Detecção de atividades de exfiltração de dados
Quando os atacantes procuram identificar e exfiltrar dados de uma organização-alvo, realizam ataques que contêm três atividades principais: identificação, recolha e preparação de dados para exfiltração.
- A identificação inclui sistemas de análise e observação da atividade do utilizador.
- A recolha inclui a transferência de grandes quantidades de dados de vários repositórios.
- A preparação, ou preparação, inclui mover dados para um local central e comprimí-lo, também codificá-los ou encriptá-los opcionalmente.
Estas pesquisas permitem-lhe detectar e monitorizar comportamentos suspeitos relacionados com estas atividades.
Como utilizar o software Splunk para este caso de utilização
- Exfiltração de DNS utilizando a aplicação NSLOOKUP
- Utilização excessiva da aplicação NSLOOKUP
- Volume elevado de bytes para Url
- Arquivo de upload do Linux Curl
- Funções de invocação do Mailsniper
- Múltiplos ficheiros de arquivo http post tráfego
- Dados exfiltrados HTTP POST simples
Exfiltração da AWS
- Modificação de atributo da AMI da AWS para exfiltração
- AWS Disable Bucket versioning
- Snapshot do AWS EC2 partilhado externamente
- Exfiltração da AWS por meio de atividade anômala da API GetObject
- Exfiltração da AWS via Batch Service
- Exfiltração da AWS via replicação de bucket
- Exfiltração da AWS via DataSync Task
- Exfiltração da AWS via snapshot do EC2
Exfiltração do Google
Exfiltração do O365
- Candidatura O365 Disponível a Outros Inquilinos
- Acionada a regra DLP O365
- Acesso ao correio electrónico O365 por administrador de segurança
- Alerta de exportação PST O365
- Detectar Modificações do Ficheiro Certificado
- Próximos passos
Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização:
- Blogue: Caça às Ameaças com Splunk: Tutoriais práticos para o Caçador Ativo
- Se é um Splunk Enterprise Security cliente, também pode obter ajuda da equipa de Security Research opções de suporte no GitHub .