Sysmon

La IBM Security QRadar Sysmon Content Extension detecta amenazas avanzadas en puntos finales de Windows mediante el uso de registros de Sysmon.

El servicio Sysinternals de Sysmon añade varios ID de sucesos a los sistemas Windows. Estos nuevos ID de suceso los utilizan los administradores del sistema para supervisar los procesos del sistema, la actividad de la red y los archivos. Sysmon proporciona una vista más detallada que los archivos de seguridad de Windows. Para obtener más información sobre Sysmon, consulte Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).

Esta extensión de contenido proporciona varios casos de uso para detectar amenazas, tales como abuso de PowerShell, procesos de Windows ocultos, ataques de memoria sin archivos, enmascaramiento de código y muchas otras. Esta extensión de contenido incluya nuevas reglas de delitos, bloques de construcción, conjuntos de referencia y funciones personalizadas que pueden ayudarle a detectar estas amenazas.

Nota: Actualice el DSM de Microsoft Windows a la última versión antes de instalar IBM QRadar Sysmon Content Extension.

Para obtener más información acerca de los casos de uso que cubre esta extensión de contenido, vea los vídeos siguientes:

Este paquete en Fix Central sólo incluye < MONTH> < YEAR > actualizaciones de seguridad de dispositivo virtual y paquetes opcionales, la instalación de este release no actualizará el host de aplicación y la versión del host de aplicación no cambiará. Utilice el host de aplicación < VERSION > para la instalación o las actualizaciones del host de aplicación.

Título del vídeo	Enlace de vídeo
Caso de uso 1 de Sysmon PowerShell	https://youtu.be/PWiw-RpLIbw
Caso de uso 2 de Sysmon PowerShell	https://youtu.be/_eaMMo8sPtA
Caso de uso 3 de Sysmon PowerShell	https://youtu.be/sZUAuYpSe7Q
Caso de uso 4 de Sysmon - Procesos fraudulentos de Windows	https://youtu.be/gAS-B9gb3RY
Caso de uso 5 de Sysmon - Detección de otras bibliotecas	https://youtu.be/omWnyACNEcM
Caso de uso 6 de Sysmon - Inyección no deseada y ataques codificados	https://youtu.be/kC2hIJxqF8Q
Caso de uso 7 - Detección de escalamiento de privilegios de QRadar	https://www.youtube.com/watch?v=yitGRL-WJCM
Caso de uso 8 - Escalamiento de privilegios de QRadar, Continuación	https://www.youtube.com/watch?v=8u6G6SEw3kE
Caso de uso 9 de Sysmon - Más detecciones de escalamiento de privilegios	https://www.youtube.com/watch?v=0Wy59Otr_Ag
Caso de uso 10 de Sysmon - Creación de una cuenta de administrador	https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon - Detección de suplantación de interconexiones con nombre	https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon - Detección de Mimikatz	https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar - Detección de movimiento lateral, Ejemplo Uno	https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar - Detección de movimiento lateral, Ejemplo Dos	https://www.youtube.com/watch?v=whjpScDYaY4
QRadar - Detección de movimiento lateral, Ejemplo Tres (Características de Windows básicas)	https://www.youtube.com/watch?v=7PXzi3pbmFo

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Seguridad QRadar Sysmon

IBM Seguridad QRadar Extensión de contenido Sysmon 1.3.2
IBM Seguridad QRadar Extensión de contenido Sysmon 1.3.1
IBM Seguridad QRadar Extensión de contenido Sysmon 1.3.0
IBM Seguridad QRadar Extensión de contenido Sysmon 1.2.1
IBM Seguridad QRadar Extensión de contenido Sysmon 1.2.0
IBM Seguridad QRadar Extensión de contenido Sysmon 1.1.3
IBM Seguridad QRadar Extensión de contenido Sysmon 1.1.2
IBM Seguridad QRadar Extensión de contenidos 1.1.1
IBM Seguridad QRadar Extensión de contenido Sysmon 1.1.0
IBM Seguridad QRadar Extensión de contenido Sysmon 1.0.0

IBM Seguridad QRadar Extensión de contenido Sysmon 1.3.2

La siguiente tabla muestra las propiedades personalizadas, reglas y bloques de construcción que se renombran en IBM Security QRadar Sysmon Content Extension 1.3.2.

Tabla 1. Propiedades personalizadas, reglas, building blocks, búsquedas guardadas y datos de referencia que se renombran en IBM Security QRadar Sysmon Content Extension 1.3.2
Nombre anterior	Nombre nuevo
ServiceFileName	Nombre de archivo de servicio
ParentCommandLine	Comando padre
TargetImage	Vía de acceso de proceso de destino
Línea de comandos de proceso	Mandato
StartModule	Módulo de inicio
RunLevel	Nivel de ejecución
Comando PS codificado	Comando codificado
Nombre de imagen de destino	Nombre de proceso de destino
Guid de proceso	GUID de proceso
PipeName	Nombre de conducto
StartFunction	Función de inicio

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.3.1

En la tabla siguiente se muestran las propiedades personalizadas actualizadas en IBM Security QRadar Sysmon Content Extension 1.3.1.

Tabla 2. Propiedades personalizadas actualizadas en IBM Security QRadar Sysmon Content Extension 1.3.1
Nombre	Descripción
Imagen	La expresión `"\bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s"` es ahora `"\bImage:\s.?\\([\\]?)\s(?:FileVersion\|CommandLine):\s"`

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.3.0

La regla personalizada Detectada una tarea planificada sobre varios hosts ha recibido una actualización de su filtro de reglas. Esta actualización es un cambio funcional para asegurarse de que si se ejecutan varios mandatos, cada uno obtiene su propio delito.

IBM Seguridad QRadar Extensión de contenido Sysmon 1.2.1

En la tabla siguiente se muestran las propiedades personalizadas actualizadas en IBM Security QRadar Sysmon Content Extension 1.2.1.

Tabla 3. Propiedades personalizadas actualizadas en IBM Security QRadar Sysmon Content Extension 1.2.1
Nombre	Descripción
Imagen	La expresión `New Process Name:\s(.?)Token Elevation Type\:` es ahora `New Process Name[:\s\\=](.*?)\s+(?:Token Elevation Type)`
ShareName	La expresión `Share\sName\:\s(?:\\\\\\\)(.)\s\sShare\sPath` es ahora `Share\sName\:\s(?:\\\\\\\)(.?)\s+Share\sPath`

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.2.0

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Sysmon Content Extension 1.2.0.

