SYSMON

Le IBM Security QRadar Sysmon Content Extension détecte les menaces avancées sur les points finaux Windows en utilisant les journaux Sysmon.

Le service Sysinternals Sysmon ajoute plusieurs ID d'événement aux systèmes Windows. Ces nouveaux ID d'événement sont utilisés par les administrateurs système pour surveiller les processus système, l'activité réseau et les fichiers. Sysmon fournit une vue plus détaillée que les journaux de sécurité Windows. Pour plus d'informations sur Sysmon, voir Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).

Cette extension de contenu fournit plusieurs cas d'utilisation pour détecter les menaces avancées, telles que les abus PowerShell , les processus Windows masqués, les attaques de mémoire sans fichier, le brouillage de code, etc. Cette extension de contenu inclut de nouvelles règles d'infraction, des blocs de construction, des ensembles de référence et des fonctions personnalisées qui peuvent vous aider à détecter ces menaces.

Remarque: Mettez à jour le DSM Microsoft Windows vers la version la plus récente avant d'installer IBM QRadar Sysmon Content Extension.

Pour plus d'informations sur les cas d'utilisation couverts par cette extension de contenu, voir les vidéos suivantes:

Ce package sur Fix Central inclut uniquement les mises à jour de sécurité des unités virtuelles < MONTH> < YEAR > et les packages facultatifs. L'installation de cette édition ne met pas à jour l'hôte d'application et la version de l'hôte d'application ne change pas. Utilisez l'hôte d'application < VERSION > pour l'installation ou les mises à jour de l'hôte d'application.

Titre de la vidéo	Lien vidéo
Cas d'utilisation 1 de Sysmon PowerShell	https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell -Cas d'utilisation 2	https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell -Cas d'utilisation 3	https://youtu.be/sZUAuYpSe7Q
Sysmon Cas d'utilisation 4 Processus Windows Bogus	https://youtu.be/gAS-B9gb3RY
Cas d'utilisation Sysmon 5-Détection d'autres bibliothèques	https://youtu.be/omWnyACNEcM
Sysmon Cas d'utilisation 6 Nasty Injection & Encoded Attaques	https://youtu.be/kC2hIJxqF8Q
QRadar Privilege Escalade Detection-Cas d'utilisation 7	https://www.youtube.com/watch?v=yitGRL-WJCM
QRadar -Escalade de privilèges-Cas d'utilisation 8	https://www.youtube.com/watch?v=8u6G6SEw3kE
Cas d'utilisation Sysmon 9-Plus de détection d'escalade de privilèges	https://www.youtube.com/watch?v=0Wy59Otr_Ag
Cas d'utilisation Sysmon 10-Création d'un compte administrateur	https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon Détection de l'usurpation d'identité de canal de communication de nom	https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon Détection de mimikatz	https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar -Détection de mouvement latéral, exemple 1	https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar -Détection de mouvement latéral-Exemple 2	https://www.youtube.com/watch?v=whjpScDYaY4
QRadar -Exemple 3 de détection de mouvement latéral (fonctions Plain Windows)	https://www.youtube.com/watch?v=7PXzi3pbmFo

Important: Pour éviter les erreurs de contenu dans cette extension de contenu, tenez à jour les DSM associés. Les DSM sont mis à jour dans le cadre des mises à jour automatiques. Si les mises à jour automatiques ne sont pas activées, téléchargez la version la plus récente des DSM associés à partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Sécurité QRadar Sysmon

IBM Sécurité QRadar Extension du contenu de Sysmon 1.3.2
IBM Sécurité QRadar Extension du contenu de Sysmon 1.3.1
IBM Sécurité QRadar Extension du contenu de Sysmon 1.3.0
IBM Sécurité QRadar Extension du contenu de Sysmon 1.2.1
IBM Sécurité QRadar Extension du contenu de Sysmon 1.2.0
IBM Sécurité QRadar Extension du contenu de Sysmon 1.1.3
IBM Sécurité QRadar Extension du contenu de Sysmon 1.1.2
IBM Sécurité QRadar Extension du contenu 1.1.1
IBM Sécurité QRadar Extension du contenu de Sysmon 1.1.0
IBM Sécurité QRadar Extension du contenu de Sysmon 1.0.0

IBM Sécurité QRadar Extension du contenu Sysmon 1.3.2

Le tableau suivant montre les propriétés personnalisées, les règles et les blocs de construction qui sont renommés dans IBM Security QRadar Sysmon Content Extension 1.3.2.

Tableau 1. Propriétés personnalisées, règles, blocs de construction, recherches enregistrées et données de référence renommées dans IBM Security QRadar Sysmon Content Extension 1.3.2
Ancien nom	Nouveau nom
ServiceFileName	Nom de fichier de service
ParentCommandLine	Commande parent
TargetImage	Chemin cible du processus
Ligne de commande du processus	Commande
StartModule	Démarrer le module
RunLevel	Niveau d'exécution
Commande codée PS	Commande codée
Nom de l'image cible	Nom du processus cible
Identificateur de processus	Identificateur de processus
PipeName	Nom du canal
StartFunction	Démarrer la fonction

_{(Haut de la page)}

IBM Security QRadar Extension de contenu Sysmon 1.3.1

Le tableau suivant présente les propriétés personnalisées mises à jour dans IBM Security QRadar Sysmon Content Extension 1.3.1.

Tableau 2. Mise à jour des propriétés personnalisées dans IBM Security QRadar Sysmon Content Extension 1.3.1
Nom	Descriptif
Image	L'expression `"\bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s"` est maintenant `"\bImage:\s.?\\([\\]?)\s(?:FileVersion\|CommandLine):\s"`

_{(Haut de la page)}

IBM Sécurité QRadar Extension du contenu Sysmon 1.3.0

La règle personnalisée Détection d'une tâche planifiée sur plusieurs hôtes a reçu une mise à jour de son filtre de règle. Cette mise à jour est un changement fonctionnel qui permet de s'assurer que si plusieurs commandes sont exécutées, chacune d'elles a sa propre infraction.

IBM Security QRadar Extension de contenu Sysmon 1.2.1

Le tableau suivant présente les propriétés personnalisées mises à jour dans IBM Security QRadar Sysmon Content Extension 1.2.1.

