Wydobywanie kryptowaluty
Kryptowalutą jest zasób cyfrowy, który wykorzystuje silne kryptografie do zarządzania bezpieczeństwem transakcji finansowych, takich jak bity monet. Kryptowaluty nie wykorzystują scentralizowanych cyfrowych walut ani systemów bankowych.
Zamiast wykraść dane osobowe lub referencje, szyfrowanie przez złośliwe oprogramowanie przejmuje zasoby komputera, aby je kryptowalutować. W ciągu ostatnich kilku lat tego typu ataki występują częściej jako docelowe punkty końcowe, serwery, smartfony i inne urządzenia elektroniczne do generowania przychodów.
Te typy ataków mogą zrobić więcej niż kradzież szyfrowania; IBM® QRadar ® może pomóc w ochronie sieci przed późniejszymi spadkami wydajności, zwiększeniu kosztów energii oraz dodatkowymi kosztami serwera w sieciach opartych na chmurze, które mogą spowodować ataki kryptowaluty.
Symulowanie zagrożenia
Symulacja Eksploracja kryptowalut imituje wirus trojański, który jest zakopany w ładunku zdarzenia odebranego ze źródła dziennika Centrum zabezpieczeń Kaspersky.
- Na karcie Aktywność dziennika kliknij opcję Pokaż centrum doświadczenia.
- Kliknij przycisk Symulator zagrożenia.
- Znajdź symulację Eksploracja kryptowalut i kliknij przycisk Uruchom.
| Sieć | Opis |
|---|---|
| Wydarzenia | Znaleziono wirusa Źródło dziennika dla zdarzenia przychodzącego wygląda podobnie jak w następującym przykładzie: Centrum doświadczenia: KasperskySecurityCenter. |
| Źródła dzienników | Centrum doświadczenia: WindowsAuthServer @ EC: < nazwa_komputera> Centrum doświadczenia: WindowsAuthServer @ EC: < nazwa_użytkownika> |
Na karcie Aktywność dziennika można wyświetlić zdarzenia produktu Znaleziono wirusa , które są dostępne w produkcie QRadar. Te zdarzenia wskazują, że w ładunku zdarzenia znaleziono wirusa lub inny typ szkodliwego oprogramowania.
Wykrywanie zagrożenia: QRadar w działaniu
W tej symulacji zdarzenie Znaleziono wirus wskazuje, że ładunek zdarzenia, który został odebrany z źródła dziennika Experience Center: KasperskySecurityCenter , zawiera wirusa. Mechanizm niestandardowego mechanizmu reguł (Custom Rule Engine-CRE) przetwarza zdarzenie, które wyzwala regułę, która tworzy nowe zdarzenie o nazwie Wykryto aktywność górniczą Cryptocurrency w oparciu o nazwę zagrożenia (Exp Center).
Aby ostrzec Cię o potencjalnym zagrożeniu, CRE tworzy również wykroczenie o nazwie Wykryto aktywność górniczą Cryptocurrency w oparciu o nazwę zagrożenia (Exp Center). Wykroczenie jest indeksowane w taki sposób, że grupuje wszystkie uczestniczące zdarzenia o takiej samej nazwie zagrożenia w jedno wykroczenie.
Badanie zagrożenia
Następująca treść produktu IBM QRadar jest tworzona przez symulację zagrożenia produktu Eksploracja kryptowalut . Po uruchomieniu symulacji można użyć tej treści do śledzenia i zbadania zagrożenia.
| Sieć | Nazwa |
|---|---|
| Zapisane wyszukiwanie | EC: Kryptocurrency Mining |
| Zdarzenie przychodzące | Znaleziono wirusa Źródło dziennika dla zdarzenia przychodzącego wygląda podobnie jak w następującym przykładzie: Centrum doświadczenia: KasperskySecurityCenter. |
| Reguła | Wykryto aktywność górniczą Cryptocurrency w oparciu o nazwę zagrożenia (Exp Center) |
| Wygenerowane zdarzenie | Wykryto aktywność górniczą Cryptocurrency w oparciu o nazwę zagrożenia (Exp Center) Źródłem dziennika dla zdarzeń generowanych przez produkt QRadar jest niestandardowy mechanizm reguł (Custom Rule Engine-CRE). |
| wykroczenie | Wykryto aktywność górniczą Cryptocurrency w oparciu o nazwę zagrożenia (Exp Center) Wykroczenie jest indeksowane na podstawie Nazwa zagrożenia WE; wszystkie zdarzenia, które wyzwalają tę regułę i które mają taką samą nazwę zagrożenia, są częścią tego samego wykroczenia. W zależności od zdarzeń i reguł, które istnieją w środowisku przed uruchomieniem przypadku użycia, nazwą wykroczenia może być poprzedzone < nazwa wykroczenia > lub zawierające < nazwa wykroczenia >. |