cómo usar FortiAnalyzer para detectar un ataque de ransomware DearCry

Hola amig@s ​👏​, me llamo Mila Jiménez y hoy me apetecía escribir sobre: ⏬ cómo usar FortiAnalyzer para detectar un ataque de ransomware DearCry

Descripción
Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividades relacionadas con el ataque de ransomware DearCry.

DearCry utiliza vulnerabilidades recientes del servidor MS.Exchange para explotar sus objetivos. Para obtener más información sobre este ataque de ransomware, consulte la publicación del blog de Fortinet:
El nuevo ransomware DearCry apunta a las vulnerabilidades del servidor de Microsoft Exchange

¿Qué está incluido en Fortinet_SOC-DearCry-Ransomware-Detection.zip?

1. Fortinet_SOC-DearCry-Ransomware-Detection.json
Este controlador de eventos ayuda a detectar el ataque de ransomware DearCry basado en las detecciones de FortiGate AV y FortiClient AV.

Estos incluyen las siguientes firmas de virus:

  • W32/QueridoLlor.OGE!tr
  • W32/DearCry.OGE!tr.rescate
  • W32/Filecoder.OGE!tr
  • Posible amenaza.ARN.H
  • W32/Encoder.OGE!tr.rescate
  • W32/Codificador!tr

2) Informe DearCry – Fortinet.dat
Un informe para resumir los hallazgos sobre los ataques DearCry de los registros de FortiGate y FortiClient.

Consulte la sección Solución para obtener instrucciones sobre cómo cargarlos en una unidad FortiAnalyzer.

Alcance
El controlador de eventos personalizado proporcionado se puede usar en FortiAnalyzer 6.2 y FortiAnalyzer 6.4.

Solución
Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descargue Fortinet_SOC-DearCry-Ransomware-Detection.zip archivo (contiene 2 archivos)

2. Descomprimir Fortinet_SOC-DearCry-Ransomware-Detection.zip

3) Usar Fortinet_SOC-DearCry-Ransomware-Detection.json para importar en Controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione Fortinet_SOC-DearCry-Ransomware-Detection.json
EventHandlerList-FortiDemo.png

Resultado: Fortinet_SOC-DearCry-Ransomware-Detection.json está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos

Artículos relacionados  inicie sesión a través del certificado PKI

4) Uso Informe DearCry – Fortinet.dat para importar en Informes
una. Elija un Fabric ADOM (si los ADOM están habilitados)
b. Elija el módulo Informe
C. Seleccione la opción Importar en «Más»
d. Seleccione Informe DearCry – Fortinet.dat

Informe de importación.png

Resultado
: ‘Informe DearCry – Fortinet‘ se puede ejecutar en cualquier momento según lo determine un usuario administrador.

⚙️ Para terminar, felicitarte que hayas leído hasta abajo de este artículo. Ojalá que haya servido de ayuda y que nos vuelvas a visitar pronto.
Si no puedes llegar a la solución a tu problema escribe en la search bar o pregúntanos en la caja de comentarios.
¡Un placer!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *