Ameaça de vários hosts

O IBM® QRadar® ajuda a detectar comunicação suspeita com hosts quando os mesmos padrões de ameaça são vistos em vários terminais Este tipo de atividade pode indicar um ataque organizado, direcionado contra sua organização e requer atenção imediata para evitar escalada e danos.

Simulando a ameaça

A simulação Threat from multiple hosts mostra como o QRadar detecta uma ameaça correlacionando eventos identificados como comportamento malicioso repetitivo.

Dica:

Para obter mais conteúdo do QRadar que suporte casos de uso adicionais, faça download do pacote IBM Security Threat Content no IBM Security App Exchange.

Para ver como o QRadar detecta a ameaça, execute a simulação.
  1. Na guia Atividade de log, clique em Mostrar Experience Center.
  2. Clique em Simulador de ameaça.
  3. Localize a simulação Ameaça de vários hosts e clique em Executar.

Você pode ver os eventos que estão entrando no QRadar contêm endereços e anexos potencialmente maliciosos URL.

Detectando a ameaça: QRadar em ação

Nesta simulação, o Custom Rule Engine (CRE) processa os eventos recebidos e determina que uma atividade potencialmente ameaçadora está ocorrendo em vários hosts em sua rede. Para avisar sobre a ameaça potencial, o CRE cria um novo evento que fornece mais contexto para a atividade que foi encontrada. Por exemplo, se o evento recebido for Detecção de URL - phishing e o evento gerado pelo CRE for Mesma ameaça detectada em hosts diferentes da mesma rede, será possível ver rapidamente em qual área de sua rede está ocorrendo a ameaça.

O CRE cria um delito que é indexado com base na propriedade customizada Nome da ameaça do EC, que assegura que todos os eventos que contribuem com a mesma ameaça estão associados ao mesmo delito.

Investigando a ameaça

O conteúdo IBM QRadar a seguir é criado pela simulação Threat from multiple hosts . Depois de executar a simulação, é possível usar este conteúdo para rastrear e investigar a ameaça.

Tabela 1. Conteúdo do QRadar para a simulação Threat from multiple hosts
Conteúdo Nome
Pesquisa salva EC: ameaça de vários hosts
Evento recebido
  • Detecção de URL - phishing
  • Detecção de URL - spam/graymail
  • Detecção de anexo - violação de conteúdo
  • Detecção de anexo - phishing
  • Detecção de anexo - URL potencialmente maliciosa

A origem de log para o evento recebido é Trend Micro Deep Discovery.

Regra EC: mesma ameaça detectada em vários hosts
Eventos gerados O principal evento criado é Mesma ameaça detectada em vários hosts (Exp Center).
Os eventos a seguir também são criados como parte do cenário de simulação de ameaça:
  • Mesma Ameaça Detectada em Vários Hosts
  • Mesma Ameaça Detectada na Mesma Rede em Hosts Diferentes

A origem de log para eventos que são gerados pelo QRadar é o Custom Rule Engine (CRE).

Ofensa Mesma ameaça detectada em vários hosts (Exp Center)

O delito é indexado com base na propriedade customizada Nome da ameaça do EC, significando que todos os eventos que acionam esta regra e contribuem com a mesma ameaça fazem parte do mesmo delito.

Dependendo dos eventos e das regras existentes em seu ambiente antes de executar o caso de uso, o nome do delito pode incluir precedido por <offense name> ou contendo <offense name>.