Tableau 3. Mise à jour des propriétés personnalisées dans IBM Security QRadar Sysmon Content Extension 1.2.1
Nom	Descriptif
Image	L'expression `New Process Name:\s(.?)Token Elevation Type\:` est maintenant `New Process Name[:\s\\=](.*?)\s+(?:Token Elevation Type)`
ShareName	L'expression `Share\sName\:\s(?:\\\\\\\)(.)\s\sShare\sPath` est maintenant `Share\sName\:\s(?:\\\\\\\)(.?)\s+Share\sPath`

_{(Haut de la page)}

IBM Sécurité QRadar Extension du contenu Sysmon 1.2.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Sysmon Content Extension 1.2.0.

Tableau 4. Propriétés personnalisées dans IBM Security QRadar Sysmon Content Extension 1.2.0
Nom	Descriptif
Image	L'expression SourceImage\:\s(.)\sTargetProcessGuid est maintenant SourceImage\:\s(.?)\sTargetProcessGuid L'expression Image:\s(.)\sUser\: est maintenant Image:\s(.?)\sUser\: L'expression Image:\s(.* ?)\s(FileVersion\|CommandLine) : est désormais \bImage:\s(.* ?)\s(?:FileVersion\|CommandLine) : L'expression New\sProcess\sName:\s(.)\s{2}Token\sElevation\sType\: est désormais Nouveau nom du processus:\s(.* ?)Type d'élévation de jeton : L'expression SourceImage\:\s(.)\sTargetProcessG est maintenant SourceImage\:\s.?\s([^\\]?)\sTargetProcessG Les expressions suivantes sont désactivées: Image : \s(.)\sImageLoaded Image : \s(.)\sTargetFilename\: Image \:\s (. ) Image:\s(.)\sDevice: Image:\s(.)\sTargetObject Process\sName\:\s(.?)\s*Access\sRequest
ImageName	L'expression Image:\s(? :.\s) ?(. ?)\s(?:FileVersion\|CommandLine):\s est maintenant \bImage:\s.?\s([^\s] ?)(?:FileVersion\|CommandLine):\s L'expression Image:\s(? :.\s) ?(.)\sImageLoaded est désormais Image :.?\s([^\\]?)\sImageLoaded L'expression Image:\s(? :.\s) ?(.)\sTargetFilename\: est désormais Image :.?\s([^\\]?)\sTargetFilename L'expression Image:\s(? :.\s) ?(.)\sUser\: est maintenant Image:\s.?\s([^\\]?)\sUser\: L'expression Image:\s(? :.\s) ?(.)\sTargetObject est désormais Image:\s.?\s([^\\]?)\sTargetObject L'expression SourceImage\:\s(?:.\s) ?(.)\sTargetProcessGuid est maintenant SourceImage\:\s.?\s([^\\]?)\sTargetProcessGuid L'expression New\sProcess\sName:\s(?:.\\N) ?(.)\s{2}Token\sElevation\sType\: est maintenant New Process Name:\s.?\N([^\N]* ?)Token Elevation Type\N : Les expressions suivantes sont désactivées: Image: \s (?:. * \\) ?(. ) Image \:\s (?:. \\) ?(. ) Image:\s(? :.\s) ?(.)\sTargetObject Image:\s(? :.\s)(.)\sDevice: Process\sName\:\s(?:.\\)?(.?)\sAccess\sRequest SourceImage\:\s(?:.\\)?(.*)\sTargetProcessG
Ligne de commande du processus	L'expression de type d'élévation Process Command Line:\s(.)\sToken est désormais Process Command Line[:\s\=]+(. ?)\s*(?:Token Elevation Type)
ServiceName	L'expression Nom du service [\N- \N]* (.)\sService\sFile est maintenant (?i)Nom du service [\N- \N- \N](.* ?)\N+(?:Nom du fichier de service:\|&&)
SourceImage	Cette propriété personnalisée est supprimée de l'extension de contenu.

Le tableau suivant présente les règles mises à jour dans IBM Security QRadar Sysmon Content Extension 1.2.0.

Tableau 5. Règles mises à jour dans IBM Security QRadar Sysmon Content Extension 1.2.0
Nom	Descriptif
Création d'unité d'exécution par un processus lancé à partir d'un dossier partagé	Désormais, la propriété personnalisée Image est utilisée à la place de la propriété personnalisée SourceImage .

Les règles et modules suivants sont supprimés dans IBM Security QRadar Sysmon Content Extension 1.2.0 car ils font double emploi avec les règles de l'extension de contenu IBM Security QRadar Endpoint.

BB:BehaviorDefinition: Partage administratif accédé
Vidage des données d'identification à l'aide de la clé de registre SAM
Utilisation malveillante des commandes codées dans un environnement de programmation
Contournement UAC sans fichier à l'aide de Fodhelper
Contournement UAC sans fichier à l'aide de sdclt
Contournement UAC sans fichier à l'aide de l'afficheur d'événements Windows
Processus lancé par un processus inhabituel
Environnement de programmation démarré avec un compte privilégié
Service configuré pour utiliser Powershell
Utilisation du module PSExec suspecte détectée

La règle Utilisation du module PSExec suspecte détectée était appelée Utilisation du module PSExec Metasploit.

La règle Utilisation malveillante de Powershell détectée a été supprimée et remplacée par la règle Décodage de fichier ou téléchargement suivi d'une activité suspecte dans le pack de contenu de noeud final.

_{(Haut de la page)}

IBM Sécurité QRadar Extension du contenu Sysmon 1.1.3

Le tableau suivant présente les propriétés personnalisées dans IBM Security QRadar Sysmon Content Extension 1.1.3.

Tableau 6. Propriétés personnalisées dans IBM Security QRadar Sysmon Content Extension 1.1.3
Nom	optimisé	Groupe de capture	Expression régulière
Nom du service	Oui	1	Nom du service : \s(.)\sService\sFile
ServiceFileName	Oui	1	Service\sFile\sName\:\s(.)\sService\sType

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Sysmon Content Extension 1.1.3.

