关于安全,你会经常听到,“边收集边保护”
现在,elastic通过保护你免受勒索软件攻击的保护,使这成为可能
让我们了解一下如何启用elastic勒索软件保护
以及它如何使用行为而不是签名来阻止大规模威胁
关于安全,你会经常听到
“边收集边保护”
现在,elastic通过保护你免受勒索软件攻击的保护
使这成为可能
勒索软件攻击增加
并困扰着商业运营
影响日常生活的东西
让我们了解一下如何启用elastic勒索软件保护
以及它如何使用行为而不是签名来阻止大规模威胁
启用勒索软件保护很容易
勒索软件保护是
elastic agent与终端安全集成提供的一个功能
并且可供白金许可证用户使用
从概述选项卡和elastic security开始
首先,导航到管理页面
接下来,单击集成策略列下列出的策略
位于Endpoint部分
在我们的示例中,策略名为endpoint
您的策略名称将根据您的设置而有所不同
在创建策略期间
屏幕显示此策略的当前配置
在protections之下
您可以看到恶意软件和勒索软件
当前已启用
从这个屏幕
您可以调整保护级别
选择检测或防止
用于勒索软件保护
我们对此高度鼓励
将保护级别设置为防止
接下来,启用
或禁用用户通知消息
并自定义通知消息
向下滚动并保存您的更改
就这样了
现在,我们已为windows终端设置勒索软件保护。
现在,让我们讨论勒索软件如何保护您的网络
Elastic security采用分层防御策略
从Elastic终端集成开始
在elastic agent中,
使用机器学习恶意软件模型
对恶意文件警报进行分类的步骤
这些模型非常准确。
在识别勒索软件执行前
并对恶意文件发出警报
基于机器学习的分析
不是签名
使用勒索软件保护
作为一项额外措施
防止文件被加密的步骤
在执行攻击后执行期间
我们稍后将对此进行详细说明
一旦数据从终端发送到Elastic集群
自由开放的检测规则
评估有关观察到的行为的警报
这些步骤减少了响应和保护您的网络的时间
让我们仔细看看
在Elastic终端内
保护勒索软件与安全集成是如何工作的
勒索软件保护在文件执行后开始
并分析文件修改
以确定它是否为勒索软件
所检查的主要特征包括:
我们的文件头不匹配
正在向文件添加扩展名
以及对熵范围的检查
让我们更深入地挖掘一下这些特征
文件头不匹配是指
文件的字节序列与预期值不匹配
例如
在我们的示例中,图标和名称
该扩展名似乎是一个Word文档
但是,一旦添加了扩展,
它伪装成Word文档
具有可执行扩展扩展的
添加到大量文件中
在很短的时间内
例如,8个字符的字符串
附加到使用黑暗面勒索软件加密的文件
最后,文件的熵范围是基于密度的
基于文件类型
比方说文本文件不应该有很高的熵
如果具有较高的熵,则表示文件已打包
这是勒索者常用的手段
感谢收看本期关于Elastic安全的深度探讨
此视频中的勒索软件保护
我们讲述了elastic是如何
勒索软件保护使用行为
而不是签名,以保护您的环境
以及如何启用勒索软件保护
如果你准备好
深入研究elastic安全
快速启动您的elastic安全
从今天开始
免费试用elastic云
