Исследование криптовалюты
Криптовалюта - это цифровой актив, который использует сильную криптографию для управления защитой для финансовых транзакций, например, биткоинов. Криптовалюты не используют централизованные цифровые валюты или банковские системы.
Вместо того, чтобы красть персональные данные или идентификационные данные, ные грамоты, злонамеренное исследование криптовалюты подчиняет себе ресурсы компьютера для добывания криптовалюты. За последние несколько лет атак этого типа происходят всё чаще, поскольку преступники атакуют конечные точки, серверы, смартфоны и другие электронные устройства, чтобы генерировать доход.
Атаки этого типа могут не только красть криптовалюту; IBM® QRadar может помочь вам защитить вашу сеть от последующего падения производительности, увеличения затрат энергии и дополнительных серверных затрат в облачных сетях, которые могут вызвать атаки, связанные с криптовалютой.
Имитация угрозы
Имитация Исследование криптовалюты имитирует вирус троянского типа, похороненный в служебной нагрузке событий, полученной от источника журнала центра защиты Касперского.
- На вкладке Операции журнала щелкните по Показать центр опыта.
- Щелкните по Имитация угрозы.
- Найдите имитацию Исследование криптовалюты и щелкните по Выполнить.
| Содержимое | Описание |
|---|---|
| События | Обнаружен вирус Источник журнала для входящего события выглядит примерно как следующий пример: Центр опыта: KasperskySecurityCenter. |
| Источники журналов | Центр опыта: WindowsAuthServer @ EC: <имя_компьютера> Центр опыта: WindowsAuthServer @ EC: <имя_пользователя> |
На вкладке Операции журнала можно увидеть события Обнаружены вирусы, которые поступают в QRadar. Эти события указывают, что в служебной нагрузке событий обнаружен вирус или другой тип вредоносного ПО.
Обнаружение угрозы: QRadar в действии
В этой имитации событие Найден вирус указывает, что служебная нагрузка событий, полученная из источника журнала Центр опыта: KasperskySecurityCenter, содержит вирус. Механизм пользовательских правил (Custom Rule Engine, CRE) обрабатывает событие, которое инициирует правило, создающие новое событие с именем Обнаружена операция исследования криптовалюты, на основе имени угрозы (Центр опыта).
Чтобы предупредить вас о потенциальной угрозе, CRE также создает нарушение, которое называется Обнаружена операция исследования криптовалюты, на основе имени угрозы (Центр опыта). Нарушение индексируется, чтобы группировать все участвующие события с тем же именем угрозы в одно нарушение.
Исследование угрозы
Следующее содержимое IBM QRadar создается имитацией угроз Исследование криптовалюты. После выполнения имитации можно использовать это содержимое, чтобы отслеживать и расследовать угрозу.
| Содержимое | Имя |
|---|---|
| Сохраненный поиск | EC: Исследование криптовалюты |
| Входящее событие | Обнаружен вирус Источник журнала для входящего события выглядит примерно как следующий пример: Центр опыта: KasperskySecurityCenter. |
| Правило | Обнаружена операция исследования криптовалюты на основе имени угрозы (Центр опыта) |
| Сгенерированное событие | Обнаружена операция исследования криптовалюты на основе имени угрозы (Центр опыта) Источник журнала для событий, которые генерируются QRadar, это Custom Rule Engine (CRE). |
| Нарушение | Обнаружена операция исследования криптовалюты на основе имени угрозы (Центр опыта) Нарушение индексируется на основе пользовательского свойства Имя угрозы EC; все события, инициирующие это правило и имеющие одно и то же имя угрозы, являются частью одного нарушения. В зависимости от событий и правил, существующих в вашей среде перед запуском варианта использования, имя нарушения может содержать перед именем <имя нарушения> или содержит <имя нарушения>. |
Дополнительную информацию смотрите в разделе Исследование угроз в QRadar.