开源新的冠状病毒威胁情报

2020-05-20 10:08:22

跳到主要内容全球威胁需要全球响应。当世界面临冠状病毒的共同威胁时,防御者正在加班加点地工作,以保护全球用户免受网络犯罪分子的利用,以冠状病毒为诱饵发动攻击。作为一个安全情报社区,当我们分享能够更全面地了解攻击者转移技术的信息时,我们就会变得更强大。这一更完整的视图使我们所有人都能够更主动地保护、检测和防御攻击。

在微软,我们的安全产品提供针对这些和其他威胁的内置保护,并且我们已经发布了详细的指导来帮助组织对抗当前的威胁(共同应对冠状病毒)。我们的威胁专家正在分享恶意诱饵的例子,我们已经使用Azure Sentinel笔记本实现了对COVID主题威胁的引导狩猎。Microsoft每天处理数万亿个跨身份、端点、云、应用程序和电子邮件的信号,从而提供对各种冠状病毒主题攻击的可见性,使我们能够在整个安全堆栈中检测、保护和响应这些攻击。今天,我们将我们的冠状病毒威胁情报共享更进一步,将我们自己的一些指标公开提供给那些尚未受到我们的解决方案保护的人。Microsoft Threat Protection(MTP)客户已经通过Microsoft Defender Advanced Threat Protection(ATP)和Office 365 ATP电子邮件跨多个端点防御这些指标识别的威胁。

此外,我们正在为那些不受Microsoft Threat Protection保护的人发布这些指标,以提高人们对攻击者技术变化的认识,如何识别他们,以及如何启用您自己的自定义狩猎。这些指标现在有两种方式可用。它们可以在Azure Sentinel GitHub和Microsoft Graph Security API中获得。对于使用MISP存储和共享威胁情报的企业客户,可以通过MISP馈送轻松使用这些指示器。

此威胁情报供更广泛的安全社区以及希望执行额外搜索的客户使用,因为我们都在防御试图利用COVID危机进行攻击的恶意行为者。

这一特定于COVID的威胁情报馈送代表着共享一些与Microsoft COVID相关的IOC的开始。我们将继续探索在危机期间改善数据的方法。虽然一些威胁和行为者仍然最好是更谨慎地防御,但我们致力于提高透明度,并就哪些类型的信息对防御者最有用,以保护防御者免受与COVID相关的威胁,并听取社区反馈。这是一个有时间限制的订阅源。我们将在疫情爆发高峰期保持这一馈送,以帮助各组织专注于恢复工作。

今天的版本包括与基于电子邮件的附件相关的文件散列指示器,这些附件被识别为恶意的,并试图用冠状病毒或冠状病毒主题的诱饵欺骗用户。下面的指南提供了有关如何在您自己的环境中访问和集成此提要的说明。

对于Azure Sentinel客户,这些指示器可以使用行动手册直接导入Azure Sentinel,也可以通过查询直接访问。

Microsoft创作的Azure Sentinel行动手册将持续监控这些指示器,并将其直接导入到您的Azure Sentinel ThreatSmarenceIndicator表中。本攻略将与您的事件数据相匹配,并在内置威胁情报分析模板检测到与这些指标关联的活动时生成安全事件。

Azure Sentinel GitHub中还提供了示例检测查询。使用上面的表定义,它非常简单:

covidIndicators|Join(CommonSecurityLog|WHERE TimeGenerated>;=ago(7d)|WHERE isnotempty(FileHashValue))on$left.FileHashValue==$right.FileHash。

然后,选择“新建警报规则”,将Azure Sentinel配置为根据返回结果的查询引发事件。

您应该开始在Azure Sentinel中看到与这些COVID威胁指示器相关的任何检测到的警报。

Microsoft Threat Protection为与这些指标关联的威胁提供保护。Office 365 ATP和Microsoft Defender ATP会阻止使用这些冠状病毒主题指示器的攻击。

虽然MTP客户已经受到保护,但他们还可以通过MTP高级寻线功能将这些指示器用于其他寻线方案。

下面是一个搜索查询,用于查看是否有任何进程创建了与列表上的散列匹配的文件。

让covidIndicators=(External alData(TimeGenerated:DateTime,FileHashValue:String,FileHashType:String)[@";https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/Microsoft.Covid19.Indicators.csv";]with(Format=";csv";))|WHERE文件HashType=';sha256';和TimeGenerated&>;过去(1D);covidIndicators|JOIN(设备文件事件|WHERE TIMESTAMP&>AGO(1D)|WHERE Acc。|在$left.FileHashValue上取100)==$right.SHA256

这是MTP中的高级寻线查询,用于搜索指示器列表上附件的任何收件人,并查看其计算机上最近是否发生了任何异常登录。虽然MTP阻止了COVID威胁,但这些威胁的目标用户可能面临与COVID无关的攻击风险,并且MTP能够跨设备和电子邮件加入数据进行调查。

让covidIndicators=(外部数据(TimeGenerated:DateTime,FileHashValue:String,FileHashType:String))与[@";https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/Microsoft.Covid19.Indicators.csv";](Format=";csv&34;)|where FileHashType=';sha256';and TimeGenerated>;ago(1D);covidIndicators|Join(*EmailAttachmentInfo)|WHERE Timestamp>;在$left.FileHashValue==$right.SHA256上的AGO(1D)|项目NetworkMessageId|项目TimeEmail=Timestamp,Subject,SenderFromAddress,AccountName=tostring(Split(RecipientEmailAddress,";@";)[0])|JOIN(DevEmail。90分钟)|10分钟。

发布在Azure Sentinel GitHub页面上的指标可以通过MISP的提要功能直接使用。我们已经在以下网址发布了有关此操作的详细信息:https://aka.ms/msft-covid19-misp.。有关连接来自威胁情报提供商的数据的信息,请参阅Azure Sentinel文档。

以下是使用电子邮件附件的COVID主题网络钓鱼诱饵类型的一个小示例集,该电子邮件附件将在此提要中显示。在每个屏幕截图下面是相关的散列和元数据。

图1:使用恶意.gz文件的“治愈”和“疫苗”消息欺骗世卫组织品牌。

微软是网络安全领域的领导者,我们肩负起让世界变得更安全的责任。

了解更多信息Microsoft Security入门