Crypto-minage

Utilisez l'extension IBM Security QRadar Cryptomining Content Extension pour surveiller de près le cryptomining dans votre déploiement. L'extension de contenu de maintenance de version de référence 1.05 ou supérieure est requise pour que le chiffrement fonctionne correctement. Installez l'extension de contenu Baseline Maintenance avant d'installer Cryptomining.

Important: Pour éviter les erreurs de contenu dans cette extension de contenu, tenez à jour les DSM associés. Les DSM sont mis à jour dans le cadre des mises à jour automatiques. Si les mises à jour automatiques ne sont pas activées, téléchargez la version la plus récente des DSM associés à partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Sécurité QRadar Cryptomining Extensions de contenu

IBM Sécurité QRadar Cryptomining Content Extension 1.1.1
IBM Sécurité QRadar Cryptomining Content Extension 1.1.0
IBM Sécurité QRadar Cryptomining Content Extension 1.0.0

IBM Sécurité QRadar Cryptomining Content Extension 1.1.1

Le tableau suivant présente les propriétés personnalisées incluses dans IBM Security QRadar Cryptomining Content Extension 1.1.1.

Tableau 1. Propriétés personnalisées dans IBM Security QRadar Cryptomining 1.1.1
Propriété personnalisée	Trouvé dans
Arguments de commande	Linux
filename	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport Noeud final FireEye MPS Fortinet FortiAnalyzer Linux McAfee OEB Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid SYSMON VMware Microsoft 365 Defender
ID de machine	Linux Microsoft Windows
Hachage MD5	Cisco AMP Microsoft 365 Defender Microsoft Windows
Ligne de commande du processus	Réponse noir de carbone Kubernetes Microsoft Windows osquery SYSMON
Nom du processus	Réponse noir de carbone Noeud final FireEye MPS Linux Microsoft Windows ObserveIT osquery
Hachage SHA256	Cisco AMP Microsoft 365 Defender osquery SYSMON
UrlHost	Blue Coat Cisco Ironport IBM Cloud Discovery App pour QRadar McAfee OEB Squid Microsoft 365 Defender

Le tableau suivant présente les règles de IBM Security QRadar Cryptomining 1.1.1.

Tableau 2. Règles dans IBM Security QRadar Cryptomining 1.1.1
Type	Nom	Descriptif
Règle	Tentative d'utilisation suivie d'une activité d'exploration de cryptomonnaies	Se déclenche lorsqu'une activité de type attaque ou exploitation est suivie d'une activité d'exploration de cryptomonnaies sur le même hôte. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.

_{(Haut de la page)}

IBM Sécurité QRadar Cryptomining Content Extension 1.1.0

Remarque: Certaines des propriétés personnalisées qui sont incluses dans cette extension de contenu sont des marques de réservation. Vous pouvez télécharger d'autres extensions de contenu qui incluent des propriétés personnalisées avec ces noms, ou vous pouvez créer les vôtres.

Le tableau suivant présente les propriétés personnalisées incluses dans IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tableau 3. Propriétés personnalisées dans IBM Security QRadar Cryptomining 1.1.0
Nom	optimisé	Groupe de capture	Expression régulière
Hachage de fichier	Oui	1	HACHAGE_FICHIER = ([ ^ \s ] +)
Nom de la menace	Oui	1	NOM_VIRUS_EVC = ([ ^ \s ] +)

Le tableau suivant présente les propriétés personnalisées qui sont incluses en tant que marques de réservation dans IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tableau 4. Propriétés personnalisées de marque de réservation dans IBM Security QRadar Cryptomining Content Extension 1.1.0
Propriété personnalisée	Trouvé dans
Arguments de commande	Linux
ID de machine	Linux Microsoft Windows
Hachage MD5	Cisco AMP Microsoft 365 Defender Microsoft Windows
Nom du processus	Réponse noir de carbone Noeud final FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA1 Hachage	Cisco AMP Microsoft 365 Defender Microsoft Windows SYSMON
Hachage SHA256	Cisco AMP Microsoft 365 Defender osquery SYSMON

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Cryptomining 1.1.0.

