¿Cómo detectar ataque ransomware con DataSecurity Plus?

Ajuste las alertas y respuestas ante ransomware

Varias modificaciones de archivos en un periodo corto de tiempo y evidencias de codificación son dos signos que muestran ransomware. Con unos pocos patrones simples, DataSecurity Plus puede detectar estos signos de ransomware temprano e identificar ataques justo cuando suceden. Siga estos pasos para configurar el mecanismo automatizado de respuesta ante amenazas con el fin de anular cualquier ataque con ransomware justo en el origen.

• 1. Ejecute DataSecurity Plus y vaya a la pestaña Alertas tab
• 2. Haga clic en Perfil de nueva alerta en la parte superior derecha de la página.

• 3. Dé un nombre al perfiles de alerta e incluya una descripción adecuada (por ejemplo, “Posible ataque con ransomware”).
• 4. En la pestaña Gravedad, seleccione Crítica.
• 5. Cambie a la sección Límite de umbral y especifique el número de eventos que se deben monitorear (por ejemplo “100 modificaciones de archivos en un minuto”)*.

• 6. Vaya a la sección Criterios y añada estos filtros bajo la pestaña:
  1. Acciones: Crear, modificar, renombrar y cambios en la extensión del archivo
  2. Monitorear: Todos
  3. Tipo de monitoreo: Archivos y carpetas
  4. Tipos de archivo: Todos
  5. Usuarios: Todos
• 7. Use la pestaña excluir para ignorar archivos individuales, tipos de archivos con organización específica y carpetas para monitoreo selectivo, para evitar detecciones de falsos positivos y reducirlos.

• 8. Vaya a Notificaciones por correo electrónico y especifique una o más direcciones de correo electrónico a los que les gustaría enviar las alertas. Ajuste la Prioridad de correo electrónico a alta.
• 9. En el cuadro de texto Ejecutar comandoejecute el script por defecto

  (por ejemplo,"{install_location}\bin\alertScripts\triggershutdown.bat %server_name%")

  que apagará el sistema infectado. Nota:Puede también ejecutar otros scripts que deshabiliten cuentas de usuarios, redes o usar uno de sus propios scripts personalizados para las necesidades de su organización.
• 10. Para guardar la alerta configurada, haga clic en Guardar.

Ahora, ha configurado exitosamente DataSecurity Plus para detectar y responder a una situación donde más de 100 eventos de archivos como creación, modificación y renombrado se detectan en un minuto.

*El límite del umbral variará según el tamaño del servidor, el número de usuarios y el nivel de uso.