Tabla 4. Propiedades personalizadas en IBM Security QRadar Sysmon Content Extension 1.2.0
Nombre	Descripción
Imagen	The SourceImage\:\s(.)\sTargetProcessGuid expression is now SourceImage\:\s(.?)\sTargetProcessGuid The Image:\s(.)\sUser\: expression is now Image:\s(.?)\sUser\: The Image:\s(.?)\s(FileVersion\|CommandLine): expression is now \bImage:\s(.?)\s(?:FileVersion\|CommandLine): The New\sProcess\sName:\s(.)\s{2}Token\sElevation\sType\: expression is now New Process Name:\s(.?)Token Elevation Type\: The SourceImage\:\s(.)\sTargetProcessG expression is now SourceImage\:\s.?\\([^\\]?)\sTargetProcessG Las siguientes expresiones están inhabilitadas: Image:\s(.)\sImageLoaded Image:\s(.)\sTargetFilename\: Image\:\s(.) Image\:\s(.)\sDevice: Image\:\s(.)\sTargetObject Process\sName\:\s(.?)\sAccess\sRequest
ImageName	The Image:\s(?:.\\)?(.?)\s(?:FileVersion\|CommandLine):\s expression is now \bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s The Image:\s(?:.\\)?(.)\sImageLoaded expression is now Image:.?\\([^\\]?)\sImageLoaded The Image:\s(?:.\\)?(.)\sTargetFilename\: expression is now Image:.?\\([^\\]?)\sTargetFilename The Image:\s(?:.\\)?(.)\sUser\: expression is now Image:\s.?\\([^\\]?)\sUser\: The Image\:\s(?:.\\)?(.)\sTargetObject expression is now Image\:\s.?\\([^\\]?)\sTargetObject The SourceImage\:\s(?:.\\)?(.)\sTargetProcessGuid expression is now SourceImage\:\s.?\\([^\\]?)\sTargetProcessGuid The New\sProcess\sName:\s(?:.\\)?(.)\s{2}Token\sElevation\sType\: expression is now New Process Name:\s.?\\([^\\]?)Token Elevation Type\: Las siguientes expresiones están inhabilitadas: Image:\s(?:.\\)?(.) Image\:\s(?:.\\)?(.) Image\:\s(?:.\\)?(.)\sTargetObject Image\:\s(?:.\\)(.)\sDevice: Process\sName\:\s(?:.\\)?(.?)\sAccess\sRequest SourceImage\:\s(?:.\\)?(.*)\sTargetProcessG
Línea de comandos de proceso	The Process Command Line:\s(.)\sToken Elevation Type expression is now Process Command Line[:\s\\=]+(.?)\s*(?:Token Elevation Type)
ServiceName	The Service Name\:\s(.)\sService\sFile expression is now (?i)Service Name[\:\s\=\\](.?)\s+(?:Service File Name:\|&&)
SourceImage	Esta propiedad personalizada se elimina de la extensión de contenido.

En la tabla siguiente se muestran las reglas actualizadas en IBM Security QRadar Sysmon Content Extension 1.2.0.

Tabla 5. Reglas actualizadas en IBM Security QRadar Sysmon Content Extension 1.2.0
Nombre	Descripción
Creación de hebra por un proceso iniciado desde una carpeta compartida	Ahora utiliza la propiedad personalizada Imagen en lugar de la propiedad personalizada Imagen de origen.

Las siguientes reglas y bloques de construcción se eliminan en IBM Security QRadar Extensión de contenido de Sysmon 1.2.0 porque son duplicados de reglas en la extensión de contenido de Endpoint IBM Security QRadar.

BB:BehaviorDefinition: Acceso a unidad compartida administrativa
Volcado de credenciales utilizando la clave de registro SAM
Uso malicioso de mandato codificado en un entorno de programación
Omisión de UAC sin archivo utilizando Fodhelper
Omisión de UAC sin archivo utilizando sdclt
Omisión de UAC sin archivo utilizando el Visor de eventos de Windows
Proceso iniciado por un proceso no habitual
Entorno de programación iniciado con una cuenta con privilegios
Servicio configurado para utilizar Powershell
Se ha detectado un uso del módulo PSExec sospechoso

La regla Se ha detectado un uso sospechoso del módulo PSExec se solía llamar Uso del módulo PSExec de Metasploit.

La regla Uso malicioso de Powershell detectado se ha eliminado y sustituido por la regla Descodificación o descarga de archivos seguida de actividad sospechosa en el paquete de contenido de punto final.

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.1.3

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabla 6. Propiedades personalizadas en IBM Security QRadar Sysmon Content Extension 1.1.3
Nombre	Optimizada	Grupo de capturas	Expresión regular
Nombre de servicio	Sí	1	Service Name\:\s(.)\sService\sFile
ServiceFileName	Sí	1	Service\sFile\sName\:\s(.)\sService\sType

En la tabla siguiente se muestran las reglas y los bloques de construcción en IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabla 7. Reglas y bloques de construcción en IBM Security QRadar Sysmon Content Extension 1.1.3
Tipo	Nombre	Descripción
Regla	Descarga mediante mandato codificado iniciada	Esta regla se activa cuando se inicia la descarga de un script de PowerShell desde un entorno de programación de tipo cmd o Powershell.
Regla	Servicio malicioso instalado	Esta regla se activa cuando se instala un servicio con la categoría de malicioso.
Regla	Uso del módulo Metasploit PSExec	Esta regla se activa cuando se detecta un uso del módulo PSExec.
Regla	Proceso PSExec observado en un host comprometido	Esta regla se activa cuando se detecta un proceso PsExec en un host comprometido.
Regla	Servicio de gestión remota conectado a la interconexión lsass	Esta regla se activa cuando un servicio de gestión remota se conecta a la interconexión lsass.
Regla	Binario de servicio ubicado en una carpeta compartida	Esta regla se activa cuando un binario de servicio se encuentra en una carpeta compartida.
Regla	Servicio configurado para utilizar una interconexión	Esta regla se activa cuando se configura un servicio para utilizar una interconexión.
Regla	Servicio configurado para utilizar Powershell	Esta regla se activa cuando un servicio se ha configurado para utilizar Powershell.
Regla	Servicio instalado en un host comprometido	Esta regla se activa cuando se crea un servicio en un host comprometido.

