Wazuh – Scovare e prevenire attacchi ransomware – Part 3

Published by Lello on

Vediamo come definire alerting e trigger per avvisare e prevenire l’attacco ransomware in corso.

    Cominciamo a definire un monitor per definire il momento in cui vengono aggiunti nuovi files alla nostra struttura di test; apriamo OpenDistro, andiamo nella sezione di Alerting e definiamo il seguente monitor:

    Wazuh Ransomware - 3

    A partire da questo monitor (file creati), impostiamo un trigger che setta la condizione su 100 eventi attivati (chiaramente parametro da regolare in base alle reali esigenze e necessità):

    Wazuh Ransomware - 4

    Analogamente, creiamo un monitor per i files cancellati e il corrispondente trigger:

    Wazuh Ransomware - 5

    Wazuh Ransomware - 6

    Quando tutto è normale, entrambi i monitor risulteranno non attivi (Active=0) o se ne attiverà solo uno in casi particolari:

    Wazuh Ransomware - 7

    Quando Wazuh rileverà un attacco, entrambi i monitor saranno attivi contemporaneamente:

    Wazuh Ransomware - 8

    … e verranno generati i corrispondenti alerts:

    Wazuh Ransomware - 9

    Vediamo nel dettaglio anche i monitor per capire quando è cominciato l’attacco:

    Wazuh Ransomware - 11Wazuh Ransomware - 10

    Potremmo ora inviare questi alert a servizi di terze parti (Amazon Chime, Slack, ServiceNow o un webhook personalizzato) o semplicemente inviare un’email per attivare una response non in realtime.

    Per essere più reattivi, potremmo anche bloccare l’attacco in corso creando delle regole personalizzate e moduli di active-response.

    ← Wazuh – Scovare e prevenire attacchi ransomware – Part 2

    Wazuh – Scovare e reagire ad un attacco Shellshock →