Hallo,
ich bin gerade dabei einen Ransomwarecheck (für) arme einzurichten.
Über den fileinfo check werden ein paar Dateien überwacht und falls diese verschlüsselt werden bekomme ich eine Meldung.
Jetzt möchte ich gerne von unserer Firewall (UTM) das Internet Interface mit einer Upload Datenübertragungsrate überwachen.
Hintergrund ist das ja anscheinend Daten abgezogen werden bevor man diese dann verschlüsselt.
Wie stelle ich das am dümmsten an oder was habt ihr so für Strategien?
LG
Hallo,
wenn man nicht gerade an ein SIEM denkt, wird es nicht ganz so leicht es mit checkmk umzusetzen.
Die Überwachung mittels fileinfo ist eine gute Idee, aber leider nicht proaktiv, denn du hast die Ransomware schon auf deinem System. Damit stellst du höchstes noch fest welche Systeme betroffen sind.
Für das Erfassen ob Daten abfließen, ist eine Netflow Überwachung hilfreich. Wenn du es mit Bordmitteln versuchen möchtest, schau mal ob die die UTM , zusätzlich zur Upload Bandbreite auch die Top Targets ausgeben kann, entweder via API oder SNMP. Hier wäre eine Analyse via Log Management, z.B. ELK hilfreich, den über die UTM Logs würdest du auch die Talker nach außen mitbekommen.
Viele Grüße,
Christian
Herzlichen Dank,
mir ist Bewusst das fileinfo meldet wenn es “zu spät” ist aber ich kann dann ggf. schneller reagieren als das ganze Wochenende zu verschlafen um Montags dann mit großen Augen vor dem Fileserver zu stehen;)
Mir geht es “nur” da um Schadensbegrenzung.
SIEM, ELK sagt mir alles nichts. Die Überwachung via snmp bring ja nicht so viel bei der UTM aber API könnte ich mal prüfen. Generell dachte ich aber daran auf dem FW Host das bestimmte Iface zu überwachen und bei der Überschreitung eines Grenzwertes einen Alarm zu bekommen.
LG
Hi,
ELK ist der Stack Aus Elasticsearch, Logstash und Kibana für das Log Management. Über Module lassen sich da auch Flows ermitteln. Eine Anbindung an checkmk kann mach auch erstellen.
SIEM steht für Security Information and Eventmanagement und umfaßt meist eine Lösung zum erkennen von Angriffen. Besteht meist aus einem Log Management, einer Konsole und Regelsätze zum erkennen von Angriffen. Ein gutes SIEM sollte auch über eine Deep Package Analyse verfügen, um auch Netzwerk Ereignisse zu untersuchen.
LG
Danke!
ich glaube dafür ist meine Struktur viel zu klein. Mal sehen, wie gesagt ein check im Monitoring wäre das beste für mich. Vielleicht bring die REST API etwas oder ich bastel mir einen manuellen check noch dazu.
Danke nochmals
LG
Hallo,
wenn es um Windwos System gibt kann man wohl mit Windows Bordmitteln mittlerweile einiges erreichen.
Bei Bedarf frage ich bei unsern Win-Admins mal nach.
Gruß
Ralf
Herzlichen Dank,
nehme gerne Tipps in dieser Richtung an!
LG
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.