En la tabla siguiente se muestran las propiedades personalizadas, las reglas y los bloques de construcción que se han renombrado en IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabla 8. Propiedades personalizadas, reglas, bloques de construcción, búsquedas guardadas y datos de referencia que se han renombrado en IBM Security QRadar Sysmon Content Extension 1.1.3
Nombre anterior	Nombre nuevo
Se ha añadido un recurso compartido de red oculta	Recurso compartido de red oculta añadido
Se ha instalado un servicio malicioso en un sistema	Servicio malicioso instalado
Se ha accedido a un recurso compartido de red desde un host comprometido	Un host comprometido ha accedido a un recurso compartido de red
Se ha añadido un recurso compartido de red a un host comprometido	Recurso compartido de red añadido a un host comprometido
Se ha creado una interconexión seguida de una actualización de vía de acceso del binario de servicio para conectar con la interconexión creada	Interconexión creada seguida de una actualización de vía de acceso del binario de servicio
Se ha creado un servicio remoto desde un archivo de script Powershell	Script Powershell creado por un servicio de gestión remota
Se ha creado una tarea planificada en un host comprometido	Tarea planificada creada en un host comprometido
Se ha instalado un servicio en un host comprometido	Servicio instalado en un host comprometido
Padre anómalo para un proceso del sistema	Padre anómalo para un proceso del sistema
Se ha accedido a una unidad compartida administrativa	Acceso a unidad compartida administrativa
Se ha accedido a una unidad compartida administrativa desde una máquina comprometida	Acceso a una unidad compartida administrativa desde un host comprometido
BB: Se ha creado una tarea planificada	BB:CategoryDefinition: Creación de tarea planificada
BB: Se ha accedido a una unidad compartida administrativa	BB:BehaviorDefinition: Acceso a unidad compartida administrativa
BB: Se ha detectado CreateRemoteThread	BB:CategoryDefinition: Creación de hebra remota
BB: Casos de exclusión de CreateRemoteThread	BB:BehaviorDefinition: Falsos positivos en la creación de hebra remota
BB: Se ha detectado un proceso Powershell	BB:CategoryDefinition: Entorno de programación
BB: Se ha detectado una tarea planificada basada en la Parte 2 del suceso de creación de procesos	BB:CategoryDefinition: Creación de tarea planificada por un proceso
BB: Acceso de procesos de Windows normales a LSASS.exe	BB:CategoryDefinition: Procesos con permiso para acceder a lsass
BB: Se ha creado una interconexión	BB:CategoryDefinition: Creación de interconexión
BB: Un proceso ha creado una conexión de red.	BB:CategoryDefinition: Conexión de red
BB: Se ha detectado PSExec	BB:BehaviorDefinition: Proceso PSExec observado
BB: Se ha establecido o actualizado la vía de acceso del binario de servicio	BB:BehaviorDefinition: Vía de acceso del binario de servicio establecida o actualizada
Un proceso sin hijos ha iniciado o generado un proceso	Proceso iniciado por un proceso no habitual
Se ha iniciado el shell de mandatos con privilegios del sistema	Entorno de programación iniciado con una cuenta con privilegios
Se ha detectado una omisión de UAC sin archivo utilizando Fodhelper	Omisión de UAC sin archivo utilizando Fodhelper
Se ha detectado una omisión de UAC sin archivo utilizando sdclt	Omisión de UAC sin archivo utilizando sdclt
Se ha detectado una omisión de UAC sin archivo utilizando el Visor de eventos de Windows	Omisión de UAC sin archivo utilizando el Visor de eventos de Windows
Se ha detectado un proceso conocido iniciado con un nuevo hash no observado	Proceso conocido iniciado con un hash distinto
Se ha detectado un valor largo en el registro de Windows	Tamaño de valor no habitual en el registro de Windows
Se ha detectado un acceso malicioso al proceso lsass	Acceso sospechoso al proceso lsass
Se ha detectado un acceso malicioso al proceso LSASS desde el rastreo de llamada desconocida	Acceso sospechoso al proceso lsass desde el rastreo de llamada desconocida
Se ha detectado un nuevo proceso no visto con privilegios de usuario del sistema	Nuevo proceso iniciado con una cuenta con privilegios
Se ha detectado una posible herramienta de volcado de credenciales	Posible herramienta de volcado de credenciales detectada
Se ha detectado un posible registrador de claves	Posible registrador de claves detectado
Se ha detectado un proceso ejecutado de forma remota en varios hosts	Ejecución de proceso remoto en varios hosts
Se ha detectado un servicio remoto conectado a la interconexión LSASS	Servicio de gestión remota conectado a la interconexión lsass
Se ha detectado una tarea planificada en varios hosts	Tarea planificada creada en varios hosts
Se ha detectado un cambio de vía de acceso del binario de servicio seguido de una adición de usuario o grupo	Actualización de la vía de acceso del binario de servicio seguida de modificación de usuario o grupo
Se ha detectado un servicio configurado para utilizar una interconexión	Servicio configurado para utilizar una interconexión
Se ha detectado un servicio configurado para utilizar PowerShell	Servicio configurado para utilizar Powershell
Se ha detectado un servicio con un binario ejecutable ubicado en una carpeta compartida	Binario de servicio ubicado en una carpeta compartida
Se ha detectado un proceso Svchost sospechoso	Proceso Svchost sospechoso
Se ha detectado un padre anómalo para un proceso	Padre no habitual para un proceso
Se ha detectado un proceso desconocido/no visto (basado en el hash de proceso)	Hash de proceso desconocido observado
Se ha detectado un proceso desconocido/no visto (basado en el nombre de proceso)	Nombre de proceso desconocido observado
Se ha detectado una ejecución excesiva del mandato SC	Uso excesivo del mandato SC
Se ha detectado un uso excesivo de herramientas del sistema en una única máquina	Uso excesivo de las herramientas del sistema desde un único host
Se ha detectado Mimikatz basado en el hash IMP	Hash IMP de Mimikatz observado
Se ha detectado PSExec con un nombre de proceso diferente	Proceso PsExec enmascarado
Número excesivo de intentos fallidos de acceder a un recurso compartido de red desde un host comprometido	Exceso de anomalías al acceder a un recurso compartido de red desde un host comprometido
Número excesivo de intentos fallidos de acceder a una unidad compartida administrativa desde un único origen	Exceso de anomalías al acceder a una unidad compartida administrativa desde el mismo host
El proceso Lsass está conectado a una interconexión	El proceso Lsass está conectado a una interconexión
Se ha detectado el módulo Metasploit PSExec	Uso del módulo Metasploit PSExec
Se ha detectado un Locky ransomware potencial basado en rundll32 con el argumento qwerty	Uso de Rundll32 con argumento qwerty
Omisión posible de UAC - Se ha configurado una tarea planificada para que se ejecute con los privilegios más elevados	Omisión de UAC - Tarea planificada configurada para ejecutarse con los privilegios más elevados
Se ha iniciado Powershell	Proceso de Powershell observado
Se ha iniciado Powershell en un host comprometido	Proceso Powershell observado en un host comprometido
Se ha detectado un uso malicioso de PowerShell con un mandato codificado	Uso malicioso de mandato codificado en un entorno de programación
Descarga de script Powershell con mandato codificado	Descarga mediante mandato codificado iniciada
Línea de base de proceso: Hash de proceso	Línea de base de proceso: Hash de proceso
Línea de base de proceso: Nombre de proceso	Línea de base de proceso: Nombre de proceso
Línea de base de proceso: Nombre de proceso para hash	Línea de base de proceso: Nombre de proceso para hash
Línea de base de proceso: Nombre de proceso para proceso padre	Línea de base de proceso: Nombre de proceso para proceso padre
Línea base de proceso: Se ha iniciado un proceso con privilegios de usuario del sistema	Línea base de proceso: proceso iniciado con privilegios de usuario del sistema
Un proceso ha creado una hebra desde un proceso iniciado desde un directorio temporal	Creación de hebra por parte de un proceso iniciado desde un directorio temporal
Un proceso ha creado una hebra en otro proceso	Creación de hebra en un proceso distinto al inicial
Un proceso ha creado una hebra en un proceso LSASS	Creación de hebra en un proceso lsass
Un proceso ha creado una hebra en el proceso del sistema	Creación de hebra en un proceso del sistema
Proceso iniciado desde una carpeta compartida	Proceso iniciado desde una carpeta compartida
Proceso iniciado desde una carpeta compartida y hebra creada en otro proceso	Creación de hebra por un proceso iniciado desde una carpeta compartida
Proceso iniciado desde una directorio temporal	Proceso iniciado desde un directorio temporal
Un proceso ha cargado un archivo ejecutable desde un directorio temporal	Archivo ejecutable cargado desde un directorio temporal
Proceso iniciado desde directorios inusuales (Recycle.bin, ..)	Proceso iniciado desde un directorio no habitual
Se ha detectado PsExec	Proceso PsExec observado
Se ha iniciado PsExec desde un host comprometido	Proceso PSExec observado en un host comprometido
Clave de registro SAM - Enumeración de subclaves (usuarios)	Volcado de credenciales utilizando la clave de registro SAM
Se ha detectado la actualización de la vía de acceso del binario de servicio seguida de un CreateRemoteThread desde el mismo proceso	Actualización de la vía de acceso del binario de servicio seguida de creación de hebra remota
Se ha actualizado la vía de acceso del binario de servicio mediante una conexión de red desde el mismo proceso	Actualización de la vía de acceso del binario de servicio seguida de conexión de red
Se ha detectado la supresión de duplicaciones	Supresión de duplicaciones
Proceso del sistema iniciado desde un directorio no habitual	Proceso del sistema iniciado desde un directorio no habitual
Se ha cargado un controlador sin firma en el kernel de Windows	Controlador sin firma cargado en el kernel de Windows
Archivo ejecutable sin firma cargado en lsass.exe	Archivo ejecutable sin firma cargado en lsass
Se ha cargado un ejecutable no firmado en un proceso del sistema confidencial	Archivo ejecutable sin firma cargado en proceso del sistema confidencial
Se ha ejecutado Whoami o groups	Descubrimiento de cuentas o grupos