Tableau 7. Règles et blocs de construction dans IBM Security QRadar Sysmon Content Extension 1.1.3
Type	Nom	Descriptif
Règle	Télécharger via la commande codée lancée	Cette règle se déclenche lorsqu'un téléchargement d'un script PowerShell est lancé à partir d'un environnement de programmation de type cmd ou Powershell.
Règle	Service malveillant installé	Cette règle se déclenche lorsqu'un service classé comme malveillant a été installé.
Règle	Utilisation du module Metasploit PSExec	Cette règle se déclenche lorsqu'une utilisation du module PSExec est détectée.
Règle	Processus PSExec observé sur un hôte compromis	Cette règle se déclenche lorsqu'un processus PsExec a été détecté sur un hôte compromis.
Règle	Service de gestion à distance connecté à lsass Pipe	Cette règle se déclenche lorsqu'un service de gestion à distance est connecté à un canal de communication lsass.
Règle	Binaire de service situé dans un dossier partagé	Cette règle se déclenche lorsqu'un fichier binaire de service se trouve dans un dossier partagé.
Règle	Service configuré pour utiliser un canal de communication	Cette règle se déclenche lorsqu'un service est configuré pour utiliser un canal de communication.
Règle	Service configuré pour utiliser Powershell	Cette règle se déclenche lorsqu'un service est configuré pour utiliser Powershell.
Règle	Service installé sur un hôte compromis	Cette règle se déclenche lorsqu'un service a été créé sur un hôte compromis.

Le tableau suivant présente les propriétés personnalisées, les règles et les blocs de construction renommés dans IBM Security QRadar Sysmon Content Extension 1.1.3.

Tableau 8. Propriétés personnalisées, règles, blocs de construction, recherches sauvegardées et données de référence renommées dans IBM Security QRadar Sysmon Content Extension 1.1.3
Ancien nom	Nouveau nom
Un partage réseau caché a été ajouté	Partage de réseau masqué ajouté
Un service malveillant a été installé dans un système	Service malveillant installé
Accès à un partage réseau depuis un hôte compromis	Partage réseau accédé à partir d'un hôte compromis
Un partage de réseau a été ajouté dans un hôte compromis	Partage de réseau ajouté à un hôte compromis
Un canal de communication a été créé, suivi de la mise à jour du chemin binaire du service pour la connexion au canal de communication créé	Pipe créée suivie de la mise à jour du chemin binaire du service
a Remoting Service a créé un fichier script Powershell	Script Powershell créé par un service de gestion à distance
Une tâche planifiée a été créée dans un hôte compromis	Tâche planifiée créée sur un hôte compromis
Un service a été installé dans un hôte compromis	Service installé sur un hôte compromis
Parent anormal pour un processus système	Parent inhabituel pour un processus système
Accès à un partage administratif	Partage administratif-Accès
Accès à un partage administratif depuis une machine compromise	Partage administratif accédé à partir d'un hôte compromis
BB: Une tâche planifiée a été créée	BB:CategoryDefinition: Création de tâches programmées
BB: Accès à un partage d'administration	BB:BehaviorDefinition: Partage administratif accédé
BB : CreateRemoteThread Détecté	BB:CategoryDefinition: Création de fils à distance
BB : CreateRemoteThread cas exclus	BB:BehaviorDefinition: Faux positifs dans la création de threads à distance
BB: Détection d'un processus Powershell	BB:CategoryDefinition: Environnement de programmation
BB: Détection d'une tâche planifiée en fonction de la partie 2 de l'événement de création de processus	BB:CategoryDefinition: Création de tâches programmées par un processus
BB: Processus Windows normaux accédés lsass.exe	BB:CategoryDefinition: Processus autorisés à accéder à lsass
BB: Le canal de communication a été créé	BB:CategoryDefinition: Création de tuyaux
BB: le processus a créé une connexion réseau	BB:CategoryDefinition: Connexion réseau
BB: PsExec a été détecté	BB:BehaviorDefinition: PsExec Processus observé
BB: Le chemin binaire du service a été défini ou mis à jour	BB:BehaviorDefinition: Chemin binaire du service défini ou mis à jour
Un processus sans enfant a lancé/engendré un autre processus	Processus lancé par un processus inhabituel
Shell de commandes démarré avec des privilèges système	Environnement de programmation démarré avec un compte privilégié
Détection d'un contournement UAC sans fichier à l'aide de Fodhelper	Contournement UAC sans fichier à l'aide de Fodhelper
Détection d'un contournement UAC sans fichier à l'aide d'un sdclt	Contournement UAC sans fichier à l'aide de sdclt
Détection d'un contournement UAC sans fichier à l'aide de l'afficheur d'événements Windows	Contournement UAC sans fichier à l'aide de l'afficheur d'événements Windows
Détection d'un processus connu démarré avec un nouveau hachage invisible	Processus connu démarré avec un hachage différent
Détection d'une valeur longue dans le registre Windows	Taille de valeur inhabituelle dans le registre Windows
Détection d'un accès malveillant à un processus lsass	Accès suspect au processus lsass
Détection d'un accès malveillant à un processus lsass à partir d'une trace d'appel inconnue	Accès suspect à un processus lsass à partir d'une trace d'appel inconnue
Détection d'un nouveau processus jamais vu jusqu'ici, lancé avec des privilèges d'utilisateur système	Nouveau processus démarré avec un compte privilégié
Détection d'un possible outil de vidage (dump) des données d'identification	Outil de vidage des données d'identification potentiel détecté
Détection d'un possible enregistreur de frappes (keylogger)	Enregistreur de frappe potentiel détecté
Détection d'un processus exécuté à distance sur plusieurs hôtes	Exécution de processus à distance sur plusieurs hôtes
Détection d'un service distant connecté à un canal de communication Lsass	Service de gestion à distance connecté à lsass Pipe
Détection d'une tâche planifiée sur plusieurs hôtes	Tâche planifiée créée sur plusieurs hôtes
Détection d'un changement de chemin binaire de service suivi d'un ajout d'utilisateur ou de groupe	Mise à jour du chemin binaire du service suivie d'une modification d'utilisateur ou de groupe
Détection d'un service configuré pour utiliser un canal de communication	Service configuré pour utiliser un canal de communication
Détection d'un service configuré pour utiliser Powershell	Service configuré pour utiliser Powershell
Détection d'un service avec un fichier binaire exécutable situé dans un dossier partagé	Binaire de service situé dans un dossier partagé
Détection d'un processus svchost suspect	Processus svchost suspect
parent anormal détecté pour un processus	Parent inhabituel pour un processus
Un processus inconnu / invisible a été détecté (en fonction du hachage de processus)	Hachage de processus inconnu observé
Détection d'un processus inconnu / invisible (basé sur le nom du processus)	Nom de processus inconnu observé
Exécution excessive détectée de la commande SC	Utilisation excessive de la commande SC
Détection d'un usage excessif d'outils système sur une même machine	Utilisation excessive des outils système à partir d'un hôte unique
Mimikatz détecté en fonction du hachage IMP	Hachage Mimikatz IMP observé
Détecté PsExec avec un nom de processus différent	Masquage de processusPsExec
Nombre excessif d'échecs de tentatives d'accès à une ressource réseau partagée depuis un hôte compromis	Nombre excessif d'échecs d'accès au partage de réseau à partir d'un hôte compromis
Nombre excessif d'échecs de tentatives d'accès à un partage administratif depuis une même source	Nombre excessif d'échecs d'accès au partage d'administration à partir du même hôte
Processus lsass connecté à un canal de communication	Processus lsass connecté à un canal de communication
Le module Metasploit PSExec a été détecté	Utilisation du module Metasploit PSExec
Locky Ransomware détecté en fonction de rundll32 avec l'argument qwerty	Rundll32 avec utilisation de l'argument qwerty
Contournement UAC possible-Une tâche planifiée a été configurée pour s'exécuter avec les privilèges les plus élevés	Contournement UAC-Tâche planifiée configurée pour s'exécuter avec les privilèges les plus élevés
Powershell a été lancé	Processus PowerShell observé
PowerShell lancé dans un hôte compromis	Processus Powershell observé sur un hôte compromis
Utilisation malveillante de PowerShell détectée avec une commande encodée	Utilisation malveillante des commandes codées dans un environnement de programmation
Téléchargement du script Powershell avec EncodedCommand	Télécharger via la commande codée lancée
Base de processus: Hachage de processus	Base de processus: Hachage de processus
Processus de base: Nom du processus	Processus de base: Nom du processus
Processus de base: Nom du processus à hacher	Processus de base: Nom du processus à hacher
Processus de base: Nom du processus pour le processus parent	Processus de base: Nom du processus pour le processus parent
Processus de base: processus démarré avec des privilèges d'utilisateur système	Base de processus: processus démarré avec des privilèges d'utilisateur système
Processus créé une unité d'exécution à partir d'un processus lancé à partir d'un répertoire temporaire	Création d'unité d'exécution par un processus lancé à partir d'un répertoire temporaire
Processus ayant créé une unité d'exécution dans un autre processus	Création d'unité d'exécution dans un processus différent du processus initial
Processus créé une unité d'exécution dans le processus lsass	Création d'unité d'exécution dans le processus lsass
Processus ayant créé une unité d'exécution dans le processus système	Création d'unités d'exécution dans un processus système
Processus lancé à partir d'un dossier partagé	Processus lancé à partir d'un dossier partagé
Lancement d'un processus depuis un dossier partagé et création d'une unité d'exécution (thread) dans un autre processus	Création d'unité d'exécution par un processus lancé à partir d'un dossier partagé
Processus lancé à partir d'un répertoire temporaire	Processus lancé à partir d'un répertoire temporaire
Exécutable chargé par le processus à partir du répertoire Temp	Exécutable chargé à partir du répertoire Temp
Processus démarré à partir de répertoires inhabituels (Recycle.bin, ..)	Processus lancé à partir d'un répertoire inhabituel
PsExec a été détecté	ProcessusPsExec observé
PsExec a été lancé depuis un hôte compromis	PsExec Processus observé sur un hôte compromis
Clé de registre SAM-Enumération de sous-clés (utilisateurs)	Vidage des données d'identification à l'aide de la clé de registre SAM
Le chemin binaire du service a été mis à jour, suivi par un CreateRemoteThread détecté dans le même processus	Mise à jour du chemin binaire du service suivie de la création de l'unité d'exécution distante
Le chemin binaire du service a été mis à jour, suivi d'une connexion réseau à partir du même processus	Mise à jour du chemin binaire de service suivie d'une connexion réseau
Suppression des copies miroir détectée	Suppression des copies miroir
Processus système démarré à partir d'un répertoire inhabituel	Processus système lancé à partir d'un répertoire inhabituel
Pilote non signé chargé dans le noyau Windows	Pilote non signé chargé dans le noyau Windows
Exécutable non signé chargé dans lsass.exe	Exécutable non signé chargé dans lsass
Exécutable non signé chargé dans le processus système sensible	Exécutable non signé chargé dans le processus système sensible
whoami /groups a été exécuté	Reconnaissance de groupe ou de compte