Tableau 5. Règles et blocs de construction dans IBM Security QRadar Cryptomining 1.1.0
Type	Nom	Descriptif
Bloc de construction	BB:Menaces : Communication to Cryptocurrency Mining URL pour les événements	Se déclenche lorsqu'une communication avec un hôte d'exploration de cryptomonnaies est détectée. Remplissez l'ensemble de références Cryptocurrency Mining Hosts avec les URL appropriées.
Bloc de construction	BB: Menaces: Ports d'exploration de cryptomonnaies	Se déclenche lorsqu'une communication utilisant un port d'exploration de cryptomonnaies commun est détectée.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Process Name Patterns	Se déclenche lorsqu'un processus d'exploration de cryptomonnaies démarre.
Bloc de construction	BB: Menaces: Noms de processus d'exploration de cryptomonnaies	Se déclenche lorsqu'un processus d'exploration de cryptomonnaies démarre.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Threat Hashes for Events	Se déclenche lorsqu'un hachage de fichier d'exploration de cryptomonnaies est observé. Remplissez l'ensemble de références Cryptocurrency Mining Threat Hashes avec les hachages de fichiers appropriés.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Threat Hashes for Flows	Se déclenche lorsqu'un hachage de fichier d'exploration de cryptomonnaies est observé. Remplissez l'ensemble de références Cryptocurrency Mining Threat Hashes avec les hachages de fichiers appropriés.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Threat Name Patterns	Se déclenche lorsqu'un nom de menace d'exploration de cryptomonnaies est détecté.
Bloc de construction	BB: Menaces: Noms des menaces Cryptocurrency Mining	Se déclenche lorsqu'un nom de menace d'exploration de cryptomonnaies est détecté.
Bloc de construction	BB: Menaces: X-Force Premium: Connexion interne à l'hôte catégorisée comme Cryptocurrency Mining	Se déclenche lorsqu'un système interne communique avec une adresse IP qui est considérée comme hébergeant l'exploration de la cryptomonnaie. Il pourrait être un indicateur d'une infection par un logiciel malveillant d'exploration de crypto-monnaie. La confiance par défaut (75) indique une forte probabilité qu'il s'agit d'un hôte d'exploration de cryptomonnaies.
Bloc de construction	BB:Menaces : X-Force Premium : Communication interne de l'hôte avec une URL minage de crypto-monnaie pour les événements	Se déclenche lorsqu'un système interne communique avec une URL considérée comme hébergeant du minage de crypto-monnaie. Il pourrait être un indicateur d'une infection par un logiciel malveillant d'exploration de crypto-monnaie.
Règle	Exécution de la commande Cryptocurrency Mining	Se déclenche lorsqu'une commande d'exploration de cryptomonnaies est détectée. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.
Règle	Cryptocurrency Mining-Hachage de fichier	Se déclenche lorsqu'un hachage de fichier d'exploration de cryptomonnaies est détecté. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.
Règle	Processus d'exploration de crypto-monnaie	Se déclenche lorsqu'un processus d'exploration de cryptomonnaies est détecté. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.
Règle	Nom de la menace Cryptocurrency Mining	Se déclenche lorsque des menaces d'exploration de cryptomonnaies (par exemple, des virus, des logiciels malveillants) sont détectées. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.
Règle	Trafic Cryptocurrency Mining	Se déclenche lorsque le trafic d'exploration de cryptomonnaies est détecté. Cela peut indiquer qu'une machine communique avec un pool d'exploration de cryptomonnaies à l'aide d'une adresse IP non catégorisée.
Règle	Tentative d'utilisation suivie d'une activité d'exploration de cryptomonnaies	Se déclenche lorsqu'une activité de type attaque ou exploitation est suivie d'une activité d'exploration de cryptomonnaies sur le même hôte. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.
Règle	Cryptojacking dans le navigateur- JavaScript Hachage de fichier	Se déclenche lorsqu'un hachage de fichier JavaScript lié au chiffrement est détecté. Cela peut indiquer que le navigateur a envoyé une demande GET pour charger un fichier JavaScript de chiffrement et qu'il peut être infecté par un logiciel malveillant ou révéler l'utilisation abusive d'un actif d'entreprise.
Règle	Cryptojacking dans le navigateur- JavaScript Nom de fichier	Se déclenche lorsqu'un nom de fichier JavaScript lié au chiffrement est détecté. Cela peut indiquer que le navigateur a envoyé une demande GET pour charger un fichier JavaScript de chiffrement et qu'il peut être infecté par un logiciel malveillant ou révéler l'utilisation abusive d'un actif d'entreprise.
Règle	Communication réussie avec l'hôte Cryptocurrency Mining	Se déclenche lorsqu'une communication réussie avec un hôte d'exploration de cryptomonnaies est détectée. Cela peut indiquer une machine infectée par un logiciel malveillant ou une mauvaise utilisation d'un actif d'entreprise.

