Crittografia

Utilizzate l'estensione IBM Security QRadar Cryptomining Content Extension per monitorare attentamente la presenza di cryptomining nella vostra installazione. L'estensione del contenuto di manutenzione della baseline 1.05 o superiore è richiesta per eseguire correttamente Cryptomining. Installare l'estensione del contenuto di manutenzione della baseline prima di installare Cryptomining.

Importante per evitare errori di contenuto in questa estensione di contenuto, tenere aggiornati i DSM associati. I DSM vengono aggiornati come parte degli aggiornamenti automatici. Se gli aggiornamenti automatici non sono abilitati, scaricare la versione più recente dei DSM associati da IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Sicurezza QRadar Estensioni del contenuto di criptomining

IBM Sicurezza QRadar Estensione del contenuto di Cryptomining 1.1.1
IBM Sicurezza QRadar Estensione del contenuto di Cryptomining 1.1.0
IBM Sicurezza QRadar Estensione del contenuto di Cryptomining 1.0.0

IBM Sicurezza QRadar Estensione del contenuto di Cryptomining 1.1.1

La seguente tabella mostra le proprietà personalizzate incluse in IBM Security QRadar Cryptomining Content Extension 1.1.1.

Tabella 1. Proprietà personalizzate in IBM Security QRadar Cryptomining 1.1.1
Proprietà personalizzata	Trovato in
Argomenti del comando	Linux
Nome file	Amazon AWS Azure Bit9 Piattaforma di sicurezza Cappotto blu Protezione del nero di carbonio AMP Cisco Cisco Firepower Cisco IronPort Endpoint FireEye MPS FortiAnalyzer di Fortinet Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid Sysmon VMware Microsoft 365 Difensore
ID macchina	Linux Microsoft Windows
Hash MD5	AMP Cisco Microsoft 365 Difensore Microsoft Windows
Riga comandi processo	Risposta Carbon Black Kubernetes Microsoft Windows osquery Sysmon
Nome processo	Risposta Carbon Black Endpoint FireEye MPS Linux Microsoft Windows ObserveIT osquery
Hash SHA256	AMP Cisco Microsoft 365 Difensore osquery Sysmon
UrlHost	Cappotto blu Cisco IronPort IBM Cloud Discovery App per QRadar McAfee EPO Squid Microsoft 365 Difensore

La seguente tabella mostra le regole in IBM Security QRadar Cryptomining 1.1.1.

Tabella 2. Regole in IBM Security QRadar Cryptomining 1.1.1
Tipo	Nome	Descrizione
Regola	Tentativo di exploit seguito dall'attività di mining di criptovaluta	Si attiva quando un'attività di tipo exploit o attacco è seguita dall'attività di mining di criptovaluta sullo stesso host. Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Cryptomining 1.1.0

Nota: alcune proprietà personalizzate incluse in questa estensione del contenuto sono segnaposto. È possibile scaricare altre estensioni di contenuto che includono proprietà personalizzate con questi nomi oppure è possibile crearne di proprie.

La seguente tabella mostra le proprietà personalizzate incluse in IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tabella 3. Proprietà personalizzate in IBM Security QRadar Cryptomining 1.1.0
Nome	Ottimizzato	Gruppo di cattura	Regex
Hash file	Sì	1	FILE_HASH = ([ ^ \s] +)
Nome minaccia	Sì	1	EVC_EV_VIRUS_NAME = ([ ^ \s] +)

La seguente tabella mostra le proprietà personalizzate incluse come segnaposto in IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tabella 4. Proprietà personalizzate segnaposto in IBM Security QRadar Cryptomining Content Extension 1.1.0
Proprietà personalizzata	Trovato in
Argomenti del comando	Linux
ID macchina	Linux Microsoft Windows
Hash MD5	AMP Cisco Microsoft 365 Difensore Microsoft Windows
Nome processo	Risposta Carbon Black Endpoint FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA1 Hash	AMP Cisco Microsoft 365 Difensore Microsoft Windows Sysmon
Hash SHA256	AMP Cisco Microsoft 365 Difensore osquery Sysmon

La seguente tabella mostra le regole e i blocchi di generazione in IBM Security QRadar Cryptomining 1.1.0.

