AWS Bulut Saldırısı

IBM® QRadar ® , Amazon Web Services (AWS) bulut ortamınızı izlemenize yardımcı olur; böylece yüksek riskli yapılandırma, hedeflenen tehditler ve bulut kaynaklarının sömürülmesini hızlı bir şekilde saptayabilirsiniz.

The AWS Bulut saldırısı use case shows how QRadar detects a suspicious login to Amazon Web Services (AWS), followed by the creation of a high volume of Amazon Elastic Compute Cloud (EC2) instances, and the potential data exfiltration from an Amazon Simple Storage Service (S3) bucket.

Benzetimli saldırı, şüpheli bir eke sahip olası bir istenmeyen e-posta e-postasını gösteren posta sunucusu bilgileri iletisiyle başlar. Ek açıldıktan kısa bir süre sonra, QRadar , tek bir hücuma katkıda bulunan bir dizi olay algılar ve bu da etkin bir tehdidin oluştuğunu gösterebilir.

Tehdidin simülasyonu

QRadar 'ın AWS Cloud Attack' ı nasıl algıladığını görmek için, AWS Cloud Attack benzetimi videosunu izleyin.

Benzetimi QRadariçinde çalıştırmak için aşağıdaki adımları izleyin:
  1. Günlük Etkinliği sekmesinde Deneyim Merkezini Göstersimgesini tıklatın.
  2. Tehdit benzetimiöğesini tıklatın.
  3. AWS Cloud Attack benzetimini bulun ve Run(Çalıştır) seçeneğini tıklatın.
On the Günlük Etkinliği tab, you can see the following incoming events that are used to simulate the use case:
Tablo 1. AWS Cloud Attack kullanım senaryosına ilişkin gelen olaylar
İçindekiler Açıklama
< Posta Sunucusu Bilgi İletisi

Yaratma İşlemi

Konsol Oturumu Açma

Örnekleri Çalıştır

Liste Kovaları

Nesne Al
Günlük kaynakları Experience Center: WindowsAuthServer @ IE8WIN7

Experience Center: AWS Syslog @ 192.168.0.17

Deneyim Merkezi: Cisco IronPort @ 192.168.0.15

Bir döngüde gerçekleşen olaylar ve aynı kullanım senaryosu birden çok kez yinelenir. Benzetimi durdurmak için Tehdit benzetimi etiketindeki Durdur simgesini tıklatın.

Tehdit algılanıyor: QRadar in işlemi

QRadar ' in Custom Rules Engine (CRE) bileşeni, gelen olayların ve akışların işlenmesinden sorumludur. CRE, olayları ve akışları, kural olarak bilinen bir sınama derlemine göre karşılaştırır ve belirli koşullar karşılandığında kurallar, hücumlar oluşturur. CRE kural testlerini izler ve olay zaman içinde sayılır.

Bir hücumun meydana geldiğini bilmek sadece ilk adımdır. QRadar , derinlemesine bir çözümleme dalışılması ve bunun nasıl olduğunu, nerede olduğunu ve kimin yaptığını tanımlamanızı kolaylaştırır. Hücumu dizinleyerek, aynı tehdit adına sahip tüm olaylar tek bir hücum olarak görünür.

Tehdidin araştırılıyor

Kurallar, saklanmış aramalar, hücumlar ve başvuru kümeleri de dahil olmak üzere bu benzetime katkıda bulunan QRadar içeriğinin listesini görmek için aşağıdaki adımları izleyin:
  1. IBM QRadar Experience Center uygulamasını açın.
  2. Tehdit benzetimi penceresinde, benzetimler için Daha Fazla Okuma bağlantısını tıklatın ve gözden geçirmek istediğiniz içerik tipini seçin.

    Alternatively, from the Günlük Etkinliği tab, you can run the quick search called EC: AWS Bulut Saldırı Olayları to view all events that are associated with the offense.