 1. Zdarzenia przychodzące dla przypadku użycia programu AWS Cloud Attack
Sieć Opis
Wydarzenia Komunikat o serwerze poczty elektronicznej

Tworzenie procesu

Logowanie do konsoli

Uruchom instancje

Lista zasobników

Pobierz obiekt
Źródła dzienników Centrum doświadczenia: WindowsAuthServer @ IE8WIN7

Centrum doświadczenia: AWS Syslog @ 192.168.0.17

Centrum doświadczenia: Cisco IronPort @ 192.168.0.15

Zdarzenia są powtarzane w pętli, a ten sam przypadek użycia powtarza się wiele razy. Aby zatrzymać symulację, kliknij opcję Zatrzymaj na karcie Symulator zagrożenia .

Wykrywanie zagrożenia: QRadar w działaniu

Komponent niestandardowego mechanizmu reguł (Custom Rules Engine-CRE) produktu QRadar jest odpowiedzialny za przetwarzanie przychodzących zdarzeń i przepływów. CRE porównuje zdarzenia i przepływy z kolekcją testów, które są określane jako reguły, a reguły tworzą obrazy, gdy spełnione są określone warunki. CRE śledzi testy reguł i liczbę incydentów w czasie.

Świadomość, że nastąpiło wykroczenie, jest tylko pierwszym krokiem. QRadar ułatwia przeprowadzenie dogłębnej analizy i zidentyfikuje, jak to się stało, gdzie się stało, i kto to zrobił. Indeksowanie wykroczenia powoduje, że wszystkie zdarzenia o takiej samej nazwie zagrożenia pojawiają się jako pojedyncze wykroczenie.

Badanie zagrożenia

Aby wyświetlić listę treści produktu QRadar , która ma wpływ na tę symulację, w tym reguły, zapisane wyszukiwania, wykroczenia i zestawy odwołań, należy wykonać następujące czynności:
  1. Otwórz aplikację IBM QRadar Experience Center .
  2. W oknie Symulator zagrożenia kliknij odsyłacz Czytaj więcej dla symulacji, a następnie wybierz typ treści, która ma zostać przejrzana.

    Alternatywnie na karcie Działanie rejestrowania można uruchomić szybkie wyszukiwanie o nazwie EC: AWS Cloud Attack Events , aby wyświetlić wszystkie zdarzenia, które są powiązane z tym przestępnym działaniem.