クリプトマイニング

IBM Security QRadar Cryptomining Content Extension を使用して、展開内のクリプトマイニングを詳細に監視します。クリプトマイニングの正常な実行には、ベースライン保守 1.05 以上が必要です。クリプトマイニングをインストールする前にベースライン保守コンテンツ拡張をインストールしてください。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar クリプトマイニング・コンテンツ拡張

IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.1.1
IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.1.0
IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.0.0

IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.1.1

次の表では、 IBM Security QRadar 暗号化コンテンツ拡張 1.1.1に含まれるカスタム・プロパティーを示しています。

表 1. IBM セキュリティー QRadar クリプトマイニング 1.1.1 のカスタム・プロパティー
カスタム・プロパティー	場所
コマンド引数	Linux
ファイル名	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport エンドポイント FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA シリーズ Postfix Squid Sysmon VMware Microsoft 365 Defender
マシン ID	Linux Microsoft Windows
MD5 ハッシュ	Cisco AMP Microsoft 365 Defender Microsoft Windows
プロセス・コマンド行	Carbon Black Response Kubernetes Microsoft Windows osquery Sysmon
プロセス名	Carbon Black Response エンドポイント FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA256 ハッシュ	Cisco AMP Microsoft 365 Defender osquery Sysmon
UrlHost	Blue Coat Cisco Ironport IBM クラウド発見アプリ QRadar McAfee EPO Squid Microsoft 365 Defender

以下の表に、 IBM Security QRadar Cryptomining 1.1.1のルールを示します。

表 2. IBM セキュリティー QRadar クリプトマイニング 1.1.1 のルール
タイプ	名前	説明
ルール	エクスプロイト試行後に Cryptocurrency Mining アクティビティー	エクスプロイト・タイプまたは攻撃タイプのアクティビティーが行われた後に、同じホストで暗号通貨マイニング・アクティビティーが行われたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。

_{( 上に戻る )}

IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.1.0

注: このコンテンツ拡張に含まれるカスタム・プロパティーの一部は、プレースホルダーです。これらの名前のカスタム・プロパティーを含むその他のコンテンツ拡張をダウンロードすることも、ユーザー独自のプロパティーを作成することもできます。

次の表では、 IBM Security QRadar 暗号化コンテンツ拡張 1.1.0に含まれるカスタム・プロパティーを示しています。

表 3. IBM セキュリティー QRadar クリプトマイニング 1.1.0 のカスタム・プロパティー
名前	最適化済み	キャプチャー・グループ	正規表現
File Hash	はい	1	FILE_HASH=([^¥s]+)
脅威名	はい	1	EVC_EV_VIRUS_NAME=([^¥s]+)

次の表では、 IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.1.0にプレースホルダーとして組み込まれているカスタム・プロパティーを示しています。

表 4. IBM セキュリティー QRadar クリプトマイニング・コンテンツ拡張 1.1.0 のプレースホルダー・カスタム・プロパティー
カスタム・プロパティー	場所
コマンド引数	Linux
マシン ID	Linux Microsoft Windows
MD5 ハッシュ	Cisco AMP Microsoft 365 Defender Microsoft Windows
プロセス名	Carbon Black Response エンドポイント FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA1 ハッシュ	Cisco AMP Microsoft 365 Defender Microsoft Windows Sysmon
SHA256 ハッシュ	Cisco AMP Microsoft 365 Defender osquery Sysmon