Le tableau suivant présente les ensembles de référence dans IBM Security QRadar Cryptomining 1.1.0.

Tableau 6. Ensembles de référence dans IBM Security QRadar Cryptomining 1.1.0
Nom	Descriptif
Cryptocurrency Mining JavaScript Hashes de fichiers	Contient une liste de hachages de fichiers JavaScript d'exploration de cryptomonnaies.

Le tableau suivant présente les recherches sauvegardées dans IBM Security QRadar Cryptomining 1.1.0.

Tableau 7. Recherches sauvegardées dans IBM Security QRadar Cryptomining 1.1.0
Nom	Descriptif
Adresses de destination avec activités d'exploration de crypto-monnaie	Affiche tous les événements associés à des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse de destination et port de destination.
Adresses de destination avec activités d'exploration de crypto-monnaie	Affiche tous les flux avec des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse de destination et port de destination.
Adresses source avec activités d'exploration de crypto-monnaie	Affiche tous les événements comportant des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse source et port source.
Adresses source avec activités d'exploration de crypto-monnaie	Affiche tous les flux avec des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse source et port source.

_{(Haut de la page)}

IBM Sécurité QRadar Cryptomining Content Extension 1.0.0

Le tableau suivant présente les propriétés personnalisées incluses dans IBM Security QRadar Cryptomining Content Extension 1.0.0.

Remarque: les propriétés personnalisées qui sont incluses dans cette extension de contenu sont des marques de réservation. Vous pouvez télécharger d'autres extensions de contenu qui incluent des propriétés personnalisées avec ces noms, ou vous pouvez créer les vôtres.

Tableau 8. Propriétés personnalisées dans IBM Security QRadar Cryptomining Content Extension 1.0.0
Propriété personnalisée	Trouvé dans
Hachage de fichier	Bit9 Security Platform Carbon Black Protection Réponse noir de carbone Cisco AMP Cisco Firepower FireEye MPS Lastline Enterprise McAfee OEB Microsoft 365 Defender osquery SYSMON
Hachage_fichier	Noeud final Extension de contenuQRadar Network Insights
filename	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport Noeud final FireEye MPS Fortinet FortiAnalyzer Linux McAfee OEB Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid SYSMON VMware Microsoft 365 Defender
Hôte HTTP	Noeud final Extension de contenuQRadar Network Insights
ImageName	SYSMON
Ligne de commande du processus	Réponse noir de carbone Kubernetes Microsoft Windows osquery SYSMON
Nom du processus	Réponse noir de carbone Noeud final FireEye MPS Linux Microsoft Windows ObserveIT osquery
Nom de la menace	Amazon AWS Cisco AMP Cisco Ironport Fortinet FortiAnalyzer McAfee OEB Surveillance des menaces Microsoft 365 Defender Zscaler
URL	Blue Coat Check Point Cisco Ironport IBM Sécurité QRadar DNS Analyzer FireEye MPS Fortinet FortiAnalyzer VPN SSL Juniper SSL VPN McAfee OEB Palo Alto PA Series Squid Symantec Endpoint Protection Surveillance des menaces Microsoft 365 Defender
Hôte de l'URL	Blue Coat Cisco Ironport IBM Cloud Discovery App pour QRadar McAfee OEB Squid Microsoft 365 Defender

