Microsoft, Azure Sentinel Cloud-Yerel Siem'in (Güvenlik Bilgisi ve Etkinlik Yönetimi) platformunun artık füzyon makinesi öğrenme modelini kullanarak potansiyel fidye yazılımı etkinliğini tespit edebileceğini söylüyor.
Azure Sentinel, kurumsal ortamlardaki geniş hacimleri hızlı bir şekilde analiz etmek, potansiyel tehdit aktör aktivitesi için avlanan yerleşik yapay zeka (AI) teknolojisini kullanır.
Aynı zamanda, çok aşamalı saldırı uyarılarını tespit etmek ve tetiklemek için füzyon olarak bilinen makine öğrenme teknolojisini istihdam etmektedir.
Azure Sentinel, sınırlı veya eksik bilgi bulunduğunda bile olayları üretmek için bu uyarıların birkaçını çiftler, aksi halde yakalamalarını zorlaştırır.
Microsoft bugün bulut tabanlı Siem'in artık olası fidye yazılımı saldırıları için füzyon algılamalarını desteklediğini ve muhtemelen fidyeware faaliyeti tespit edilen olaylarla ilgili yüksek ciddiyetleri tetiklediğini açıkladı.
Örneğin, Azure Sentinel, aynı ana bilgisayardaki belirli bir zaman diliminde aşağıdaki uyarıları tespit ettikten sonra fidye yazılım saldırısı olayları oluşturacaktır:
Potansiyel devam eden fidye yazılımı saldırılarını tespit etmek için, Azure Sentinel, aşağıdaki kaynaklardan veri toplamak için aşağıdaki veri konektörlerini kullanabilir: Azure Defender (Azure Security Center), Endpoint için Microsoft Defender, Kimlik için Microsoft Defender, Microsoft Cloud App Security ve Azure Sentinel Zamanlanmış Analytics kuralları.
Microsoft, "Belirli bir zaman dilimi sırasında ortaya çıktıklarında, muhtemelen ransomware faaliyetleri ile ilişkili olan ve bir saldırının yürütülmesi ve savunma kaçırma aşamalarıyla ilişkilendirilmiş olan olaylar için olaylar üretilir" dedi.
"Olayda listelenen uyarıları, saldırganlar tarafından bir ana bilgisayar / cihazdan ödün vermesi ve algılamayı tehlikeye atması için kullanılan teknikleri analiz etmek için kullanabilirsiniz."
Azure Sentinel'de füzyonla tespit edilen bir fidye yazılımı saldırı senaryosunun ardından, yöneticilerin sistemleri "potansiyel olarak tehlikeye giren" olarak değerlendirmeleri ve acil eylemler yapmaları önerilir.
Microsoft, potansiyel saldırı sırasında saldırganlar tarafından kullanılan teknikleri analiz etmek için aşağıdaki önerilen adımları sağlar:
CISA, Microsoft, Google, Amazon ile Fightware ile savaşmak için takımlar
Windows 11, TPM tanılama aracını ilk isteğe bağlı özelliğini yapar
Microsoft, başka bir Windows yazdırma biriktiricisi sıfır gün böcek onaylar
Microsoft, Windows Yazdırma Biriktiricisi PrintNightMare Güvenlik Açığı düzeltti
Accenture, Hackbit Ransomware Veri Kayak Tehditlerinden Sonra Hack'i Onaylar
Kaynak: Bleeping Computer