以下の表に、 IBM Security QRadar Cryptomining 1.1.0のルールとビルディング・ブロックを示します。

表 5. IBM セキュリティー QRadar クリプトマイニング 1.1.0 のルールとビルディング・ブロック
タイプ	名前	説明
ビルディング・ブロック	BB:脅威: 暗号通貨マイニングへの通信イベント用 URL	暗号通貨マイニング・ホストに対する通信が検出されたときにトリガーします。「Cryptocurrency Mining Hosts」リファレンス・セットに関連 URL を事前に定義します。
ビルディング・ブロック	BB: Threat: Cryptocurrency Mining Ports (BB: 脅威: 暗号通貨マイニング・ポート)	共通の暗号通貨マイニング・ポートを使用する通信が検出されたときにトリガーします。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Process Name Patterns	暗号通貨マイニング・プロセスが開始したときにトリガーします。
ビルディング・ブロック	BB: Threat: Cryptocurrency Mining プロセス名	暗号通貨マイニング・プロセスが開始したときにトリガーします。
ビルディング・ブロック	BB: Threat: Cryptocurrency Mining Threat Hashes for Events	暗号通貨マイニングのファイル・ハッシュが観察されたときにトリガーします。「Cryptocurrency Mining Threat Hashes」リファレンス・セットに関連するファイル・ハッシュを事前に定義します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Threat Hashes for Flows	暗号通貨マイニングのファイル・ハッシュが観察されたときにトリガーします。「Cryptocurrency Mining Threat Hashes」リファレンス・セットに関連するファイル・ハッシュを事前に定義します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Threat Name Patterns	暗号通貨マイニングの脅威名が検出されたときにトリガーします。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Threat Names	暗号通貨マイニングの脅威名が検出されたときにトリガーします。
ビルディング・ブロック	BB: 脅威: X-Force Premium: Cryptocurrency Mining として分類されたホストへの内部接続	内部システムが暗号通貨マイニングをホストしていると考えられる IP アドレスと通信を行ったときにトリガーします。これは暗号通貨マイニング・マルウェアへの感染を示す指標である可能性があります。デフォルトの信頼度 (75) は、これが暗号通貨マイニングのホストである可能性が高いことを示します。
ビルディング・ブロック	BB:脅威: X-Force プレミアム: URLによる内部ホスト通信と暗号通貨マイニング	内部システムが暗号通貨マイニングをホストしていると考えられる URL と通信を行ったときにトリガーします。これは暗号通貨マイニング・マルウェアへの感染を示す指標である可能性があります。
ルール	Cryptocurrency Mining コマンド実行	暗号通貨マイニングのコマンドが検出されたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。
ルール	暗号通貨マイニング・ファイル・ハッシュ (Cryptocurrency Mining File Hhash)	暗号通貨マイニングのファイル・ハッシュが検出されたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。
ルール	暗号通貨マイニング・プロセス (Cryptocurrency Mining Process)	暗号通貨マイニング・プロセスが検出されたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。
ルール	暗号通貨マイニングの脅威名 (Cryptocurrency Mining Threat Name)	暗号通貨マイニングの脅威 (例えば、ウィルス、マルウェア) が検出されたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。
ルール	暗号通貨マイニング・トラフィック (Cryptocurrency Mining Traffic)	暗号通貨マイニングのトラフィックが検出されたときにトリガーします。これは、マシンが未分類の IP を使用して暗号通貨マイニング・プールと通信していることを示している可能性があります。
ルール	エクスプロイト試行後に Cryptocurrency Mining アクティビティー	エクスプロイト・タイプまたは攻撃タイプのアクティビティーが行われた後に、同じホストで暗号通貨マイニング・アクティビティーが行われたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。
ルール	ブラウザーでの暗号化- JavaScript ファイル・ハッシュ	クリプトジャッキングに関連する JavaScript ファイル・ハッシュが検出されたときにトリガーします。これは、ブラウザーが GET 要求を送信してクリプトジャッキングの JavaScript ファイルをロードし、マルウェアに感染しているか、企業アセットの誤用を検出したことを示している可能性があります。
ルール	ブラウザーでの暗号化- JavaScript ファイル名	クリプトジャッキングに関連する JavaScript ファイル名が検出されたときにトリガーします。これは、ブラウザーが GET 要求を送信してクリプトジャッキングの JavaScript ファイルをロードし、マルウェアに感染しているか、企業アセットの誤用を検出したことを示している可能性があります。
ルール	暗号通貨マイニング・ホストへの通信の成功	暗号通貨マイニング・ホストに対する成功した通信が検出されたときにトリガーします。これは、マルウェアに感染したマシンや企業アセットの誤用を示している可能性があります。