Tabella 5. Regole e creazione di blocchi in IBM Security QRadar CrypTomining 1.1.0
Tipo	Nome	Descrizione
Blocco di generazione	BB:Minacce: Comunicazione all' URL di estrazione di criptovalute per gli eventi	Si attiva quando viene rilevata una comunicazione con un host di mining di criptovaluta. Popolare la serie di riferimento Cryptocurrency Mining Hosts con URL pertinenti.
Blocco di generazione	BB: minacce: porte di mining di criptovaluta	Si attiva quando viene rilevata una comunicazione utilizzando una porta di mining di criptovaluta comune.
Blocco di generazione	BB: Minacce: Cryptocurrency Mining Process Name Patterns	Si attiva quando inizia un processo di mining di criptovalute.
Blocco di generazione	BB: minacce: nomi processo di mining di criptovaluta	Si attiva quando inizia un processo di mining di criptovalute.
Blocco di generazione	BB: Minacce: Cryptocurrency Mining Threat Hash for Events	Si attiva quando viene osservato un hash di file di mining di criptovaluta. Popolare la serie di riferimento Cryptocurrency Mining Threat Hash con gli hash dei file pertinenti.
Blocco di generazione	BB: Minacce: Cryptocurrency Mining Threat Hash for Flows	Si attiva quando viene osservato un hash di file di mining di criptovaluta. Popolare la serie di riferimento Cryptocurrency Mining Threat Hash con gli hash dei file pertinenti.
Blocco di generazione	BB: minacce: modelli di nomi di minacce di mining di criptovaluta	Si attiva quando viene rilevato un nome di minaccia di mining di criptovalute.
Blocco di generazione	BB: minacce: nomi delle minacce di mining di criptovaluta	Si attiva quando viene rilevato un nome di minaccia di mining di criptovalute.
Blocco di generazione	BB: minacce: X-Force Premium: connessione interna all'host categorizzata come mining di criptovaluta	Si attiva quando un sistema interno comunica con un indirizzo IP che è considerato ospitare il mining di criptovaluta. Potrebbe essere un indicatore di un'infezione da malware di mining di criptovaluta. La confidenza predefinita (75) indica una forte possibilità che si tratta di un host di mining di criptovaluta.
Blocco di generazione	BB:Minacce: X-Force Premium: comunicazione interna all'host con URL di estrazione di criptovalute per gli eventi	Si attiva quando un sistema interno comunica con un URL che si ritiene ospiti il mining di criptovalute. Potrebbe essere un indicatore di un'infezione da malware di mining di criptovaluta.
Regola	Esecuzione del comando di mining di criptovalute	Viene attivato quando viene rilevato un comando di mining di criptovalute. Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.
Regola	Hash file di mining di criptovaluta	Si attiva quando viene rilevato un hash del file di mining di criptovalute. Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.
Regola	Processo di mining di criptovaluta	Si attiva quando viene rilevato un processo di mining di criptovalute. Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.
Regola	Nome minaccia mining di criptovaluta	Si attiva quando vengono rilevate minacce di mining di criptovaluta (ad esempio virus, malware). Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.
Regola	Traffico di mining di criptovaluta	Si attiva quando viene rilevato il traffico di mining di criptovaluta. Ciò potrebbe indicare una macchina che comunica con un pool di mining di criptovalute utilizzando un IP non categorizzato.
Regola	Tentativo di exploit seguito dall'attività di mining di criptovaluta	Si attiva quando un'attività di tipo exploit o attacco è seguita dall'attività di mining di criptovaluta sullo stesso host. Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.
Regola	Cryptojacking nel browser - JavaScript File Hash	Si attiva quando viene rilevato un hash del file JavaScript relativo alla crittografia. Ciò potrebbe indicare che il browser ha inviato una richiesta GET per caricare un file JavaScript di crittografia e potrebbe essere infetto da un malware o rivelare l'uso improprio di un asset aziendale.
Regola	Cryptojacking nel browser - JavaScript Nome file	Viene attivato quando viene rilevato un nome file JavaScript correlato alla crittografia. Ciò potrebbe indicare che il browser ha inviato una richiesta GET per caricare un file JavaScript di crittografia e potrebbe essere infetto da un malware o rivelare l'uso improprio di un asset aziendale.
Regola	Comunicazione riuscita con l'host di mining di criptovaluta	Si attiva quando viene rilevata una comunicazione corretta con un host di mining di criptovaluta. Ciò potrebbe indicare una macchina infetta da un malware o un uso improprio di un asset aziendale.