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.1.2

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabla 9. Propiedades personalizadas en IBM Security QRadar Sysmon Content Extension 1.1.2
Nombre	Expresión regular
Imagen	Image:\s(.*?)\s(FileVersion\|CommandLine):
ImageName	Image:\s(?:.\\)?(.?)\s(?:FileVersion\|CommandLine):\s
LoadedImage	ImageLoaded:\s(.*?)\s(FileVersion\|Hashes)\:
LoadedImageName	ImageLoaded\:\s(?:.\\)(.?)\s*(FileVersion\|Hashes)\:

En la tabla siguiente se muestran las reglas y los bloques de construcción en IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabla 10. Reglas en IBM Security QRadar Sysmon Content Extension 1.1.2
Nombre	Descripción
Línea de base de proceso: Nombre de proceso para hash	Se ha añadido una respuesta de regla al conjunto de referencia ProcessNametoHashRefMapOfSetKeys.
Línea de base de proceso: Nombre de proceso para proceso padre	Se ha añadido una respuesta de regla al conjunto de referencia ProcesstoParentProcessPathRefMapKeys.
Se ha detectado un proceso conocido iniciado con un nuevo hash no observado	Detecta si un proceso conocido se inicia con un nuevo hash no visto.
Se ha detectado un padre anómalo para un proceso	Detecta un padre anómalo para un proceso.
Línea de base de proceso: Hash de proceso	Proporciona una línea base para los hashes de proceso.
Línea de base de proceso: Nombre de proceso	Proporciona una línea base para nombres de proceso, con registros Windows estándar o registros Sysmon.
Se ha detectado un proceso desconocido/no visto (basado en el hash de proceso)	Detecta los hashes de proceso no habituales o desconocidos.
Se ha detectado un proceso desconocido/no visto (basado en el nombre de proceso)	Detecta los nombres de proceso no habituales o desconocidos.
Proceso iniciado desde una carpeta compartida y hebra creada en otro proceso	Se ha actualizado una de las pruebas de reglas.