_{(Haut de la page)}

IBM Security QRadar Extension de contenu Sysmon 1.1.2

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Sysmon Content Extension 1.1.2.

Tableau 9. Propriétés personnalisées dans IBM Security QRadar Sysmon Content Extension 1.1.2
Nom	Expression régulière
Image	Image:\s(.* ?)\s(FileVersion\|CommandLine) :
ImageName	Image:\s(? :.\s)?(.?)\s(?:FileVersion\|CommandLine ):\s
LoadedImage	ImageLoaded:\s(.* ?)\s(FileVersion\|Hashes)\s :
LoadedImageName	ImageLoaded\:\s(?:.)(. ?)\s*(FileVersion\|Hashes)\s :

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Sysmon Content Extension 1.1.2.

Tableau 10. Règles dans IBM Security QRadar Sysmon Content Extension 1.1.2
Nom	Descriptif
Processus de base: Nom du processus à hacher	Ajout d'une réponse à une règle pour remplir l'ensemble de référence ProcessNametoHashRefMapOfSetKeys.
Processus de base: Nom du processus pour le processus parent	Ajout d'une réponse à une règle pour remplir l'ensemble de référence ProcesstoParentProcessPathRefMapKeys.
Détection d'un processus connu démarré avec un nouveau hachage invisible	Détecte lorsqu'un processus connu démarre avec un nouveau hachage invisible.
parent anormal détecté pour un processus	Détecte un parent anormal pour un processus.
Base de processus: Hachage de processus	Fournit une version de référence pour les hachages de processus.
Processus de base: Nom du processus	Fournit une version de référence pour les noms de processus, avec des journaux Windows standard ou des journaux Sysmon.
Un processus inconnu / invisible a été détecté (en fonction du hachage de processus)	Détecte les hachages de processus inhabituels ou inconnus.
Détection d'un processus inconnu / invisible (basé sur le nom du processus)	Détecte les noms de processus inhabituels ou inconnus.
Lancement d'un processus depuis un dossier partagé et création d'une unité d'exécution (thread) dans un autre processus	Mise à jour de l'un des tests de règle.