La seguente tabella mostra le serie di riferimento in IBM Security QRadar Cryptomining 1.1.0.

Tabella 6. Serie di riferimento in IBM Security QRadar Cryptomining 1.1.0
Nome	Descrizione
Cryptocurrency Mining JavaScript File hash	Contiene un elenco di hash di file di mining di criptovaluta JavaScript .

La seguente tabella mostra le ricerche salvate in IBM Security QRadar Cryptomining 1.1.0.

Tabella 7. Ricerche salvate in IBM Security QRadar Cryptomining 1.1.0
Nome	Descrizione
Indirizzi di destinazione con attività di mining di criptovaluta	Mostra tutti gli eventi con attività di mining di criptovalute (attivata una delle regole) e li raggruppa per indirizzo di destinazione e porta di destinazione.
Indirizzi di destinazione con attività di mining di criptovaluta	Mostra tutti i flussi con attività di mining di criptovalute (attivata una delle regole) e li raggruppa per indirizzo di destinazione e porta di destinazione.
Indirizzi di origine con attività di mining di criptovaluta	Mostra tutti gli eventi con attività di mining di criptovaluta (attivata una delle regole) e li raggruppa per indirizzo di origine e porta di origine.
Indirizzi di origine con attività di mining di criptovaluta	Mostra tutti i flussi con attività di mining di criptovaluta (attivata una delle regole) e li raggruppa per indirizzo di origine e porta di origine.

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Cryptomining 1.0.0

La seguente tabella mostra le proprietà personalizzate incluse in IBM Security QRadar Cryptomining Content Extension 1.0.0.

Nota: le proprietà personalizzate incluse in questa estensione del contenuto sono segnaposto. È possibile scaricare altre estensioni di contenuto che includono proprietà personalizzate con questi nomi oppure è possibile crearne di proprie.

Tabella 8. Proprietà personalizzate in IBM Security QRadar Cryptomining Content Extension 1.0.0
Proprietà personalizzata	Trovato in
Hash file	Bit9 Piattaforma di sicurezza Protezione del nero di carbonio Risposta Carbon Black AMP Cisco Cisco Firepower FireEye MPS Impresa Lastline McAfee EPO Microsoft 365 Difensore osquery Sysmon
Hash file	Endpoint Estensione contenuto QRadar Network Insights
Nome file	Amazon AWS Azure Bit9 Piattaforma di sicurezza Cappotto blu Protezione del nero di carbonio AMP Cisco Cisco Firepower Cisco IronPort Endpoint FireEye MPS FortiAnalyzer di Fortinet Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid Sysmon VMware Microsoft 365 Difensore
Host HTTP	Endpoint Estensione contenuto QRadar Network Insights
ImageName	Sysmon
Riga comandi processo	Risposta Carbon Black Kubernetes Microsoft Windows osquery Sysmon
Nome processo	Risposta Carbon Black Endpoint FireEye MPS Linux Microsoft Windows ObserveIT osquery
Nome minaccia	Amazon AWS AMP Cisco Cisco IronPort FortiAnalyzer di Fortinet McAfee EPO Monitoraggio minacce Microsoft 365 Difensore Zscaler
URL	Cappotto blu Check Point Cisco IronPort IBM Sicurezza QRadar Analizzatore DNS FireEye MPS FortiAnalyzer di Fortinet Ginepro SSL VPN McAfee EPO Palo Alto PA Series Squid Protezione endpoint Symantec Monitoraggio minacce Microsoft 365 Difensore
Host URL	Cappotto blu Cisco IronPort IBM Cloud Discovery App per QRadar McAfee EPO Squid Microsoft 365 Difensore

