HOME > 最新消息> 品牌新訊

使用 Splunk 快速輕鬆地檢測勒索軟體

2020/05/12

對於某些組織來說,支付贖金比從備份還原更具成本效益。我們最近發現它不再簡單地加密檔案。現在勒索軟體增加了一個推波階段,這實際上破壞了組織使用 Windows 系統還原功能的能力。這還不夠,如果贖金不迅速支付,敏感檔案也會被洩露並公開發佈。

怎麼能幫我阻止它呢? Splunk為客戶提供數百個用例來支援他們,包括勒索軟體偵測。在收到如下所示的說明之前,讓我們先瞭解一下在 Splunk 中檢測勒索軟體感染的一些方法:




安全資訊事件管理 (SIEM) 是任何安全營運中心 (SOC) 的核心和大腦。如果您使用 Splunk 企業安全 (Enterprise Security ES)作為您的 SIEM 平臺,您還可以存取ES 內容更新

Splunk ES 內容更新 (ES Content Update CU) 應用提供預先打包好的安全內容。 ESCU 提供定期的安全內容更新,以説明安全從業人員解決當前時間敏感的威脅、攻擊方法和其他安全問題。 

ES 內容更新提供了 35 個勒索軟體用例。 為了簡潔起見,我們將重點介紹一個 —刪除陰影副本。較新的勒索軟體更進化以確保 Windows 受害者在面對支付贖金要求時別無選擇。作為攻擊的推波階段的一部分,勒索軟體利用 Windows 實用程式 vssadmin.exe 刪除卷副本,使它們不能用於恢復檔案。快速檢測此活動提供了中斷勒索軟體終止鏈、將數據從被扣為人質或泄露的機會。 

下面的應用程式的快照提供了用例的描述,包括「Explain It Like I'm 5」格式。 它還包括此檢測在 Mitre ATT&CK 框架洛克希德馬丁殺傷鏈中的位置,以及使用哪些數據模型以及檢測此活動所需的事件源。請注意,終結點事件對於此檢測至關重要。 (需要良好的 Windows 終端事件收集工具? 看看微軟的 Sysmon  - 它是免費的! )





您有應用程式和內容,現在您如何操作它? 標記為「Configure」的按鈕會自動生成相關規則,以便在企業安全中快速啟用此檢測。  





現在,您已經檢測到位,如果你想更進一步,利用自動化來阻止/包含/補救,請參閱我們的博客文章,利用 Splunk Phantom 做到這一點,「行動手冊:檢測、阻止、遏制和修復勒索軟體」。 

如果您現在不使用 Splunk 企業安全版,請參加導覽遊並獲得免費沙箱實例以進行試駕。如果您現在使用的是 ES,請下載並安裝 ES 內容更新應用,並隨時瞭解最新威脅。