Le tableau suivant présente les données de référence dans IBM Security QRadar Sysmon Content Extension 1.1.2.

Tableau 11. Données de référence dans IBM Security QRadar Sysmon Content Extension 1.1.2
Type	Nom	Descriptif
Ensemble de référence	Noms de processus profilés	Stocke la liste de versions de référence des noms de processus.
Ensemble de référence	Hachages de processus profilés	Stocke la liste de versions de référence des hachages de processus.
Ensemble de référence	ProcessNametoHashRefMapOfSetKeys	Stocke les clés utilisées dans la mappe des ensembles qui mappe un nom de processus à son hachage.
Ensemble de référence	ProcesstoParentProcessPathRefMapKeys	Stocke les clés utilisées dans la mappe des ensembles qui mappe un nom de processus à son processus parent.
Mappe de référence d'ensembles	ProcessMaptoProcessParentPath	Le type d'élément a été remplacé par une valeur alphanumérique qui ignore la casse.
Mappe de référence d'ensembles	ProcessNametoHash	Le type d'élément a été remplacé par une valeur alphanumérique qui ignore la casse.

Le tableau suivant présente les recherches sauvegardées dans IBM Security QRadar Sysmon Content Extension 1.1.2.

Tableau 12. Recherches sauvegardées dans IBM Security QRadar Sysmon Content Extension 1.1.2
Nom	Descriptif
Le hachage de processus inconnu a été démarré	Mise à jour des critères de recherche.
Parent anormal d'un processus	Mise à jour des critères de recherche.
Un nom de processus inconnu a été démarré	Cette recherche affiche les processus inconnus en fonction du nom des processus.

_{(Haut de la page)}

IBM Sécurité QRadar Extension du contenu 1.1.1

Dans 1.1.1, deux règles et deux fonctions AQL ont été supprimées en raison de problèmes de performances possibles:

Règle: Détection d'un processus connu démarré avec un hachage invisible
Règle: parent anormal détecté pour un processus
Fonction personnalisée : checkWithMapOfSets
Fonction personnalisée : IsItWhiteListedProcess

_{(Haut de la page)}

IBM Sécurité QRadar Extension du contenu Sysmon 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 inclut de nouvelles règles pour établir des processus de référence et détecter les activités suivantes:

Escalade de privilèges
Le contrôle de compte utilisateur sans fichier (UAC) est ignoré
Vidage des données d'identification
Techniques de déplacement latéral
Implémentation de Metasploit PSExec
Utilisation malveillante de PowerShell

Cette version inclut également de nouvelles propriétés personnalisées, des recherches sauvegardées et une fonction personnalisée AQL. Une nouvelle icône est ajoutée aux paramètres d'administration QRadar pour configurer un jeton d'autorisation pour les fonctions personnalisées Sysmon.

Le tableau suivant décrit les modifications incluses dans IBM Security QRadar Sysmon Content Extension 1.1.0

