Ataque direcionado
O IBM® QRadar® pode ajudá-lo a detectar ameaças direcionadas, como quando um funcionário abre inadvertidamente um anexo em um e-mail de phishing.
No caso de uso Ataque direcionado, um arquivo transferido por download por meio de um e-mail de phishing resulta em um malware que infecta a estação de trabalho de um funcionário e uma conexão com um servidor de Comando e controle (C&C) é estabelecida. O invasor usa a estação de trabalho infectada para se mover lateralmente na infraestrutura de rede, procurando encontrar ativos críticos da empresa.
Com um firewall em vigor entre a estação de trabalho infectada e a rede do servidor, o QRadar detecta um número excessivo de eventos de negação de firewall e gera uma ofensa À medida que o ataque continua, o QRadar também detecta que uma conexão com o banco de dados local foi estabelecida com um servidor que está hospedando dados críticos e que a estação de trabalho infectada agora está sendo usada para fazer download de dados desse servidor. Todos esses eventos são encadeados em um único delito para investigação.
Simulando a ameaça
Para ver como o QRadar detecta o ataque, assista ao vídeo de simulação Ataque direcionado .
- Na guia Atividade de log, clique em Mostrar Experience Center.
- Clique em Simulador de ameaça.
- Localize a simulação de Ataque direcionado e clique em Executar
| Conteúdo | Descrição |
|---|---|
| Eventos | Solicitação GET diversas Descarte do firewall Estabelecer Sessão SFTP aberta Sessão SFTP fechada |
| Origens de log | Centro de Experiência: Bluecoat @ bluecoat.think2019.test Centro de Experiência: Checkpoint @ checkpoint.firewall-1.test.com Centro de Experiência: Oracle DB @ 192.168.15.125 Centro de Experiência: LinuxOS @ 192.168.15.25 |
Os eventos são reproduzidos em um loop e o mesmo caso de uso se repete várias vezes. Para parar a simulação, selecione Parar na guia Simulador de ameaça .
Detectando a ameaça: QRadar em ação
O componente Custom Rules Engine (CRE) do QRadar é responsável pelo processamento de eventos e fluxos recebidos. O CRE compara os eventos e fluxos com uma coleção de testes, que são conhecidos como regras, e as regras criam delitos quando condições específicas são atendidas. O CRE rastreia os testes de regra e as contagens de incidentes ao longo do tempo.
Saber que ocorreu um delito é apenas o primeiro passo. O QRadar facilita a realização de uma análise detalhada e a identificação de como aconteceu, onde aconteceu e quem fez isso. Ao indexar o delito, todos os eventos com o mesmo nome de ameaça aparecem como um único delito.
Investigando a ameaça
- Abra o app IBM QRadar Experience Center
- Na janela Simulador de ameaça, clique no link Ler
mais para a simulação e selecione o tipo de conteúdo que você deseja revisar.
Como alternativa, na guia Atividade de log, é possível executar a procura rápida chamada EC: eventos de ataque direcionado para visualizar todos os eventos que estão associados ao delito.