La tabla siguiente muestra los datos de referencia en IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabla 11. Datos de referencia en IBM Security QRadar Sysmon Content Extension 1.1.2
Tipo	Nombre	Descripción
Conjunto de referencia	Nombres de procesos con perfiles	Almacena la lista base de nombres de procesos.
Conjunto de referencia	Hashes de proceso con perfiles	Almacena la lista de línea base de los hashes de proceso.
Conjunto de referencia	ProcessNametoHashRefMapOfSetKeys	Almacena las claves utilizadas en el mapa de conjuntos que correlaciona un nombre de proceso con su hash.
Conjunto de referencia	ProcesstoParentProcessPathRefMapKeys	Almacena las claves utilizadas en el mapa de conjuntos que correlaciona un nombre de proceso con su proceso padre.
Correlación de referencia de conjuntos	ProcessMaptoProcessParentPath	Se ha cambiado el tipo de elemento por un valor alfanumérico sin distinción de mayúsculas y minúsculas.
Correlación de referencia de conjuntos	ProcessNametoHash	Se ha cambiado el tipo de elemento por un valor alfanumérico sin distinción de mayúsculas y minúsculas.

La tabla siguiente muestra las búsquedas guardadas en IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabla 12. Búsquedas guardadas en IBM Security QRadar Sysmon Content Extension 1.1.2
Nombre	Descripción
Se ha iniciado un hash de proceso desconocido	Se ha actualizado el criterio de búsqueda.
Padre anómalo para un proceso	Se ha actualizado el criterio de búsqueda.
Se ha iniciado un nombre de proceso desconocido	Esta búsqueda muestra los procesos desconocidos basados en el nombre de proceso.

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenidos 1.1.1

En la versión 1.1.1, se eliminan dos reglas y dos funciones AQL debido a posibles problemas de rendimiento:

Regla: Se ha detectado un proceso conocido iniciado con hash no observado
Regla: Se ha detectado un padre anómalo para un proceso
Función personalizada: checkWithMapOfSets
Función personalizada: IsItWhiteListedProcess

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 incluye nuevas reglas para establecer procesos de línea base y para detectar las actividades siguientes:

Escalamiento de privilegios
Omisiones del control de cuenta de usuario (UAC) sin archivo
Volcado de credenciales
Técnicas de movimiento lateral
Implementación de Metasploit PSExec
Uso malicioso de PowerShell

Esta versión también incluye nuevas propiedades personalizadas, búsquedas guardadas y la función AQL personalizada. Se añade un icono nuevo a los valores de administración de QRadar para configurar una señal de autorización para las funciones personalizadas de Sysmon.

En la tabla siguiente se describen los cambios incluidos en IBM Security QRadar Sysmon Content Extension 1.1.0