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tableau 9. Règles et blocs de construction dans IBM Security QRadar Cryptomining Content Extension 1.0.0
Type	Nom	Descriptif
Bloc de construction	BB:DeviceDefinition: Système d'exploitation	Cette règle définit tous les systèmes d'exploitation du système.
Bloc de construction	BB: Menaces: Communication à Cryptocurrency Mining IP	Détecte les communications avec les adresses IP d'exploration de cryptomonnaies. Mettez à jour l'ensemble de référence pour l'optimisation.
Bloc de construction	BB:Menaces : Communication to Cryptocurrency Mining URL pour les événements	Détecte les communications avec les hôtes d'exploration de cryptomonnaies. Mettez à jour l'ensemble de référence pour l'optimisation.
Bloc de construction	BB:Menaces : Communication à l' URL d'extraction de crypto-monnaie pour les flux	Détecte les communications avec les hôtes d'exploration de cryptomonnaies. Mettez à jour l'ensemble de référence pour l'optimisation.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Process Name Patterns	Détecte le début d'un processus d'exploration de cryptomonnaies bien connu.
Bloc de construction	BB: Menaces: Noms de processus d'exploration de cryptomonnaies	Détecte le début d'un processus d'exploration de cryptomonnaies bien connu.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Threat Hashes for Events	Détecte les menaces pesant sur l'exploration de la cryptomonnaie à l'aide d'un hachage SHA256 . Mettez à jour l'ensemble de référence pour l'optimisation.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Threat Hashes for Flows	Détecte les communications avec les hôtes d'exploration de cryptomonnaies. Mettez à jour l'ensemble de référence pour l'optimisation.
Bloc de construction	BB: Menaces: Cryptocurrency Mining Threat Name Patterns	Détecte les menaces à l'exploitation minière de la crypto-monnaie avec des termes fréquemment utilisés, tels que coin, crypto et mine. Mettez à jour l'expression régulière pour l'optimisation.
Bloc de construction	BB: Menaces: Noms des menaces Cryptocurrency Mining	Détecte les menaces pour l'exploration de la cryptomonnaie. Mettez à jour l'ensemble de référence pour l'optimisation.
Bloc de construction	BB: Menaces: X-Force Premium: Connexion interne à l'hôte catégorisée comme Cryptocurrency Mining	Cette règle avertit lorsqu'un système interne communique avec une adresse IP qui est considérée comme hébergeant l'exploration de la cryptomonnaie. Il peut s'agir d'un indicateur d'une infection par un logiciel malveillant d'exploration de crypto-monnaie. La confiance par défaut (75) indique une forte probabilité qu'il s'agit d'un hôte d'exploration de cryptomonnaies.
Bloc de construction	BB:Menaces : X-Force Premium : Communication interne de l'hôte avec une URL minage de crypto-monnaie pour les événements	Cette règle est notifiée lorsqu'un client interne charge une URL connue pour des activités de minage de crypto-monnaies.
Bloc de construction	BB:Menaces : X-Force Premium : Communication interne de l'hôte avec l' URL minage de crypto-monnaie pour les flux	Cette règle signale qu'un système interne communique avec un hôte HTTP considéré comme hébergeant du minage de crypto-monnaie. Il peut s'agir d'un indicateur d'une infection par un logiciel malveillant d'exploration de crypto-monnaie.
Règle	Détection d'une communication avec l'hôte d'exploration de cryptographie	Détecte les communications vers une destination d'exploration de cryptomonnaies. Cela peut indiquer un hôte compromis par un logiciel malveillant d'exploration de cryptomonnaies.
Règle	Détection d'une activité d'exploration de cryptomonnaie basée sur le hachage de fichier	Détecte les hachages de fichiers d'exploration de cryptomonnaies.
Règle	Détection d'une activité d'exploration de cryptographie basée sur la ligne de commande de processus	Détecte lorsqu'une activité d'exploration de cryptomonnaies est détectée en fonction de la ligne de commande du processus.
Règle	Détection d'une activité d'exploration de cryptomonnaie basée sur le nom de la menace	Détecte les menaces liées à l'exploration de la cryptomonnaie.
Règle	Détection d'un processus d'exploration de crypto-monnaie	Détecte le début d'un processus d'exploration de cryptomonnaies bien connu.
Règle	Détection de la cryptographie dans le navigateur basée sur le hachage de fichier Javascript chargé	Détecte quand le navigateur envoie une demande GET pour charger un fichier JavaScript de chiffrement. La règle utilise le hachage de fichier pour détecter cette activité.
Règle	Détection de la cryptographie dans le navigateur basée sur le nom de fichier Javascript chargé	Détecte quand le navigateur envoie une demande GET pour charger un fichier JavaScript de chiffrement. La règle utilise le composant nom de fichier de l URL pour détecter cette activité.
Règle	Tentative d'utilisation suivie d'une activité d'exploration de cryptomonnaies	Signale une activité de type exploitation ou attaque à partir de la même adresse IP source suivie d'une activité d'exploration de crypto-monnaie à partir de la même adresse IP de destination que l'événement d'origine dans les 15 minutes.