La seguente tabella mostra le regole e i blocchi di creazione in IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabella 9. Regole e blocchi di creazione in IBM Security QRadar Cryptomining Content Extension 1.0.0
Tipo	Nome	Descrizione
Blocco di generazione	BB:DeviceDefinition: Sistema operativo	Questa regola definisce tutti i sistemi operativi sul sistema.
Blocco di generazione	BB: minacce: comunicazione con Cryptocurrency Mining IP	Rileva le comunicazioni con gli indirizzi IP di mining di criptovalute. Aggiornare la serie di riferimento per l'ottimizzazione.
Blocco di generazione	BB:Minacce: Comunicazione all' URL di estrazione di criptovalute per gli eventi	Rileva le comunicazioni con gli host di mining di criptovaluta. Aggiornare la serie di riferimento per l'ottimizzazione.
Blocco di generazione	BB:Minacce: Comunicazione all' URL di estrazione di criptovalute per i flussi	Rileva le comunicazioni con gli host di mining di criptovaluta. Aggiornare la serie di riferimento per l'ottimizzazione.
Blocco di generazione	BB: Minacce: Cryptocurrency Mining Process Name Patterns	Rileva quando inizia un processo di mining di criptovalute noto.
Blocco di generazione	BB: minacce: nomi processo di mining di criptovaluta	Rileva quando inizia un processo di mining di criptovalute noto.
Blocco di generazione	BB: Minacce: Cryptocurrency Mining Threat Hash for Events	Rileva le minacce al mining di criptovaluta con un hash SHA256 . Aggiornare la serie di riferimento per l'ottimizzazione.
Blocco di generazione	BB: Minacce: Cryptocurrency Mining Threat Hash for Flows	Rileva le comunicazioni con gli host di mining di criptovaluta. Aggiornare la serie di riferimento per l'ottimizzazione.
Blocco di generazione	BB: minacce: modelli di nomi di minacce di mining di criptovaluta	Rileva le minacce al mining di criptovalute con termini utilizzati di frequente, come coin, crypto e mine. Aggiornare l'espressione regolare per l'ottimizzazione.
Blocco di generazione	BB: minacce: nomi delle minacce di mining di criptovaluta	Rileva le minacce al mining di criptovalute. Aggiornare la serie di riferimento per l'ottimizzazione.
Blocco di generazione	BB: minacce: X-Force Premium: connessione interna all'host categorizzata come mining di criptovaluta	Questa regola notifica quando un sistema interno comunica con un indirizzo IP che è considerato ospitare il mining di criptovaluta. Potrebbe essere un indicatore di un'infezione da malware di mining di criptovaluta. La confidenza predefinita (75) indica una forte possibilità che si tratta di un host di mining di criptovaluta.
Blocco di generazione	BB:Minacce: X-Force Premium: comunicazione interna all'host con URL di estrazione di criptovalute per gli eventi	Questa regola segnala quando un client interno carica un URL noto per l'attività di mining di criptovalute.
Blocco di generazione	BB:Minacce: X-Force Premium: comunicazione interna all'host con URL di estrazione di criptovalute per i flussi	Questa regola segnala quando un sistema interno comunica con un host HTTP che si ritiene ospiti il mining di criptovalute. Potrebbe essere un indicatore di un'infezione da malware di mining di criptovaluta.
Regola	È stata rilevata una comunicazione con Cryptocurrency Mining Host	Rileva le comunicazioni con una destinazione di mining di criptovalute. Ciò potrebbe indicare un host compromesso dal malware di mining di criptovaluta.
Regola	È stata rilevata un'attività di mining di criptovalute basata sull'hash del file	Rileva gli hash dei file di mining di criptovaluta.
Regola	È stata rilevata un'attività di mining di criptovaluta basata sulla riga comandi del processo	Rileva quando un'attività di mining di criptovaluta si basa sulla riga comandi del processo.
Regola	È stata rilevata un'attività di mining di criptovalute in base al nome della minaccia	Rileva le minacce di mining di criptovaluta.
Regola	Rilevato un processo di mining di criptovalute	Rileva quando inizia un processo di mining di criptovalute noto.
Regola	Rilevato crittojacking in - browser basato sull'hash del file Javascript caricato	Rileva quando il browser invia una richiesta GET per caricare un file javascript di crittografia. La regola utilizza l'hash del file per rilevare tale attività.
Regola	Rilevato crittojacking in - browser basato sul nome file Javascript caricato	Rileva quando il browser invia una richiesta GET per caricare un file javascript di crittografia. La regola utilizza il componente del nome del file URL per rilevare tale attività.
Regola	Tentativo di exploit seguito dall'attività di mining di criptovaluta	Riporta un'attività di tipo exploit o attacco dallo stesso indirizzo IP di origine seguito dall'attività di mining di criptovaluta dallo stesso indirizzo IP di destinazione dell'evento originale entro 15 minuti.