Tipo	Nombre	Descripción del cambio
Regla	Proceso inusual (ej: word, iexplore, AcroRd...) ha iniciado un shell de mandatos	Detecta si un proceso no habitual, tal como MS Word, Internet Explorer, Acrobat Reader, inicia un shell de mandatos o PowerShell.
Regla	Se ha detectado un proceso ejecutado de forma remota en varios hosts	Detecta cualquier proceso de ejecución remota que utiliza PowerShell, wmi o PSExec, así como técnicas de movimiento lateral.
Regla	Se ha detectado una tarea planificada en varios hosts	Detecta una tarea planificada en varios hosts.
Regla	Se ha detectado el módulo Metasploit PSExec	Detecta la implementación Metasploit de la herramienta PSExec.
Regla	Se ha iniciado PsExec desde un host comprometido	Detecta si se va a iniciar PSExec desde un host marcado como host comprometido.
Regla	Se ha detectado PsExec	Detecta si cualquier host inicia PSExec.
Regla	Se ha detectado PSExec con un nombre de proceso diferente	Detecta si se ha cargado PSExec con un nombre diferente.
Regla	Se ha iniciado el shell de mandatos con privilegios del sistema	Detecta si se ha iniciado un shell de mandatos con privilegios escalados. Por ejemplo, si un usuario habitual inicia el shell de mandatos como un usuario del sistema Windows.
Regla	Línea base de proceso: Se ha iniciado un proceso con privilegios de usuario del sistema	Proporciona una línea base para la que normalmente se inician los procesos con un privilegio del sistema. Esta línea base la utilizan otras reglas para detectar si se inicia un nuevo proceso con un privilegio del sistema. Esta línea base puede indicar si alguien está intentando realizar un escalamiento de privilegios.
Regla	Se ha detectado un nuevo proceso no visto con privilegios de usuario del sistema	Detecta si se inicia un proceso nuevo o no visto con un privilegio del sistema. De forma predeterminada, esta regla está inhabilitada. Como parte de su rutina de mantenimiento, ejecute las reglas de línea base de una semana antes de habilitar esta regla.
Regla	Línea de base de proceso: Nombre de proceso para proceso padre	Proporciona una línea base para identificar los procesos padre de cada proceso. Esta línea base puede ayudar a detectar procesos no habituales.
Regla	Línea de base de proceso: Nombre de proceso para hash	Proporciona una línea base para nombres de procesos y sus hashes correspondientes. Esta línea base puede ayudar a detectar si se inicia un proceso desconocido o si se inicia un proceso con un hash nuevo. Esta información también se puede utilizar para integrar los registros de Sysmon con otros registros.
Regla	Se ha detectado un uso excesivo de herramientas del sistema en una única máquina	Detecta el uso excesivo de varias herramientas del sistema desde una única máquina, tales como: lcacl.exe procdump.exe vssadmin.exe accesschk.exe netsh.exe arp.exe systeminfo.exe whoami.exe
Regla	Se ha detectado un servicio configurado para utilizar PowerShell	Detecta si se ha configurado cualquier servicio para utilizar PowerShell.
Regla	Se ha detectado un valor largo en el registro de Windows	Detecta si un atacante ha intentado añadir o establecer una clave de registro utilizando un valor largo, tal como un mandato de PowerShell codificado.
Regla	Se ha detectado un servicio con un binario ejecutable ubicado en una carpeta compartida	Detecta si se ha configurado cualquier servicio para que inicie un binario ejecutable desde una carpeta compartida.
Regla	Se ha detectado un servicio configurado para utilizar una interconexión	Detecta si se ha configurado cualquier servicio para que utilice una interconexión.
Regla	Se ha creado una interconexión seguida de una actualización de vía de acceso del binario de servicio para conectar con la interconexión creada	Detecta una suplantación de interconexión con nombre, la cual es una técnica para el escalado de privilegios.
Regla	Se ha detectado un cambio de vía de acceso del binario de servicio seguido de una adición de usuario o grupo	Detecta si se ha añadido un usuario o grupo después de cambiar la vía de acceso del binario de servicio.
Regla	Se ha actualizado la vía de acceso del binario de servicio mediante una conexión de red desde el mismo proceso	Detecta si un proceso intenta configurar o añadir un servicio y si el mismo procesa crea la conexión de salida.
Regla	Se ha detectado una ejecución excesiva del mandato SC	Detecta si el mandato del controlador de servicio se está utilizando en exceso.
Regla	Se ha detectado una vía de acceso del binario de servicio sin comillas y con espacios	Detecta si una vía de acceso del binario de servicio que no está encerrada entre comillas contiene espacios. Una vía de acceso que no está entre comillas y contiene espacios se puede aprovechar. Por ejemplo, C:\Program Files (x86)\.
Regla	Omisión posible de UAC - Se ha configurado una tarea planificada para que se ejecute con los privilegios más elevados	Detecta si se ha creado una tarea planificada para que se ejecute utilizando los privilegios más altos.
Regla	Se ha detectado la actualización de la vía de acceso del binario de servicio seguida de un CreateRemoteThread desde el mismo proceso	Detecta si un proceso intenta configurar o añadir un servicio y si el mismo procesa crea una hebra en otros procesos.
Regla	Proceso iniciado desde una carpeta compartida	Detecta si cualquier proceso se inicia desde una carpeta compartida.
Regla	Proceso iniciado desde una carpeta compartida y hebra creada en otro proceso	Detecta si se inicia un proceso dese una carpeta compartida y crea una hebra en otro proceso.
Regla	Se ha creado un servicio remoto desde un archivo de script Powershell	Detecta si cualquier servicio remoto, tal como `wsmprovhost`, `psexesvc` o `wmiprvse`, crea un archivo de script PowerShell.
Regla	El proceso Lsass está conectado a una interconexión	Detecta si cualquier interconexión se conecta con una actividad iniciada desde un proceso LSASS (Local Security Authority Subsystem Service), lo que puede conllevar un volcado de credenciales.
Regla	Se ha detectado un servicio remoto conectado a la interconexión LSASS	Detecta si cualquier servicio remoto, tal como `wsmprovhost`, `psexesvc` o `wmiprvse`, intenta conectarse a una interconexión denominada LSASS.
Regla	Se ha detectado una omisión de UAC sin archivo utilizando sdclt	Detecta si se ha intentado omitir el control de cuentas de usuario (UAC) que utiliza sdclt.exe, el proceso de Windows que permite a los usuarios ejecutar una operación de copia de seguridad y restauración. De forma predeterminada, sdclt.exe se ejecuta con un nivel de integridad alto. Cuando se inicia el proceso, busca claves específicas en el registro. Si existen las claves, las ejecuta.
Regla	Se ha detectado una omisión de UAC sin archivo utilizando Fodhelper	Detecta si se ha utilizado el proceso Fodhelper para omitir UAC en Windows 10 secuestrando una clave especial del registro.
Regla	Se ha detectado una omisión de UAC sin archivo utilizando el Visor de eventos de Windows	Detecta si se ha utilizado el Visor de eventos de Windows para omitir UAC.
Regla	Se ha cargado un controlador sin firma en el kernel de Windows	Detecta cualquier intento de cargar un controlador sin firma en el kernel de Windows.
Regla	Se ha instalado un servicio en un host comprometido	Detecta cualquier instalación de servicio en un host marcado como host comprometido.
Regla	Se ha creado una tarea planificada en un host comprometido	Detecta cualquier intento de crear una tarea planificada en un host marcado como host comprometido.
Regla	Tráfico SMB excesivo denegado desde un host comprometido	Detecta el tráfico SMB excesivo que se ha denegado desde un host comprometido.
Regla	Número excesivo de intentos fallidos de acceder a una unidad compartida administrativa desde un único origen	Detecta si se ha producido un número excesivo de intentos erróneos de acceder a las comparticiones administrativas desde un único host.
Regla	Número excesivo de intentos fallidos de acceder a un recurso compartido de red desde un host comprometido	Detecta un número excesivo de intentos fallidos de acceder a las carpetas compartidas de varios hosts de la red desde un host comprometido.
