加密貨幣採礦
加密貨幣是一種數位資產,使用強式加密法來管理金融交易 (例如位元硬幣) 的安全。 加密貨幣不使用集中式數位貨幣或銀行系統。
加密惡意軟體不會竊取個人資料或認證,而是會接管電腦資源,以進行加密貨幣。 在過去幾年,這些類型的攻擊更頻繁地發生,因為罪犯會鎖定端點、伺服器、智慧型手機及其他電子裝置來產生收益。
這些類型的攻擊不只會竊取加密貨幣; IBM® QRadar ® 可協助您保護網路免於遭受加密貨幣攻擊可能導致的後續效能降低、能源成本增加及雲端型網路中的額外伺服器成本。
模擬威脅
加密貨幣採礦 模擬會模擬特洛伊木馬病毒,它會隱藏在從 Kaspersky Security Center 日誌來源收到的事件有效負載中。
- 在 日誌活動 標籤上,按一下 顯示經驗中心。
- 按一下 威脅模擬器。
- 找出 加密貨幣採礦 模擬,然後按一下 執行。
| 內容 | 說明 |
|---|---|
| 事件 | 發現病毒 送入事件的日誌來源與下列範例類似: Experience Center: KasperskySecurityCenter。 |
| 日誌來源 | Experience Center: WindowsAuthServer @ EC: <machine_name> Experience Center: WindowsAuthServer @ EC: <user_name> |
在 日誌活動 標籤上,您可以看到進入 QRadar的 發現病毒 事件。 這些事件指出在事件有效負載中發現病毒或其他類型的惡意軟體。
偵測威脅 :QRadar 在行動中
在此模擬中, Virus found 事件指出從 Experience Center: KasperskySecurityCenter 日誌來源收到的事件有效負載包含病毒。 「自訂規則引擎 (CRE)」會處理事件,這會觸發規則來建立名為 偵測到基於威脅名稱的加密貨幣採礦活動 (Exp Center)的新事件。
為了警告您潛在威脅, CRE 也會建立稱為 偵測到基於威脅名稱的加密貨幣採礦活動 (Exp Center)的攻擊。 攻擊會編製索引,以便將具有相同威脅名稱的所有提供端事件分組成單一攻擊。
調查威脅
下列 IBM QRadar 內容是由 加密貨幣採礦 威脅模擬所建立。 執行模擬之後,您可以使用此內容來追蹤及調查威脅。
| 內容 | 名稱 |
|---|---|
| 已儲存的搜尋 | EC: 加密貨幣採礦 |
| 送入事件 | 發現病毒 送入事件的日誌來源與下列範例類似: Experience Center: KasperskySecurityCenter。 |
| 規則 | 偵測到基於威脅名稱的加密貨幣採礦活動 (Exp Center) |
| 產生的事件 | 偵測到基於威脅名稱的加密貨幣採礦活動 (Exp Center) QRadar 所產生事件的日誌來源是「自訂規則引擎 (CRE)」。 |
| 攻擊 | 偵測到基於威脅名稱的加密貨幣採礦活動 (Exp Center) 攻擊會根據 EC 威脅名稱建立索引; 所有觸發此規則且具有相同威脅名稱的事件都是相同攻擊的一部分。 視執行使用案例之前環境中存在的事件及規則而定,攻擊名稱可能包括 preceded by <offense name> 或 containing <offense name>。 |