Wazuh – Scovare e prevenire attacchi ransomware – Part 3

Vediamo come definire alerting e trigger per avvisare e prevenire l’attacco ransomware in corso.

Cominciamo a definire un monitor per definire il momento in cui vengono aggiunti nuovi files alla nostra struttura di test; apriamo OpenDistro, andiamo nella sezione di Alerting e definiamo il seguente monitor:

A partire da questo monitor (file creati), impostiamo un trigger che setta la condizione su 100 eventi attivati (chiaramente parametro da regolare in base alle reali esigenze e necessità):

Analogamente, creiamo un monitor per i files cancellati e il corrispondente trigger:

Quando tutto è normale, entrambi i monitor risulteranno non attivi (Active=0) o se ne attiverà solo uno in casi particolari:

Quando Wazuh rileverà un attacco, entrambi i monitor saranno attivi contemporaneamente:

… e verranno generati i corrispondenti alerts:

Vediamo nel dettaglio anche i monitor per capire quando è cominciato l’attacco:

Potremmo ora inviare questi alert a servizi di terze parti (Amazon Chime, Slack, ServiceNow o un webhook personalizzato) o semplicemente inviare un’email per attivare una response non in realtime.

Per essere più reattivi, potremmo anche bloccare l’attacco in corso creando delle regole personalizzate e moduli di active-response.

← Wazuh – Scovare e prevenire attacchi ransomware – Part 2

Wazuh – Scovare e reagire ad un attacco Shellshock →