Atak ukierunkowany

IBM® QRadar ® może pomóc w wykrywaniu docelowych zagrożeń, na przykład w sytuacji, gdy pracownik nieświadomie otwiera załącznik w wiadomości e-mail z phishingem.

W przypadku użycia produktu Atak ukierunkowany plik, który jest pobierany z wiadomości e-mail z phishingami, powoduje złośliwe oprogramowanie, które zaraża stacją roboczą pracownika, a także nawiązywanie połączenia z serwerem komend i sterowania (C & C). Atakujący korzysta z zainfekowanej stacji roboczej, aby poruszać się w obrębie infrastruktury sieciowej, szukając krytycznego majątku firmy.

W przypadku zapory firewall między zainfekowaną stacją roboczą a siecią serwera program QRadar wykrywa nadmierną liczbę zapory firewall, a następnie generuje wykroczenie. Po zakończeniu ataku program QRadar wykrywa również, że lokalne połączenie z bazą danych zostało nawiązane z serwerem udostępniającego newralgiczne dane oraz że zainfekowana stacja robocza jest teraz używana do pobierania danych z tego serwera. Wszystkie te wydarzenia są połączone w jedno wykroczenie do śledztwa.

Symulowanie zagrożenia

Aby sprawdzić, w jaki sposób program QRadar wykryje atak, obejrzyj film wideo z symulacji Atak ukierunkowany .

Aby uruchomić symulację w programie QRadar, należy wykonać następujące czynności:
  1. Na karcie Aktywność dziennika kliknij opcję Pokaż centrum doświadczenia.
  2. Kliknij przycisk Symulator zagrożenia.
  3. Znajdź symulację Atak ukierunkowany i kliknij przycisk Uruchom.
Na karcie Aktywność dziennika można wyświetlić następujące zdarzenia przychodzące, które są używane do symulowania przypadku użycia:
Tabela 1. Zdarzenia przychodzące dla przypadku użycia ataku na Targowanie
Sieć Opis
Wydarzenia Błędne żądanie GET

Kropla firewalla

USTAL

Otwarcie sesji SFTP

Sesja SFTP została zamknięta
Źródła dzienników Centrum doświadczenia: Bluecoat @ bluecoat.think2019.test

Centrum doświadczenia: punkt kontrolny @ checkpoint.firewall-1.test.com

Centrum doświadczenia: Oracle DB @ 192.168.15.125

Centrum doświadczenia: LinuxOS @ 192.168.15.25

Zdarzenia są powtarzane w pętli, a ten sam przypadek użycia powtarza się wiele razy. Aby zatrzymać symulację, kliknij opcję Zatrzymaj na karcie Symulator zagrożenia .

Wykrywanie zagrożenia: QRadar w działaniu

Komponent niestandardowego mechanizmu reguł (Custom Rules Engine-CRE) produktu QRadar jest odpowiedzialny za przetwarzanie przychodzących zdarzeń i przepływów. CRE porównuje zdarzenia i przepływy z kolekcją testów, które są określane jako reguły, a reguły tworzą obrazy, gdy spełnione są określone warunki. CRE śledzi testy reguł i liczbę incydentów w czasie.

Świadomość, że nastąpiło wykroczenie, jest tylko pierwszym krokiem. QRadar ułatwia przeprowadzenie dogłębnej analizy i określenie, jak to się stało, gdzie się stało i kto to zrobił. Indeksowanie wykroczenia powoduje, że wszystkie zdarzenia o takiej samej nazwie zagrożenia pojawiają się jako pojedyncze wykroczenie.

Badanie zagrożenia

Aby wyświetlić listę treści produktu QRadar , która ma wpływ na tę symulację, w tym reguły, zapisane wyszukiwania, wykroczenia i zestawy odwołań, należy wykonać następujące czynności:
  1. Otwórz aplikację IBM QRadar Experience Center .
  2. W oknie Symulator zagrożenia kliknij odsyłacz Czytaj więcej dla symulacji, a następnie wybierz typ treści, która ma zostać przejrzana.

    Alternatywnie na karcie Aktywność dziennika można uruchomić szybkie wyszukiwanie o nazwie EC: Tartowane zdarzenia ataku , aby wyświetlić wszystkie zdarzenia, które są powiązane z przestępczym.