Type	Nom	Description de la modification
Règle	Processus inhabituels (ex : word, iexplore, AcroRd..) Lancement d'un shell de commandes	Détecte si un processus inhabituel, tel que MS Word, Internet Explorer, Acrobat Reader, démarre un interpréteur de commandes ou PowerShell.
Règle	Détection d'un processus exécuté à distance sur plusieurs hôtes	Détecte tout processus exécuté à distance qui utilise PowerShell, wmi, ou PSExec comme techniques de mouvement latéral bien connues.
Règle	Détection d'une tâche planifiée sur plusieurs hôtes	Détecte une tâche planifiée sur plusieurs hôtes.
Règle	Le module Metasploit PSExec a été détecté	Détecte l'implémentation Metasploit de l'outil PSExec.
Règle	PsExec a été lancé depuis un hôte compromis	Détecte si PSExec doit être lancé à partir d'un hôte marqué comme hôte compromis.
Règle	PSExec a été détecté	Détecte si un hôte lance PSExec.
Règle	PSExec détecté avec un nom de processus différent	Détecte si PSExec est téléchargé avec un nom différent.
Règle	Shell de commandes démarré avec des privilèges système	Détecte si un interpréteur de commandes est démarré avec des privilèges d'escalade. Par exemple, si un utilisateur standard démarre le shell de commandes en tant qu'utilisateur Windows System.
Règle	Processus de base: processus démarré avec des privilèges d'utilisateur système	Fournit une version de référence pour laquelle les processus commencent généralement par un privilège système. Cette version de référence est utilisée par d'autres règles pour détecter si un nouveau processus démarre avec un privilège système. Cette version de référence peut indiquer si quelqu'un tente d'effectuer une escalade des privilèges.
Règle	Détection d'un nouveau processus jamais vu jusqu'ici, lancé avec des privilèges d'utilisateur système	Détecte si un nouveau processus ou un processus inhabituel démarre avec un privilège système. Par défaut, cette règle est désactivée. Dans le cadre de votre routine de maintenance, exécutez les règles de version de référence de processus pendant une semaine avant d'activer cette règle.
Règle	Processus de base: Nom du processus pour le processus parent	Fournit une version de référence permettant d'identifier les processus parent pour chaque processus. Cette version de référence peut aider à détecter des processus inhabituels.
Règle	Processus de base: Nom du processus à hacher	Fournit une version de référence pour les noms de processus et les hachages correspondants. Cette version de référence peut aider à détecter si un processus inconnu démarre ou si un processus démarre avec un nouveau hachage. Ces informations peuvent également être utilisées pour intégrer des journaux Sysmon à d'autres journaux.
Règle	Détection d'un usage excessif d'outils système sur une même machine	Détecte une utilisation excessive à partir d'une seule machine de plusieurs outils système tels que: lcacl.exe procdump.exe vssadmin.exe accesschk.exe netsh.exe arp.exe systeminfo.exe whoami.exe
Règle	Détection d'un service configuré pour utiliser Powershell	Détecte si un service est configuré pour utiliser PowerShell.
Règle	Détection d'une valeur longue dans le registre Windows	Détecte si un agresseur a tenté d'ajouter ou de définir une clé de registre à l'aide d'une valeur longue, telle qu'une commande codée PowerShell .
Règle	Détection d'un service avec un fichier binaire exécutable situé dans un dossier partagé	Détecte si un service est configuré pour démarrer un fichier binaire exécutable à partir d'un dossier partagé.
Règle	Détection d'un service configuré pour utiliser un canal de communication	Détecte si un service est configuré pour se connecter à un canal de communication.
Règle	Un canal de communication a été créé, suivi de la mise à jour du chemin binaire du service pour la connexion au canal de communication créé	Détecte une usurpation d'identité de tube nommé, qui est une technique d'escalade de privilèges.
Règle	Détection d'un changement de chemin binaire de service suivi d'un ajout d'utilisateur ou de groupe	Détecte si un utilisateur ou un groupe est ajouté après la modification d'un chemin binaire de service.
Règle	Le chemin binaire du service a été mis à jour, suivi d'une connexion réseau à partir du même processus	Détecte si un processus tente de configurer ou d'ajouter un service et détecte si le même processus crée une connexion sortante.
Règle	Exécution excessive détectée de la commande SC	Détecte si la commande du contrôleur de services est utilisée de manière excessive.
Règle	Détection d'un chemin binaire de service sans devis avec espaces	Détecte si un chemin binaire de service non entre guillemets contient des espaces. Un chemin de fichier qui n'est pas placé entre guillemets et qui contient des espaces dans le chemin peut être optimisé. Par exemple, C:\Program Files (x86)\.
Règle	Contournement UAC possible-Une tâche planifiée a été configurée pour s'exécuter avec les privilèges les plus élevés	Détecte si une tâche planifiée est créée pour être exécutée à l'aide des privilèges les plus élevés.
Règle	Le chemin binaire du service a été mis à jour, suivi par un CreateRemoteThread détecté dans le même processus	Détecte si un processus tente de configurer ou d'ajouter un service et détecte si le même processus crée une unité d'exécution dans d'autres processus.
Règle	Processus lancé à partir d'un dossier partagé	Détecte si un processus démarre à partir d'un dossier partagé.
Règle	Lancement d'un processus depuis un dossier partagé et création d'une unité d'exécution (thread) dans un autre processus	Détecte si un processus démarre à partir d'un dossier partagé et crée une unité d'exécution dans un autre processus.
Règle	Un service à distance a créé un fichier script PowerShell	Détecte si un service à distance, tel que `wsmprovhost`, `psexesvc`ou `wmiprvse`, crée un fichier script PowerShell .
Règle	Processus LSASS connecté à un canal de communication	Détecte si un canal de communication se connecte à une activité lancée à partir du processus LSASS (Local Security Authority Subsystem Service), ce qui peut entraîner un vidage des données d'identification.
Règle	Détection d'un service distant connecté à un canal de communication LSASS	Détecte si un service à distance, tel que `wsmprovhost`, `psexesvc`ou `wmiprvse`, tente de se connecter à un canal de communication appelé LSASS.
Règle	Détection d'un contournement UAC sans fichier à l'aide d'un sdclt	Détecte une tentative de contournement du contrôle de compte utilisateur (UAC) qui utilise sdclt.exe, le processus Windows qui permet aux utilisateurs d'exécuter des opérations de sauvegarde et de restauration. Par défaut, sdclt.exe s'exécute avec un niveau d'intégrité élevé. Une fois le processus démarré, il recherche des clés spécifiques dans le registre. Si les clés existent, elle les exécute.
Règle	Détection d'un contournement UAC sans fichier à l'aide de Fodhelper	Détecte si le processus Fodhelper est utilisé pour contourner UAC dans Windows 10 en détournant une clé spéciale dans le registre.
Règle	Détection d'un contournement UAC sans fichier à l'aide de l'afficheur d'événements Windows	Détecte si l'afficheur d'événements Windows est utilisé pour ignorer le contrôle de compte utilisateur.
Règle	Pilote non signé chargé dans le noyau Windows	Détecte toute tentative de chargement d'un pilote non signé dans le noyau Windows.
Règle	Un service a été installé dans un hôte compromis	Détecte toute installation de service sur un hôte marqué comme hôte compromis.
Règle	Une tâche planifiée a été créée dans un hôte compromis	Détecte toute tentative de création d'une tâche planifiée sur un hôte marqué comme hôte compromis.
Règle	Excès de trafic SMB refusé à partir d'un hôte compromis	Détecte un trafic SMB excessif qui est refusé à partir d'un hôte compromis.
Règle	Nombre excessif d'échecs de tentatives d'accès à un partage administratif depuis une même source	Détecte un nombre excessif de tentatives d'accès aux partages d'administration à partir d'un hôte source unique.
Règle	Nombre excessif d'échecs de tentatives d'accès à une ressource réseau partagée depuis un hôte compromis	Détecte un nombre excessif de tentatives d'accès à des dossiers partagés sur plusieurs hôtes du réseau à partir d'un hôte compromis.
