Attacco mirato

IBM® QRadar® consente di rilevare minacce mirate, ad esempio quando un dipendente apre inconsapevolmente un allegato in una email di phishing.

Nel caso di utilizzo Attacco Mirato , viene stabilito un file che viene scaricato da un'email di phishing in malware che infetta una workstation del dipendente e una connessione ad un server di Comando e controllo (C & C). L'aggressore utilizza la workstation infetta per spostarsi lateralmente all'interno dell'infrastruttura di rete, alla ricerca di asset aziendali critici.

Con un firewall in atto tra la workstation infetta e la rete del server, QRadar rileva un numero eccessivo di eventi di rifiuto del firewall e genera un'offensiva. Mentre l'attacco continua, QRadar rileva anche che è stata stabilita una connessione al database locale a un server che ospita dati critici e che la workstation infetta è ora utilizzata per scaricare i dati da tale server. Tutti questi eventi sono incatenati in un'unica offesa per le indagini.

Simulazione della minaccia

Per vedere in che modo QRadar rileva l'attacco, guarda il video di simulazione Attacco mirato .

Per eseguire la simulazione in QRadar, attenersi alla seguente procedura:
  1. Nella scheda Attività di registrazione , fare clic su Mostra di Experience Center.
  2. Fare clic su Simulatore di minaccia.
  3. Individuare la simulazione Attacco Mirato e fare clic su Esecuzione.
Nella scheda Attività di registrazione è possibile visualizzare i seguenti eventi in entrata che vengono utilizzati per simulare il caso di utilizzo:
Tabella 1. Eventi in arrivo per il caso di utilizzo dell'attacco mirato
Contenuto Descrizione
Eventi Richiesta GET di errore

Drop Drop

STABILIRE

Apertura sessione SFTP

Sessione SFTP Chiusa
Origini log Centro di esperienza: Bluecoat @ bluecoat.think2019.test

Centro di esperienza: Checkpoint @ checkpoint.firewall-1.test.com

Centro di esperienza: Oracle DB @ 192.168.15.125

Centro di esperienza: LinuxOS @ 192.168.15.25

Gli eventi giocano in un loop e lo stesso caso di utilizzo si ripete più volte. Per arrestare la simulazione, fare clic su Stop nella scheda Simulatore di minaccia .

Rilevamento della minaccia: QRadar in azione

Il componente CRE (Custom Rules Engine) di QRadar è responsabile dell'elaborazione di eventi e flussi in entrata. Il CRE confronta gli eventi e i flussi contro una raccolta di test, che sono noti come regole, e le regole creano offensive quando vengono soddisfatte condizioni specifiche. Il CRE traccia i test di regola e l'incidente conta nel tempo.

Sapere che un'offesa si è verificata è solo il primo passo. QRadar rende più semplice l'analisi approfondita e l'identificazione di come è accaduto, dove è accaduto e chi lo ha fatto. Indicizzando l'offesa, tutti gli eventi con lo stesso nome di minaccia appaiono come un'unica offesa.

Investigare la minaccia

Per visualizzare l'elenco del contenuto QRadar che contribuisce a questa simulazione, incluse le regole, le ricerche salvate, le offensive e le serie di riferimento, attenersi alla seguente procedura:
  1. Apri l'app IBM QRadar Experience Center .
  2. Nella finestra Simulatore di minaccia , fare clic sul link Read More per la simulazione e selezionare il tipo di contenuto che si desidera rivedere.

    In alternativa, dalla scheda Attività di registrazione è possibile eseguire la ricerca rapida denominata CE: Eventi di attacco mirati per visualizzare tutti gli eventi associati all'offensiva.