以下の表に、 IBM Security QRadar Cryptomining 1.1.0のリファレンス・セットを示します。

表 6. IBM セキュリティー QRadar クリプトマイニング 1.1.0 のリファレンス・セット
名前	説明
Cryptocurrency Mining JavaScript ファイル・ハッシュ	暗号通貨マイニング JavaScript ファイル・ハッシュのリストが含まれます。

以下の表に、 IBM Security QRadar Cryptomining 1.1.0の保存済み検索を示します。

表 7. IBM セキュリティー QRadar 「クリプトマイニング」 1.1.0 の「保存済み検索」
名前	説明
暗号通貨マイニング・アクティビティーを使用した宛先アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのイベントを表示し、それらを宛先アドレスと宛先ポート別にグループ化します。
暗号通貨マイニング・アクティビティーを使用した宛先アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのフローを表示し、それらを宛先アドレスと宛先ポート別にグループ化します。
暗号通貨マイニング・アクティビティーを使用するソース・アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのイベントを表示し、それらを送信元アドレスと送信元ポート別にグループ化します。
暗号通貨マイニング・アクティビティーを使用するソース・アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのフローを表示し、それらを送信元アドレスと送信元ポート別にグループ化します。

_{( 上に戻る )}

IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.0.0に含まれるカスタム・プロパティーを示しています。

注: このコンテンツ拡張に含まれるカスタム・プロパティーはプレースホルダーです。これらの名前のカスタム・プロパティーを含むその他のコンテンツ拡張をダウンロードすることも、ユーザー独自のプロパティーを作成することもできます。

表 8. IBM セキュリティー QRadar クリプトマイニング・コンテンツ拡張 1.0.0 のカスタム・プロパティー
カスタム・プロパティー	場所
File Hash	Bit9 Security Platform Carbon Black Protection Carbon Black Response Cisco AMP Cisco Firepower FireEye MPS Lastline Enterprise McAfee EPO Microsoft 365 Defender osquery Sysmon
ファイル・ハッシュ	エンドポイント QRadar Network Insights コンテンツ拡張
ファイル名	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport エンドポイント FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA シリーズ Postfix Squid Sysmon VMware Microsoft 365 Defender
HTTP ホスト	エンドポイント QRadar Network Insights コンテンツ拡張
ImageName	Sysmon
プロセス・コマンド行	Carbon Black Response Kubernetes Microsoft Windows osquery Sysmon
プロセス名	Carbon Black Response エンドポイント FireEye MPS Linux Microsoft Windows ObserveIT osquery
脅威名	Amazon AWS Cisco AMP Cisco Ironport Fortinet FortiAnalyzer McAfee EPO Threat Monitoring Microsoft 365 Defender Zscaler
URL	Blue Coat チェック・ポイント Cisco Ironport IBM Security QRadar DNS アナライザー FireEye MPS Fortinet FortiAnalyzer Juniper SSL VPN McAfee EPO Palo Alto PA シリーズ Squid Symantec Endpoint Protection Threat Monitoring Microsoft 365 Defender
UrlHost	Blue Coat Cisco Ironport IBM クラウド発見アプリ QRadar McAfee EPO Squid Microsoft 365 Defender

次の表では、 IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.0.0のルールおよびビルディング・ブロックを示しています。

