Атака в облаке AWS

IBM® QRadar помогает отслеживать облачную среду Amazon Web Services (AWS), чтобы можно было быстро обнаружить неправильную конфигурацию риска, целевые угрозы и эксплуатацию облачных ресурсов.

Вариант использования Атака в облаке AWS показывает, как QRadar обнаруживает подозрительный вход в систему Amazon Web Services (AWS), после чего следует создать большой объем экземпляров Amazon Elastic Compute Cloud (EC2), а также потенциальную фильтрацию данных из пакета Amazon Simple Storage Service (S3).

Имитация атаки начинается с информационного сообщения почтового сервера, что указывает на потенциальное нежелательное сообщение электронной почты с подозрительным вложением. Вскоре после открытия вложения QRadar обнаруживает ряд событий, которые способствуют одному нарушению, что может указывать на то, что происходит активная угроза.

Имитация угрозы

Чтобы узнать, как QRadar обнаруживает атаку Атака AWS в облаке, смотрите видео имитации Атака AWS в облаке.

Чтобы выполнить имитацию в QRadar, сделайте следующее:
  1. На вкладке Операции журнала щелкните по Показать центр опыта.
  2. Щелкните по Имитация угрозы.
  3. Найдите имитацию AWS: Атака в облаке и щелкните по Выполнить.
На вкладке Операции журнала можно увидеть следующие входящие события, используемые для имитации варианта использования:
Табл. 1. Входящие события для варианта использования AWS Cloud Attack
Содержимое Описание
События Информационное сообщение почтового сервера

Создать процесс

Вход в консоль

Выполнить экземпляры

Список комплектов

Получить объект
Источники журналов Центр опыта: WindowsAuthServer @ IE8WIN7

Центр опыта: AWS Syslog @ 192.168.0.17

Центр опыта: Cisco IronPort @ 192.168.0.15

События воспроизводятся в цикле, и тот же самый вариант использования повторяется многократно. Чтобы остановить имитацию, щелкните по Остановить на вкладке Симулятор угроз.

Обнаружение угрозы: QRadar в действии

Компонент Механизм пользовательских правил (Custom Rules Engine, CRE) QRadar отвечает за обработку входящих событий и потоков. CRE сравнивает события и потоки с собранием тестов, которые известны как правила, и правила создают нарушения при выполнении определенных условий. CRE отслеживает тесты правил и число инцидентов со временем.

Узнать о том, что произошло нарушение - это только первый шаг. QRadar помогает вам проводить углубленный анализ и узнать, как это произошло, где это произошло и кто это сделал. Благодаря индексации нарушения все события с таким именем угрозы появляются как одно нарушение.

Исследование угрозы

Чтобы увидеть список содержимого QRadar, который вносит вклад в эту имитацию, включая правила, сохраненные поиски, нарушения и наборы ссылок, сделайте следующее:
  1. Откройте приложение IBM QRadar Experience Center.
  2. В окне Имитатор угроз щелкните по ссылке Читать дальше для имитаций и выберите тип содержимого, который вы хотите проверить.

    Другой вариант - на вкладке Операции журнала можно запустить быстрый поиск с именем EC: События атаки в облаке AWS, чтобы увидеть все события, связанные с нарушением.

Чтобы найти дополнительную информацию о том, как использовать QRadar для расследования нарушений, смотрите раздел Расследование угроз в QRadar.