Skip to main content
Lanterna Home

Splunk Lantern

Detecção de infecções por ransomware ReVil

  1. Last updated
  2. Save as PDF

Trabalha para um Provedor de Segurança Gerenciado (MSP). Um utilizador da sua organização liga o seu ambiente de trabalho uma manhã e é saudado por uma mensagem a afirmar que os ficheiros no sistema foram encriptados e que o pagamento deve ser feito para recuperar os ficheiros. Descobre que o Kaseya VSA, software de gestão de monitorização remota (RMM) utilizado pela sua organização e outros MSPs, foi comprometido pelo ransomware REvil e está a ser utilizado para distribuir ransomware aos seus clientes locais. Ouvimos dizer que a infecção está a espalhar-se até a outras organizações que não usam o Kaseya. Como analista de segurança, é o seu objetivo investigar o ransomware tentando reconstruir os eventos que levaram à infecção do sistema. Também pretende compreender todo o âmbito da falha de segurança e evitar que sistemas adicionais sejam infetados.

Como utilizar o software Splunk para este caso de utilização

Você pode usar o software Splunk para investigar programas ou binários executados no sistema infectado, examinar as conexões que a máquina infectada tinha com outros dispositivos de rede, construir uma linha do tempo de eventos e criar diagramas de fluxo de tráfego para ajudar a visualizar o que aconteceu.

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Se algum resultado indicar que a infecção foi detectada, o sistema anfitrião ou o computador onde a vulnerabilidade foi detectada terá de ser investigado e remediado de acordo com o seu plano de resposta. Isso envolve uma etapa final de re-imagem do sistema com uma construção de sistema em boas condições após investigação.

Estes recursos adicionais poderão ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.