表 9. IBM セキュリティー QRadar クリプトマイニング・コンテンツ拡張 1.0.0 のルールおよびビルディング・ブロック
タイプ	名前	説明
ビルディング・ブロック	BB:DeviceDefinition: Operating System	このルールは、システムのすべてのオペレーティング・システムを定義します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining IP への通信	暗号通貨マイニング IP アドレスに対する通信を検出します。調整を加える場合はリファレンス・セットを更新します。
ビルディング・ブロック	BB:脅威: 暗号通貨マイニングへの通信イベント用 URL	暗号通貨マイニング・ホストに対する通信を検出します。調整を加える場合はリファレンス・セットを更新します。
ビルディング・ブロック	BB:脅威: 暗号通貨マイニングへの通信フロー用 URL	暗号通貨マイニング・ホストに対する通信を検出します。調整を加える場合はリファレンス・セットを更新します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Process Name Patterns	既知の暗号通貨マイニング・プロセスが開始された場合に、そのことを検出します。
ビルディング・ブロック	BB: Threat: Cryptocurrency Mining プロセス名	既知の暗号通貨マイニング・プロセスが開始された場合に、そのことを検出します。
ビルディング・ブロック	BB: Threat: Cryptocurrency Mining Threat Hashes for Events	SHA256 ハッシュを使用して暗号通貨マイニングに対する脅威を検出します。調整を加える場合はリファレンス・セットを更新します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Threat Hashes for Flows	暗号通貨マイニング・ホストに対する通信を検出します。調整を加える場合はリファレンス・セットを更新します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Threat Name Patterns	よく使用される用語 (coin、crypto、mine など) を使用して暗号通貨マイニングに対する脅威を検出します。調整を加える場合は正規表現を更新します。
ビルディング・ブロック	BB: 脅威: Cryptocurrency Mining Threat Names	暗号通貨マイニングに対する脅威を検出します。調整を加える場合はリファレンス・セットを更新します。
ビルディング・ブロック	BB: 脅威: X-Force Premium: Cryptocurrency Mining として分類されたホストへの内部接続	このルールは、内部システムが暗号通貨マイニングをホストしていると考えられる IP アドレスと通信を行った場合に、そのことを通知します。これは暗号通貨マイニング・マルウェアへの感染を示す指標である可能性があります。デフォルトの信頼度 (75) は、これが暗号通貨マイニングのホストである可能性が高いことを示します。
ビルディング・ブロック	BB:脅威: X-Force プレミアム: URLによる内部ホスト通信と暗号通貨マイニング	このルールは、暗号通貨マイニング・アクティビティーへの関与が知られている Web URL を内部クライアントがロードした場合に、そのことを通知します。
ビルディング・ブロック	BB:脅威: X-Force Premium: 内部ホスト通信による暗号通貨マイニングのフロー用 URL	このルールは、内部システムが暗号通貨マイニングをホストしていると考えられる HTTP ホストと通信を行った場合に、そのことを通知します。これは暗号通貨マイニング・マルウェアへの感染を示す指標である可能性があります。
ルール	暗号通貨マイニング・ホストへの通信を検出しました	暗号通貨マイニングに関連する宛先への通信を検出します。これは暗号通貨マイニング・マルウェアによって危殆化されたホストを示している可能性があります。
ルール	ファイル・ハッシュに基づく暗号通貨マイニング・アクティビティーの検出 (Detected a Cryptocurrency Mining Activity Based on File Hash)	暗号通貨マイニングのファイル・ハッシュを検出します。
ルール	Detected a Cryptocurrency Mining Activity Based on Process Command Line (プロセス・コマンド行に基づく暗号通貨マイニング・アクティビティーの検出)	プロセスのコマンド行に基づいて暗号通貨マイニング・アクティビティーを検出します。
ルール	脅威名に基づいて暗号通貨マイニング・アクティビティーが検出されました (Detected a Cryptocurrency Mining Activity Based on Threat Name)	暗号通貨マイニングの脅威を検出します。
ルール	Detected a Cryptocurrency Mining Process (暗号通貨マイニング・プロセスの検出)	既知の暗号通貨マイニング・プロセスが開始された場合に、そのことを検出します。
ルール	Detected In-Browser Cryptojacking based on Loaded Javascript File Hash (ロードされた JavaScript ファイル・ハッシュに基づくブラウザー内暗号化の検出)	ブラウザーが GET 要求を送信してクリプトジャッキングの JavaScript ファイルをロードした場合に、そのことを検出します。このルールでは、ファイル・ハッシュを使用してそのアクティビティーを検出します。
ルール	Detected In-Browser Cryptojacking based on Loaded Javascript File Name (ロードされた Javascript ファイル名に基づくブラウザーで検出された暗号化)	ブラウザーが GET 要求を送信してクリプトジャッキングの JavaScript ファイルをロードした場合に、そのことを検出します。このルールでは、URL のファイル名コンポーネントを使用してそのアクティビティーを検出します。
ルール	エクスプロイト試行後に Cryptocurrency Mining アクティビティー	同じ送信元 IP アドレスからエクスプロイトまたは攻撃タイプのアクティビティーが行われた後、15 分以内に、最初のイベントと同じ宛先 IP アドレスから暗号通貨マイニング・アクティビティーが行われた場合に、そのことを報告します。

