Ataque direcionado

O IBM® QRadar® pode ajudá-lo a detectar ameaças direcionadas, como quando um funcionário abre inadvertidamente um anexo em um e-mail de phishing.

No caso de uso Ataque direcionado, um arquivo transferido por download por meio de um e-mail de phishing resulta em um malware que infecta a estação de trabalho de um funcionário e uma conexão com um servidor de Comando e controle (C&C) é estabelecida. O invasor usa a estação de trabalho infectada para se mover lateralmente na infraestrutura de rede, procurando encontrar ativos críticos da empresa.

Com um firewall em vigor entre a estação de trabalho infectada e a rede do servidor, o QRadar detecta um número excessivo de eventos de negação de firewall e gera uma ofensa À medida que o ataque continua, o QRadar também detecta que uma conexão com o banco de dados local foi estabelecida com um servidor que está hospedando dados críticos e que a estação de trabalho infectada agora está sendo usada para fazer download de dados desse servidor. Todos esses eventos são encadeados em um único delito para investigação.

Simulando a ameaça

Para ver como o QRadar detecta o ataque, assista ao vídeo de simulação Ataque direcionado .

Para executar a simulação no QRadar, siga estas etapas:
  1. Na guia Atividade de log, clique em Mostrar Experience Center.
  2. Clique em Simulador de ameaça.
  3. Localize a simulação de Ataque direcionado e clique em Executar
Na guia Atividade de log, é possível ver os seguintes eventos recebidos que são usados para simular o caso de uso:
Tabela 1. Eventos recebidos para o caso de uso Ataque direcionado
Conteúdo Descrição
Eventos Solicitação GET diversas

Descarte do firewall

Estabelecer

Sessão SFTP aberta

Sessão SFTP fechada

Origens de log Centro de Experiência: Bluecoat @ bluecoat.think2019.test

Centro de Experiência: Checkpoint @ checkpoint.firewall-1.test.com

Centro de Experiência: Oracle DB @ 192.168.15.125

Centro de Experiência: LinuxOS @ 192.168.15.25

Os eventos são reproduzidos em um loop e o mesmo caso de uso se repete várias vezes. Para parar a simulação, selecione Parar na guia Simulador de ameaça .

Detectando a ameaça: QRadar em ação

O componente Custom Rules Engine (CRE) do QRadar é responsável pelo processamento de eventos e fluxos recebidos. O CRE compara os eventos e fluxos com uma coleção de testes, que são conhecidos como regras, e as regras criam delitos quando condições específicas são atendidas. O CRE rastreia os testes de regra e as contagens de incidentes ao longo do tempo.

Saber que ocorreu um delito é apenas o primeiro passo. O QRadar facilita a realização de uma análise detalhada e a identificação de como aconteceu, onde aconteceu e quem fez isso. Ao indexar o delito, todos os eventos com o mesmo nome de ameaça aparecem como um único delito.

Investigando a ameaça

Para ver a lista do conteúdo do QRadar que contribui com essa simulação, incluindo regras, procuras salvas, ofensas e conjuntos de referência; siga estas etapas:
  1. Abra o app IBM QRadar Experience Center
  2. Na janela Simulador de ameaça, clique no link Ler mais para a simulação e selecione o tipo de conteúdo que você deseja revisar.

    Como alternativa, na guia Atividade de log, é possível executar a procura rápida chamada EC: eventos de ataque direcionado para visualizar todos os eventos que estão associados ao delito.