Le tableau suivant présente les rapports d' IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tableau 10. Rapports dans IBM Security QRadar Cryptomining Content Extension 1.0.0
Nom du rapport	Nom de la recherche et dépendances
IP avec activités d'exploration de cryptomonnaies	Ce rapport fournit une vue d'ensemble des adresses IP liées à l'exploration de la cryptomonnaie. Mettez à jour le filtre de recherche pour plus d'optimisation.

Le tableau suivant présente les ensembles de référence dans IBM Security QRadar Cryptomining Content Extension 1.0.0.

Remarque: Les éléments des jeux de références n'expirent pas par défaut. Pour vous assurer que vos ensembles de références ne sont pas surchargés, vous pouvez définir une date d'expiration pour les éléments.

Tableau 11. Ensembles de référence dans IBM Security QRadar Cryptomining Content Extension 1.0.0
Nom	Descriptif
Hôtes Cryptocurrency Mining	Contient une liste d'hôtes d'exploration de cryptomonnaies.
Cryptocurrency Mining-Hashes de fichiers Javascript	Contient une liste de hachages de fichiers JavaScript d'exploration de cryptomonnaies.
Hachages des menaces Cryptocurrency Mining	Contient une liste de hachages de fichiers de menaces d'exploration de cryptomonnaies.
Cryptocurrency Mining-Noms de fichier Javascript	Contient une liste de noms de fichier JavaScript d'exploration de cryptomonnaies.
IP Cryptocurrency Mining	Contient une liste d'adresses IP d'exploration de cryptomonnaies.
Noms de menaces Cryptocurrency Mining	Contient une liste de noms de fichier de menaces d'exploration de cryptomonnaies.
Noms de processus d'exploration de cryptographie	Contient une liste de processus d'exploration de cryptomonnaies.

Le tableau suivant présente les recherches sauvegardées dans IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tableau 12. Recherches sauvegardées dans IBM Security QRadar Cryptomining Content Extension 1.0.0
Nom	Descriptif
Adresses source avec activités d'exploration de crypto-monnaie	Affiche tous les événements comportant des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse source et port source.
Adresses de destination avec activités d'exploration de crypto-monnaie	Affiche tous les événements associés à des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse de destination et port de destination.
Adresses source avec activités d'exploration de crypto-monnaie	Affiche tous les flux avec des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse source et port source.
Adresses de destination avec activités d'exploration de crypto-monnaie	Affiche tous les flux avec des activités d'exploration de cryptomonnaies (déclenchées par l'une des règles) et les regroupe par adresse de destination et port de destination.

_{(Haut de la page)}