Minage de cryptomonnaie
Une cryptomonnaie est un actif numérique qui utilise une cryptographie forte pour gérer la sécurité des transactions financières (les bitcoins, par exemple). Les cryptomonnaies n'utilisent pas de systèmes bancaires et de devises numériques centralisés.
Au lieu de voler des données d'identification ou des données personnelles, les logiciels malveillants de crypto-minage (cryptomining) prennent le contrôle des ressources informatiques afin de rechercher de la cryptomonnaie. Au cours des dernières années, ces types d'attaque se sont intensifiées car les criminels ciblent des noeuds finaux, des serveurs, des smartphones et d'autres périphériques électroniques pour s'enrichir.
Ces types d'attaques peuvent faire plus que voler de la cryptomonnaie ; IBM® QRadar® peut vous aider à protéger votre réseau contre les ralentissements de performance ultérieurs, les coûts énergétiques accrus et les coûts de serveur supplémentaires dans les réseaux basés sur le cloud que les attaques de cryptomonnaies peuvent entraîner.
Simulation de la menace
La simulation Cryptocurrency mining simule un virus de type Cheval de Troie dissimulé dans un contenu d'événement reçu par une source de journal Kaspersky Security Center.
- Dans l'onglet Activité du journal , cliquez sur Afficher Experience Center.
- Cliquez sur Simulateur de menaces.
- Localisez la simulation Cryptocurrency mining et cliquez sur Exécuter.
| Contenu | Descriptif |
|---|---|
| Evénements | Virus trouvé La source de journal pour l'événement entrant est similaire à l'exemple suivant : Experience Center: KasperskySecurityCenter. |
| Sources de journal | Experience Center : WindowsAuthServer @ EC : <machine_name> Experience Center : WindowsAuthServer @ EC : <user_name> |
Dans l'onglet Activité du journal , vous pouvez voir les événements Virus found qui arrivent dans QRadar. Ces événements indiquent qu'un virus ou un autre type de logiciel malveillant a été détecté dans l'événement.
Détection de la menace : QRadar en action
Dans cette simulation, l'événement Virus found indique que l'événement provenant de la source de journal Experience Center: KasperskySecurityCenter contient un virus. Le composant CRE (Custom Rule Engine) traite l'événement, ce qui déclenche une règle créant un événement nommé Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center).
Pour vous avertir d'une menace potentielle, le composant CRE crée également une infraction appelée Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center). L'infraction est indexée. Ainsi, tous les événements ayant contribué aux événements et ayant le même nom de menace sont rassemblés dans une seule infraction.
Examen de la menace
Le contenu IBM QRadar suivant est créé par la simulation de menace Cryptocurrency Mining . Une fois que vous avez exécuté la simulation, vous pouvez utiliser ce contenu pour effectuer le suivi de la menace et examiner cette dernière.
| Contenu | Nom |
|---|---|
| Recherche sauvegardée | EC: Extraction de Cryptocurrency |
| Evénement entrant | Virus trouvé La source de journal pour l'événement entrant est similaire à l'exemple suivant : Experience Center: KasperskySecurityCenter. |
| Règle | Détection d'une activité d'exploration de cryptocurance basée sur un nom de menace (Centre Exp) |
| Evénement généré | Détection d'une activité d'exploration de cryptocurance basée sur un nom de menace (Centre Exp) La source de journal des événements générés par QRadar est le moteur de règles personnalisées (CRE). |
| Infraction | Détection d'une activité d'exploration de cryptocurance basée sur un nom de menace (Centre Exp) L'infraction est indexée en fonction du nom de la menace EC; tous les événements qui déclenchent cette règle et qui ont le même nom de menace font partie de la même infraction. Selon les événements et les règles qui existent dans votre environnement avant d'exécuter le cas d'utilisation, le nom de la violation peut inclure précédé de <offense name> ou contenir <offense name>. |