La seguente tabella mostra i report in IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabella 10. Report in IBM Security QRadar Cryptomining Content Extension 1.0.0
Nome report	Ricerca nome e dipendenze
IP con attività di mining di criptovaluta	Questo rapporto fornisce una panoramica degli indirizzi IP relativi al mining di criptovalute. Aggiornare il filtro di ricerca per un'ulteriore ottimizzazione.

La seguente tabella mostra le serie di riferimento in IBM Security QRadar Cryptomining Content Extension 1.0.0.

Nota: gli elementi nelle serie di riferimento non scadono per impostazione predefinita. Per assicurarsi che le serie di riferimento non siano sovraccaricate, è possibile impostare una data di scadenza per gli elementi.

Tabella 11. Serie di riferimento in IBM Security QRadar Cryptomining Content Extension 1.0.0
Nome	Descrizione
Host Cryptocurrency Mining	Contiene un elenco di host di mining di criptovaluta.
Hash file Javascript di estrazione della criptovaluta	Contiene un elenco di hash di file Javascript di mining di criptovaluta.
Hash delle minacce di mining di criptovaluta	Contiene un elenco di hash di file di minacce di mining di criptovalute.
Nomi file Javascript di Cryptocurrency Mining	Contiene un elenco di nomi file Javascript di mining di criptovaluta.
IP Cryptocurrency Mining	Contiene un elenco di indirizzi IP di mining di criptovalute.
Nomi delle minacce di mining di criptovaluta	Contiene un elenco di nomi file di minacce di mining di criptovaluta.
Nomi processo di mining di criptovaluta	Contiene un elenco di processi di mining di criptovaluta.

La seguente tabella mostra le ricerche salvate in IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabella 12. Ricerche salvate in IBM Security QRadar Cryptomining Content Extension 1.0.0
Nome	Descrizione
Indirizzi di origine con attività di mining di criptovaluta	Mostra tutti gli eventi con attività di mining di criptovaluta (attivata una delle regole) e li raggruppa per indirizzo di origine e porta di origine.
Indirizzi di destinazione con attività di mining di criptovaluta	Mostra tutti gli eventi con attività di mining di criptovalute (attivata una delle regole) e li raggruppa per indirizzo di destinazione e porta di destinazione.
Indirizzi di origine con attività di mining di criptovaluta	Mostra tutti i flussi con attività di mining di criptovaluta (attivata una delle regole) e li raggruppa per indirizzo di origine e porta di origine.
Indirizzi di destinazione con attività di mining di criptovaluta	Mostra tutti i flussi con attività di mining di criptovalute (attivata una delle regole) e li raggruppa per indirizzo di destinazione e porta di destinazione.

_{(Torna all'inizio)}