SIEM360 - COVID-19 Malware-Erkennung
von Ralph Belfiore
Praxisbeispiel - SIEM360 und Threat Intelligence
In Zeiten von Covid-19 gibt es leider zu diesem Thema auch viele Phishing Attacken. Heute ist es Normalität geworden, Malware über E-Mail zu verteilen. Im folgenden Praxisbeispiel zeigen wir, wie mit Unterstützung und Anreicherung der IBM Force-Feeds Covid-19 Bewegungsmuster überwacht werden können.
XForce Exchange Feed Sammlungen
Im ersten Schritt können über einen XForce-Exchange Zugang eine Vielzahl von kostenfreien Sammlungen gesichtet werden. Wurde ein passender Feed identifiziert, kann dieser als Taxii-Feed abonniert und in das SIEM aufgenommen werden.
Threat-Intelligence App - Feed einrichten
Innerhalb der Threat-Intelligence App werden die Taxii-Feeds konfiguriert. An dieser Stelle kann später überprüft werden, wann welche Feed-Aktualisierungen stattgefunden haben. Über API Codes findet dann eine Zuordnung statt, damit eine regelmäßige Aktualisierung des Feeds eingerichtet werden kann.
Referenz Sets / Listen
Das Abfrage-Ergebnis (Malware URLs, Malware HASHES und Malware IPS) wird dann im SIEM in zugeordneten Listen/ReferenzSets aufgenommen und regelmäßig aktualisiert.
Am I affected?
In einem ersten Schritt kann auch direkt (On-Demand) im XForce-Exchange Zugang über die Funktion “Bin ich betroffen” - sofern konfiguriert und etabliert - geprüft werden, ob bereits Bewegungen im SIEM auftauchen. Das Ergebnis wird nach kurzer Zeit angezeigt und kann weiter verwendet werden.
Beispiel-Regel - COVID-19 IoCs erkennen
In diesem Beispiel-Regel-Aufbau werden die Events gegen die aus dem Feed befüllten Listen/ReferenzSets geprüft. Wird aus dem Covid-19-Feed ein Bewegungsmuster in den überprüften Events identifiziert, wird automatisch als Beispiel-Response eine entsprechende Meldung/IOC mit allen relevanten Informationen der Kategorie "Malware" erzeugt.
Automatisch erkennen und melden - Zusammenfassung
Als erweiterte "Response" auf das Ergebnis dieser Beispiel-Regel kann auch automatisiert eine E-Mail erzeugt werden, damit der erkannte IoC umgehend von einem SOC oder SIEM-Team untersucht und bearbeitet werden kann.