Regla	Se ha accedido a un recurso compartido de red desde un host comprometido	Detecta si un host comprometido ha accedido correctamente a una carpeta compartida.
Regla	Se ha añadido un recurso compartido de red a un host comprometido	Detecta si un host comprometido añade una carpeta compartida o archivo.
Regla	Tráfico SMB detectado desde un host comprometido a otros hosts	Detecta el tráfico SMB de salida desde un host comprometido a otros hosts.
Regla	Se ha detectado un inicio de sesión correcto desde un host comprometido en otros hosts	Detecta los inicios de sesión correctos desde un host comprometido en otros hosts.
Regla	Se ha accedido a una unidad compartida administrativa	Detecta si se ha accedido a una unidad compartida administrativa.
Regla	Se ha añadido un recurso compartido de red oculta	Detecta si se ha creado una archivo compartido oculto.
Regla	Se ha iniciado Powershell	Detecta si un host inicia PowerShell.
Regla	Se ha iniciado Powershell en un host comprometido	Detecta si un host comprometido inicia PowerShell.
Regla	Se ha instalado un servicio malicioso en un sistema	Detecta si un servicio malicioso conocido se instala en el sistema.
Regla	Un proceso sin hijos ha iniciado o generado un proceso	Detecta si un proceso previsto como proceso sin hijos inicia un proceso hijo.
Regla	Se ha detectado la supresión de duplicaciones	Detecta si se suprimen duplicaciones.
Regla	Se ha detectado un proceso Svchost sospechoso	Detecta un proceso svchost malicioso.
Regla	Se ha detectado Mimikatz basado en el hash IMP	Detecta la herramienta de explotación posterior Mimikatz basándose en si se ha utilizado el hash IMP (Invoke Mimikatz PowerShell).
Regla	Se ha iniciado un shell de mandato o Powershell desde un sistema remoto	Detecta si cualquier servicio remoto, tal como `wsmprovhost`, `psexesvc` o `wmiprvse`, inicia un shell de mandatos o PowerShell en un sistema remoto.
Regla	Se ha ejecutado Whoami o groups	Detecta si se ha utilizado el mandato `whoami` o group antes de cualquier método de escalado de privilegios.
Regla	Clave de registro SAM - Enumeración de subclaves (usuarios)	Detecta cualquier intento de enumerar la clave de registro SAM.
Regla	Se ha detectado un volcado del registro para SAM o la clave de registro	Detecta cualquier volcado en el registro SAM.
Regla	Se ha accedido a la clave de registro SAM - utilizando regedit	Detecta cualquier intento de acceder a la clave de registro SAM.
Regla	Un proceso ha creado una hebra en un proceso LSASS	Detecta cualquier intento de crear una hebra en el proceso LSASS.
Regla	Archivo ejecutable sin firma cargado en lsass.exe	Detecta cualquier intento de cargar un archivo ejecutable no firmado en un proceso LSASS.
Regla	Se ha detectado un acceso malicioso al proceso lsass	Detecta cualquier acceso malicioso al proceso LSASS.
Regla	Se ha detectado un acceso malicioso al proceso LSASS desde el rastreo de llamada desconocida	Detecta cualquier intento sin archivo de acceder al proceso LSASS.
Regla	Proceso iniciado desde directorios inusuales (Recycle.bin, ..)	Detecta si se inicia un proceso desde un directorio no habitual, tal como la papelera de reciclaje.
Regla	Se ha detectado una posible herramienta de volcado de credenciales	Se utiliza como una marca adicional si coinciden las reglas siguientes: Se ha detectado un acceso malicioso al proceso lsass Se ha detectado un acceso malicioso al proceso LSASS desde el rastreo de llamada desconocida Se ha detectado un volcado del registro para SAM o la clave de registro Un proceso ha creado una hebra en un proceso LSASS Clave de registro SAM - Enumeración de subclaves (usuarios) Se ha accedido a la clave de registro SAM - utilizando regedit Se ha detectado Mimikatz basado en el hash IMP Se ha detectado un servicio remoto conectado a la interconexión LSASS El proceso Lsass está conectado a una interconexión
Regla	Se ha detectado un posible registrador de claves	Detecta si una máquina está infectada con un registrador de claves.
Regla	Se ha detectado un Locky ransomware potencial basado en rundll32 con el argumento qwerty	Detecta una firma conocida para Locky ransomware.
Regla	Se ha detectado un uso malicioso de PowerShell con un mandato codificado	Se ha actualizado para detectar los usos maliciosos de PowerShell.
Regla	Se ha detectado un uso malicioso de PowerShell	Se ha actualizado para detectar los usos maliciosos de PowerShell.
Bloque de construcción	BB: Se ha detectado PSExec	Se utiliza en reglas PSExec.
Bloque de construcción	BB: Un proceso ha creado una conexión de red.	Se utiliza en reglas que correlacionan las conexiones de red con otras actividades.
Bloque de construcción	BB: Se ha accedido a una unidad compartida administrativa	Se utiliza en reglas que detectan cualquier actividad maliciosa en carpetas compartidas.
Bloque de construcción	BB: Se ha detectado CreateRemoteThread	Se utiliza en reglas que detectan la creación de hebras remotas.
Bloque de construcción	BB: Acceso de procesos de Windows normales a LSASS.exe	Se utiliza en reglas que detectan el proceso LSASS.
Bloque de construcción	BB: Se ha detectado un proceso Powershell	Se utiliza en reglas que detectan el proceso PowerShell.
Bloque de construcción	BB: Se ha creado una tarea planificada	Se utiliza en reglas que detectan tareas planificadas.
Bloque de construcción	BB: Se ha detectado una tarea planificada basada en la Parte 1 del suceso de creación de procesos	Se utiliza en reglas que detectan tareas planificadas basadas en la creación de sucesos de proceso.
Bloque de construcción	BB: Se ha creado una interconexión	Se utiliza en reglas que detectan la creación de interconexiones.
Bloque de construcción	BB: Se ha detectado una tarea planificada basada en la Parte 2 del suceso de creación de procesos	Se utiliza en reglas que detectan tareas planificadas basadas en la creación de sucesos de proceso.
Bloque de construcción	BB: Se ha establecido o actualizado la vía de acceso del binario de servicio	Se utiliza en reglas que detectan si se ha establecido o actualizado un binario de vía de acceso de servicio.
Bloque de construcción	BB: Casos de exclusión de CreateRemoteThread	Se utiliza en reglas que detectan la creación de hebras remotas.
Búsqueda guardada	Padre anómalo para un proceso	Esta búsqueda muestra cualquier proceso con un padre no habitual, basándose en los datos de línea base.
Búsqueda guardada	Los procesos confidenciales de Windows han detectado una conexión de red	Esta búsqueda muestra cualquier conexión iniciada desde un proceso confidencial de Windows.
Búsqueda guardada	Acceso de proceso a LSASS	Esta búsqueda muestra cualquier proceso que ha accedido LSASS.
Búsqueda guardada	Ejecutables iniciados de forma remota mediante WMI o PowerShell	Esta búsqueda muestra los procesos que se han ejecutado de forma remota.
Búsqueda guardada	Se ha establecido o actualizado la vía de acceso del binario de servicio	Esta búsqueda muestra cualquier nuevo servicio si cambia la ubicación del binario de servicio.
Búsqueda guardada	Se ha iniciado un hash de proceso desconocido	Esta búsqueda muestra cualquier hash de proceso no observado.
Búsqueda guardada	Se ha cargado un ejecutable no firmado en un proceso del sistema confidencial	Esta búsqueda muestra cualquier intento de cargar un archivo ejecutable no firmado en procesos del sistema confidenciales.
Búsqueda guardada	Se ha detectado una línea de mandatos muy larga	Esta búsqueda muestra el texto de una línea de mandatos larga.
Conjunto de referencia	Hash de lista blanca	Contiene una lista de los hashes de lista blanca.
Conjunto de referencia	Taburetes	Contiene una lista de herramientas que utilizan los administradores del sistema.
Conjunto de referencia	Hashes de procesos iniciados como usuario del sistema	Contiene una lista de hashes de procesos que se pueden iniciar con privilegios de nivel del sistema.
Conjunto de referencia	Hosts comprometidos	Contiene una lista que incluye cualquier host comprometido.
Conjunto de referencia	Nombre de proceso a hash	Contiene una lista de nombres de proceso correlacionados con sus hashes.
Conjunto de referencia	IOC - Nombres de servicio maliciosos	Contiene una lista de los nombres de servicios maliciosos conocidos.