次の表では、 IBM Security QRadar 暗号化コンテンツ拡張 1.0.0のレポートを示しています。

表 10. IBM セキュリティー QRadar クリプトマイニング・コンテンツ拡張 1.0.0 のレポート
レポート名	検索名と依存関係
Cryptocurrency マイニング・アクティビティーがある IP	このレポートは、暗号通貨マイニングに関連する IP アドレスの概要を示します。さらに調整を加える場合は検索フィルターを更新します。

次の表では、 IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.0.0のリファレンス・セットを示しています。

注: リファレンス・セット内の要素は、デフォルトでは期限切れになりません。リファレンス・セットが満杯にならないように、エレメントに有効期限を設定できます。

表 11. IBM セキュリティー QRadar クリプトマイニング・コンテンツ拡張 1.0.0 のリファレンス・セット
名前	説明
暗号通貨マイニング・ホスト (Cryptocurrency Mining Hosts)	暗号通貨マイニング・ホストのリストが含まれます。
暗号通貨マイニング Javascript ファイル・ハッシュ (Cryptocurrency Mining Javascript File Hashes)	暗号通貨マイニング JavaScript ファイル・ハッシュのリストが含まれます。
暗号通貨マイニングの脅威ハッシュ (Cryptocurrency Mining Threat Hashes)	暗号通貨マイニング脅威のファイル・ハッシュのリストが含まれます。
Cryptocurrency Mining Javascript ファイル名	暗号通貨マイニング JavaScript ファイル名のリストが含まれます。
Cryptocurrency Mining IP	暗号通貨マイニング IP アドレスのリストが含まれます。
暗号通貨マイニングの脅威名 (Cryptocurrency Mining Threat Names)	暗号通貨マイニング脅威のファイル名のリストが含まれます。
暗号通貨マイニング・プロセス名 (Cryptocurrency Mining Process Names)	暗号通貨マイニング・プロセスのリストが含まれます。

次の表では、 IBM Security QRadar クリプトマイニング・コンテンツ拡張 1.0.0の保存済み検索を示しています。

表 12. IBM セキュリティー QRadar クリプトマイニング・コンテンツ拡張 1.0.0 の保存済み検索
名前	説明
暗号通貨マイニング・アクティビティーを使用するソース・アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのイベントを表示し、それらを送信元アドレスと送信元ポート別にグループ化します。
暗号通貨マイニング・アクティビティーを使用した宛先アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのイベントを表示し、それらを宛先アドレスと宛先ポート別にグループ化します。
暗号通貨マイニング・アクティビティーを使用するソース・アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのフローを表示し、それらを送信元アドレスと送信元ポート別にグループ化します。
暗号通貨マイニング・アクティビティーを使用した宛先アドレス	暗号通貨マイニング・アクティビティー (いずれかのルールを起動) を含むすべてのフローを表示し、それらを宛先アドレスと宛先ポート別にグループ化します。

_{( 上に戻る )}