Règle	Accès à un partage réseau depuis un hôte compromis	Détecte si un hôte compromis a accédé à un dossier partagé.
Règle	Un partage de réseau a été ajouté dans un hôte compromis	Détecte si un hôte compromis ajoute un dossier ou un fichier partagé.
Règle	Détection d'un trafic SMB depuis un hôte compromis vers d'autres hôtes	Détecte le trafic SMB sortant d'un hôte compromis vers d'autres hôtes.
Règle	Détection d'une connexion réussie depuis un hôte compromis à d'autres hôtes	Détecte les connexions réussies d'un hôte compromis à d'autres hôtes.
Règle	Accès à un partage administratif	Détecte si un partage d'administration est accessible.
Règle	Un partage réseau caché a été ajouté	Détecte la création d'un fichier partagé masqué.
Règle	PowerShell a été lancé	Détecte si un hôte démarre PowerShell.
Règle	PowerShell lancé dans un hôte compromis	Détecte si un hôte compromis démarre PowerShell.
Règle	Un service malveillant a été installé dans un système	Détecte si un service malveillant connu est installé dans le système.
Règle	Un processus sans enfant a lancé/engendré un autre processus	Détecte si un processus destiné à être sans enfant lance un processus enfant.
Règle	Suppression des copies miroir détectée	Détecte si les copies miroir sont supprimées.
Règle	Détection d'un processus svchost suspect	Détecte un processus svchost malveillant.
Règle	Mimikatz détecté en fonction du hachage IMP	Détecte l'outil de post-exploitation Mimikatz en fonction de l'utilisation du hachage Invoke Mimikatz PowerShell (IMP).
Règle	Un shell de commandes ou Powershell a été lancé à partir d'un système distant	Détecte si un service à distance, tel que `wsmprovhost`, `psexesvc`ou `wmiprvse`, démarre un interpréteur de commandes ou PowerShell sur un système distant.
Règle	whoami /groups a été exécuté	Détecte si la commande `whoami` ou group est utilisée avant toute technique d'escalade des privilèges.
Règle	Clé de registre SAM-Enumération de sous-clés (utilisateurs)	Détecte toute tentative d'énumération de la clé de registre SAM.
Règle	Détection d'un cliché de registre pour SAM ou clé système	Détecte toute tentative de vidage du registre SAM.
Règle	Accès à la clé de registre SAM-Utilisation de regedit	Détecte toute tentative d'accès à la clé de registre SAM
Règle	Processus Création d'une unité d'exécution dans le processus LSASS	Détecte toute tentative de création d'une unité d'exécution dans le processus LSASS.
Règle	Exécutable non signé chargé dans LSASS.exe	Détecte toute tentative de chargement d'un fichier exécutable non signé dans le processus LSASS.
Règle	Détection d'un accès malveillant au processus LSASS	Détecte tout accès malveillant au processus LSASS.
Règle	Détection d'un accès malveillant au processus LSASS à partir d'une trace d'appel inconnue	Détecte toute tentative sans fichier d'accès au processus LSASS.
Règle	Processus démarré à partir de répertoires inhabituels (Recycle.bin, ..)	Détecte si un processus démarre à partir d'un répertoire inhabituel, tel que la corbeille.
Règle	Détection d'un possible outil de vidage (dump) des données d'identification	Utilisé comme marque supplémentaire si l'une des règles suivantes correspond: Détection d'un accès malveillant au processus LSASS Détection d'un accès malveillant au processus LSASS à partir d'une trace d'appel inconnue Détection d'un cliché de registre pour SAM ou clé système Processus Création d'une unité d'exécution dans le processus LSASS Clé de registre SAM-Enumération de sous-clés (utilisateurs) Accès à la clé de registre SAM-Utilisation de regedit Mimikatz détecté en fonction du hachage IMP Détection d'un service distant connecté à un canal de communication LSASS Processus LSASS connecté à un canal de communication
Règle	Détection d'un possible enregistreur de frappes (keylogger)	Détecte si une machine est infectée par un enregistreur de frappe.
Règle	Locky Ransomware détecté en fonction de rundll32 avec l'argument qwerty	Détectez une signature connue pour Locky ransomware.
Règle	Utilisation malveillante de PowerShell détectée avec une commande encodée	Mise à jour pour détecter d'autres utilisations malveillantes de PowerShell.
Règle	Utilisation malveillante de PowerShell détectée	Mise à jour pour détecter d'autres utilisations malveillantes de PowerShell.
Bloc de construction	BB: PSExec a été détecté	Utilisé dans les règles PSExec.
Bloc de construction	BB: le processus a créé une connexion réseau	Utilisé dans les règles qui mettent en corrélation des connexions réseau avec d'autres activités.
Bloc de construction	BB: Accès à un partage d'administration	Utilisé dans les règles qui détectent les activités malveillantes avec des dossiers partagés.
Bloc de construction	BB : CreateRemoteThread Détecté	Utilisé dans les règles qui détectent la création d'unités d'exécution distantes.
Bloc de construction	BB: Processus Windows normaux accédés LSASS.exe	Utilisé dans les règles qui détectent le processus LSASS.
Bloc de construction	BB: Processus PowerShell détecté	Utilisé dans les règles qui détectent les processus PowerShell .
Bloc de construction	BB: Une tâche planifiée a été créée	Utilisé dans les règles qui détectent les tâches planifiées.
Bloc de construction	BB: Détection d'une tâche planifiée en fonction de la partie 1 de l'événement de création de processus	Utilisé dans les règles qui détectent les tâches planifiées en fonction de la création d'événement de processus.
Bloc de construction	BB: Le canal de communication a été créé	Utilisé dans les règles qui détectent la création de canal de communication.
Bloc de construction	BB: Détection d'une tâche planifiée en fonction de la partie 2 de l'événement de création de processus	Utilisé dans les règles qui détectent les tâches planifiées en fonction de la création d'événement de processus.
Bloc de construction	BB: Le chemin binaire du service a été défini ou mis à jour	Utilisé dans les règles qui détectent si un fichier binaire de chemin de service est défini ou mis à jour.
Bloc de construction	BB : CreateRemoteThread cas exclus	Utilisé dans les règles qui détectent la création d'unités d'exécution distantes.
Recherche sauvegardée	Parent anormal d'un processus	Cette recherche affiche tous les processus avec un parent inhabituel, en fonction des données de référence
Recherche sauvegardée	Connexion réseau détectée par les processus Windows sensibles	Cette recherche affiche toute connexion initiée à partir d'un processus Windows sensible.
Recherche sauvegardée	Accès de processus à LSASS	Cette recherche affiche tous les processus ayant accédé à LSASS.
Recherche sauvegardée	Exécutables lancés à distance via WMI ou PowerShell	Cette recherche affiche les processus qui ont été exécutés à distance.
Recherche sauvegardée	Le chemin binaire du service a été défini ou mis à jour	Cette recherche affiche tout nouveau service ou si l'emplacement du fichier binaire du service change.
Recherche sauvegardée	Le hachage de processus inconnu a été démarré	Cette recherche affiche tous les hachages de processus non vus.
Recherche sauvegardée	Exécutable non signé chargé dans le processus système sensible	Cette recherche montre toute tentative de chargement d'un fichier exécutable non signé dans des processus système sensibles.
Recherche sauvegardée	Ligne de commande très longue détectée	Cette recherche affiche un texte de ligne de commande long.
Ensemble de référence	Hachages sur liste blanche	Contient une liste de hachages sur liste blanche.
Ensemble de référence	Systools	Contient la liste des outils utilisés par les administrateurs système.
Ensemble de référence	Hachages de processus démarrés en tant qu'utilisateur système	Contient une liste de hachages de processus pouvant commencer par des privilèges de niveau système.
Ensemble de référence	Hôtes compromis	Contient une liste remplie avec les hôtes compromis.
Ensemble de référence	Nom de processus à hacher	Contient une liste de noms de processus mappés à leurs hachages.
Ensemble de référence	Indicateurs de compromission-Noms de service malveillants	Contient une liste de noms de services malveillants connus.