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenido Sysmon 1.0.0

En la tabla siguiente se describen los cambios incluidos en IBM Security QRadar Sysmon Content Extension 1.0.0

Tipo	Nombre	Descripción del cambio
Regla	Se ha cargado un ejecutable no firmado o DLL desde el directorio temp	Detecta si se carga un ejecutable no firmado o DLL desde un directorio temporal.
Regla	Proceso iniciado desde una directorio temporal	Detecta si se ha iniciado un proceso desde un directorio temporal.
Regla	Se ha cargado un ejecutable no firmado o DLL en un proceso del sistema confidencial	Detecta si se carga un ejecutable no firmado o DLL no asignado desde otros procesos del sistema confidenciales.
Regla	Un proceso ha creado una hebra en el proceso del sistema	Detecta si un proceso crea una hebra en un proceso del sistema.
Regla	Un proceso ha creado una hebra desde un proceso iniciado desde un directorio temporal	Detecta si un proceso crea una hebra desde un proceso que se ha iniciado desde un directorio temporal.
Regla	Un proceso ha creado una hebra en otro proceso	Detecta si un proceso crea una hebra en otro proceso.
Regla	Se ha detectado un uso malicioso de PowerShell	Detecta un uso malicioso de PowerShell.
Regla	Se ha detectado un uso malicioso de PowerShell con un mandato codificado	Detecta un uso malicioso de PowerShell con un mandato codificado.
Regla	Se ha descargado el script PowerShell	Detecta si se descarga un script PowerShell.
Regla	Proceso del sistema iniciado desde un directorio no habitual	Detecta si se inicia un proceso del sistema desde un directorio no habitual.
Regla	Padre anómalo para un proceso del sistema	Detecta si está presente un padre anómalo para un proceso del sistema.
Regla	Se ha detectado un proceso svchost sospechoso	Detecta procesos svchost sospechosos.
Regla	Se ha detectado la supresión de duplicaciones	Detecta si se suprime un archivo de duplicación.
Bloque de construcción	BB: Se ha cargado un ejecutable no firmado o DLL en un proceso del sistema confidencial Parte 1	Se ha cargado un ejecutable no firmado o DLL en un proceso del sistema confidencial.
Bloque de construcción	BB: Se ha detectado un proceso PowerShell descargado	Lo utiliza la regla Se ha descargado un script PowerShell.
Bloque de construcción	BB: Se ha detectado un script PowerShell descargado con un mandato codificado	Lo utiliza la regla Se ha detectado un uso malicioso de PowerShell con un mandato codificado.
Propiedad personalizada	Imagen	`Image:\s(.*)\sImageLoaded`
Propiedad personalizada	ImageName	`Image:\s(?:.\\)(.)\sImageLoaded`
Propiedad personalizada	Firmado	`Signed:\s(true\|false)`
Propiedad personalizada	Firma	`Signature:\s(.*)\sSignatureStatus`
Propiedad personalizada	SignatureStatus	`SignatureStatus:\s(Valid)`
Propiedad personalizada	LoadedImage	`ImageLoaded:\s(.*)\sHashes`
Propiedad personalizada	Imagen	`Image:\s(.*)\sCommandLine`
Propiedad personalizada	ImageName	`Image:\s(?:.\\)(.)\sCommandLine`
Propiedad personalizada	ParentImage	`ParentImage:\s(.*)\sParentCommandLine`
Propiedad personalizada	ParentImageName	`ParentImage:\s(?:.\\)(.)\sParentCommandLine`
Propiedad personalizada	Nombre de imagen de destino	`TargetImage:\s(?:.\\)(.)\sNewThreadId`
Propiedad personalizada	SourceImage	`SourceImage:\s(.*)\sTargetProcessGuid`
Propiedad personalizada	TargetImage	`TargetImage:\s(.*)\sNewThreadId`
Propiedad personalizada	Comando PS codificado	`[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)`
Propiedad personalizada	Línea de comandos de proceso	`CommandLine:\s(.*)\sCurrentDirectory`
Propiedad personalizada	SourceImageTempPath	`SourceImage:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propiedad personalizada	ImageTempPath	`Image:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propiedad personalizada	ImageLoadedTempPath	`ImageLoaded:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propiedad personalizada	Línea de comandos de proceso	`Process Command Line:\s(.)\s*Token Elevation Type`
Propiedad personalizada	Comando PS codificado	`Process Command Line:\spowershell.[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^][\s^]+(\S+)\sToken Elevation Type`
Propiedad personalizada	ImageName	`New Process Name:\s(?:.\\)(\S)\sToken\sElevation\sType\:`
Propiedad personalizada	SHA1 Hash	`SHA1=(\w+)`
Propiedad personalizada	Hash MD5	`MD5=(\w*)`
Propiedad personalizada	Hash SHA256	`SHA256=(\w*)`
Propiedad personalizada	Hash IMP	`IMPHASH=(\w*)`
Propiedad personalizada	Imagen	`New Process Name:\s(\S)\s*Token\sElevation\sType\:`
Función personalizada	base64Decode	Decodifica el texto de base64 del mandato codificado de PowerShell como una serie normal legible.
Función personalizada	PScmdFilter	Filtra la línea de mandatos de proceso de los sucesos Sysmon.
Búsqueda guardada	Se ha detectado una línea de mandatos muy larga	Esta es una búsqueda de sucesos para la coincidencia de líneas de mandatos de procesos largas con sucesos de Sysmon.
Conjunto de referencia	TempFilePath	Contiene una lista de las vías de acceso a archivos del directorio temporal.
Conjunto de referencia	Procesos confidenciales de Windows	Contiene una lista de los procesos confidenciales de Windows.
Conjunto de referencia	ProcessMaptoProcessPath	Contiene una lista de nombres de procesos y vías de acceso a dichos procesos.
Conjunto de referencia	ProcessMaptoProcessParentPath	Contiene una lista de nombres de procesos y vías de acceso a los procesos padre.

_{(Volver arriba)}