MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1567.002: Эксфильтрация в облачное хранилище

Злоумышленники могут использовать для эксфильтрации данных сервис облачного хранилища, а не основной канал взаимодействия с командным сервером. Такие сервисы позволяют хранить, редактировать и извлекать данные из удаленного облачного хранилища через интернет.

Примеры облачных хранилищ — Dropbox и Google Docs. Эксфильтрация данных в эти облачные хранилища может обеспечить злоумышленнику хорошее прикрытие, особенно если эти сервисы уже используются хостами сети.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_sharepoint: PT-CR-2111: Sharepoint_critical_data_manipulation: Выполнено действие с критически важным файлом

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections to cloud services associated with abnormal or non-browser processes.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. Monitor for cloud storages for data exfiltration.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor for files being accessed to exfiltrate data to a cloud storage service rather than over their primary command and control channel.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may exfiltrate data to a cloud storage service rather than over their primary command and control channel.

Меры противодействия

IDM1021НазваниеОграничения для веб-контентаОписание

Web proxies can be used to enforce an external network communication policy that prevents use of unauthorized external services.