_{(Haut de la page)}

IBM Sécurité QRadar Extension du contenu Sysmon 1.0.0

Le tableau suivant décrit les modifications incluses dans IBM Security QRadar Sysmon Content Extension 1.0.0

Type	Nom	Description de la modification
Règle	Exécutable non signé ou DLL chargée à partir du répertoire Temp	Détecte lorsque l'exécutable ou la DLL non affectée est chargée à partir d'un répertoire temporaire.
Règle	Processus lancé à partir d'un répertoire temporaire	Détecte lorsqu'un processus est lancé à partir d'un répertoire temporaire.
Règle	Exécutable non signé ou DLL chargé dans le processus système sensible	Détecte lorsqu'un exécutable ou une DLL non affecté est chargé dans un autre processus système sensible.
Règle	Processus ayant créé une unité d'exécution dans le processus système	Détecte lorsqu'un processus crée une unité d'exécution dans un processus système.
Règle	Le processus a créé une unité d'exécution à partir d'un processus lancé à partir d'un directeur temporaire	Détecte lorsqu'un processus crée une unité d'exécution à partir d'un processus lancé à partir d'un répertoire temporaire.
Règle	Processus ayant créé une unité d'exécution dans un autre processus	Détecte lorsqu'un processus crée une unité d'exécution dans un autre processus.
Règle	Utilisation malveillante de PowerShell détectée	Détecte l'utilisation malveillante de PowerShell .
Règle	Utilisation malveillante de PowerShell détectée avec une commande encodée	Détecte l'utilisation malveillante de PowerShell à l'aide d'une commande codée.
Règle	Le script PowerShell a été téléchargé	Détecte lorsqu'un script PowerShell est téléchargé.
Règle	Processus système démarré à partir du répertoire inhabituel	Détecte lorsqu'un processus système démarre à partir d'un répertoire inhabituel.
Règle	Parent anormal pour un processus système	Détecte la présence d'un parent anormal pour un processus système.
Règle	Processus svchost suspect détecté	Détecte les processus svchost suspects.
Règle	Suppression des copies miroir détectée	Détecte lorsqu'un fichier de copie miroir est supprimé.
Bloc de construction	BB: Exécution non signée ou DLL chargée dans le processus système sensible Partie 1	Utilisé par la règle Unsigned Executable ou DLL Loaded into Sensitive System Process.
Bloc de construction	BB: Détection d'un script PowerShell téléchargé	Utilisée par le script PowerShell , la règle a été téléchargée.
Bloc de construction	BB: Détection d'un script PowerShell téléchargé avec EncodedCommand	Utilisé par la règle PowerShell Utilisation malveillante détectée avec la règle de commande codée.
Propriété personnalisée	Image	`Image:\s(.*)\sImageLoaded`
Propriété personnalisée	ImageName	`Image:\s(?:.\\)(.)\sImageLoaded`
Propriété personnalisée	Signé	`Signed:\s(true\|false)`
Propriété personnalisée	signature	`Signature:\s(.*)\sSignatureStatus`
Propriété personnalisée	SignatureStatus	`SignatureStatus:\s(Valid)`
Propriété personnalisée	LoadedImage	`ImageLoaded:\s(.*)\sHashes`
Propriété personnalisée	Image	`Image:\s(.*)\sCommandLine`
Propriété personnalisée	ImageName	`Image:\s(?:.\\)(.)\sCommandLine`
Propriété personnalisée	ParentImage	`ParentImage:\s(.*)\sParentCommandLine`
Propriété personnalisée	ParentImageName	`ParentImage:\s(?:.\\)(.)\sParentCommandLine`
Propriété personnalisée	Nom de l'image cible	`TargetImage:\s(?:.\\)(.)\sNewThreadId`
Propriété personnalisée	SourceImage	`SourceImage:\s(.*)\sTargetProcessGuid`
Propriété personnalisée	TargetImage	`TargetImage:\s(.*)\sNewThreadId`
Propriété personnalisée	Commande codée PS	`[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)`
Propriété personnalisée	Ligne de commande du processus	`CommandLine:\s(.*)\sCurrentDirectory`
Propriété personnalisée	SourceImageTempPath	`SourceImage:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propriété personnalisée	ImageTempPath	`Image:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propriété personnalisée	ImageLoadedTempPath	`ImageLoaded:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propriété personnalisée	Ligne de commande du processus	`Process Command Line:\s(.)\s*Token Elevation Type`
Propriété personnalisée	Commande codée PS	`Process Command Line:\spowershell.[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^][\s^]+(\S+)\sToken Elevation Type`
Propriété personnalisée	ImageName	`New Process Name:\s(?:.\\)(\S)\sToken\sElevation\sType\:`
Propriété personnalisée	SHA1 Hachage	`SHA1=(\w+)`
Propriété personnalisée	Hachage MD5	`MD5=(\w*)`
Propriété personnalisée	Hachage SHA256	`SHA256=(\w*)`
Propriété personnalisée	Hachage IMP	`IMPHASH=(\w*)`
Propriété personnalisée	Image	`New Process Name:\s(\S)\s*Token\sElevation\sType\:`
Fonction personnalisée	base64Decode	Décode le texte base64 de la commande codée PowerShell en une chaîne lisible normale.
Fonction personnalisée	PScmdFilter	Filtre la ligne de commande du processus à partir des événements Sysmon.
Recherche sauvegardée	Ligne de commande très longue détectée	Il s'agit d'une recherche d'événement à mettre en correspondance sur les lignes de commande de processus long à partir des événements Sysmon.
Ensemble de référence	TempFilePath	Contient une liste des chemins de fichier du répertoire temporaire.
Ensemble de référence	Processus Windows sensibles	Contient une liste de tous les processus sensibles à Windows.
Ensemble de référence	ProcessMaptoProcessPath	Contient une liste des noms de processus et des chemins d'accès à ces processus.
Ensemble de référence	ProcessMaptoProcessParentPath	Contient une liste de noms de processus et les chemins d'accès aux processus parent.

_{(Haut de la page)}