Sysmon
Produkt IBM® QRadar ® Sysmon Content Extension wykrywa zaawansowane zagrożenia dla punktów końcowych Windows za pomocą dzienników Sysmon.
Usługa Sysmon Sysinternals dodaje kilka identyfikatorów zdarzeń do systemów Windows. Te nowe identyfikatory zdarzeń są używane przez administratorów systemu do monitorowania procesów systemowych, działań sieciowych i plików. System Sysmon udostępnia bardziej szczegółowy widok niż dzienniki zabezpieczeń systemu Windows. Więcej informacji na temat Sysmon znajduje się w sekcji Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).
To rozszerzenie treści udostępnia wiele przypadków użycia do wykrywania zaawansowanych zagrożeń, takich jak nadużywanie powłoki PowerShell , ukryte procesy Windows, bezfilmowe ataki pamięci, zaciemnianie kodu i wiele innych. To rozszerzenie treści obejmuje nowe reguły dotyczące przestępstw, elementy składowe, zestawy odwołań i funkcje niestandardowe, które mogą pomóc w wykrywaniu tych zagrożeń.
Uwaga: Przed zainstalowaniem produktu IBM QRadar Sysmon Content Extension należy zaktualizować system Microsoft Windows DSM do najnowszej wersji.
Więcej informacji na temat przypadków użycia, które są objęte tym rozszerzeniem treści, można znaleźć w następujących filmach wideo:
| Tytuł filmu wideo | Łącze wideo |
|---|---|
| Syst. PowerShell -przypadek użycia 1 | https://youtu.be/PWiw-RpLIbw |
| Syst. PowerShell -przypadek użycia 2 | https://youtu.be/_eaMMo8sPtA |
| Syst. PowerShell -przypadek użycia 3 | https://youtu.be/sZUAuYpSe7Q |
| Procesy systemu Windows produktu Sysmon-procesy Windows | https://youtu.be/gAS-B9gb3RY |
| Przypadek użycia systemu Sysmon 5 wykrywający inne biblioteki | https://youtu.be/omWnyACNEcM |
| Opis użycia nieprzyjemnych i zakodowanych ataków Sysmon 6 | https://youtu.be/kC2hIJxqF8Q |
| QRadar Uprawnienie do wykrywania eskalacji uprawnień-przypadek 7 | https://www.youtube.com/watch? v=yitGRL-WJCM |
| QRadar Privilege Eskalacja-kontynuacja użycia sprawy 8 | https://www.youtube.com/watch?v=8u6G6SEw3kE |
| Przypadek użycia Sysmon 9-więcej wykrywania eskalacji uprawnień | https://www.youtube.com/watch?v=0Wy59Otr_Ag |
| Przypadek użycia systemu Sysmon 10-Tworzenie konta administratora | https://www.youtube.com/watch? v=bJgaFSjuMSs |
| Imitowanie potoku nazw Sysmon wykrywające | https://www.youtube.com/watch?v=pSBQ7NabDUY |
| Sysmon wykrywający Mimikatz | https://www.youtube.com/watch?v=gKa_CZAz3Jc |
| QRadar Lateral Movement Detection, Przykład 1 | https://www.youtube.com/watch?v=IBEIN9sl4lk |
| QRadar Lateral Movement Detection Example Two | https://www.youtube.com/watch?v=whjpScDYaY4 |
| QRadar Lateral Movement Detection Example Three (Plain Windows Features) | https://www.youtube.com/watch?v=7PXzi3pbmFo |
Ważne: Aby uniknąć błędów związanych z treścią w tym rozszerzeniu treści, należy pozostawić do tej pory powiązane z nią elementy DSM. Funkcje DSM są aktualizowane w ramach automatycznych aktualizacji. Jeśli aktualizacje automatyczne nie są włączone, należy pobrać najnowszą wersję powiązanych z nią pakietów DSM z serwisu IBM Fix Central (https://www.ibm.com/support/fixcentral).
IBM Security QRadar Sysmon
- IBM Security QRadar Sysmon Content Extension 1.3.0
- IBM Security QRadar Sysmon Content Extension 1.2.1
- IBM Security QRadar Sysmon Content Extension 1.2.0
- IBM Security QRadar Sysmon Content Extension 1.1.3
- IBM Security QRadar Sysmon Content Extension 1.1.2
- IBM Security QRadar Content Extension 1.1.1
- IBM Security QRadar Sysmon Content Extension 1.1.0
- IBM Security QRadar Sysmon Content Extension 1.0.0
IBM Security QRadar Sysmon Content Extension 1.3.0
Reguła niestandardowa Detected a Scheduled Task over Multiple Hosts odebrała aktualizację jej filtru reguł. Ta aktualizacja jest zmianą funkcjonalną, aby upewnić się, czy uruchomiono wiele komend, każde z nich ma swoje własne wykroczenie.
IBM Security QRadar Sysmon Content Extension 1.2.1
W poniższej tabeli przedstawiono zaktualizowane właściwości niestandardowe w produkcie IBM Security QRadar Sysmon Content Extension 1.2.1.
| Nazwa | Opis |
|---|---|
| Obraz | Wyrażenie New Process Name:\s(.*?)Token Elevation Type\: jest teraz New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type) |
| ShareName | Wyrażenie Share\sName\:\s*(?:\\\\\*\\)(.*)\s\sShare\sPath jest teraz Share\sName\:\s*(?:\\\\\*\\)(.*?)\s+Share\sPath |
IBM Security QRadar Sysmon Content Extension 1.2.0
W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Sysmon Content Extension 1.2.0.
| Nazwa | Opis |
|---|---|
| Obraz | Wyrażenie SourceImage\: \s (. *) \sTargetProcessGuid ma teraz wartość SourceImage\: \s (. *?) \sTargetProcessGuid Obiekt Image: \s (. *) \sUser\: wyrażenie jest teraz Image: \s (. *?) \sUser\: Obraz: \s (. *?) \s (FileVersion|CommandLine): wyrażenie jest teraz \bImage: \s (. *?) \s (?:FileVersion|CommandLine): Nowy \sProcess\sName: \s * (. *) \s{2}Token\sElevation\sType\: wyrażenie jest teraz nową nazwą procesu: \s (. *?) Typ elewacji \: Wyrażenie SourceImage\: \s (. *) \sTargetProcessG ma teraz wartość SourceImage\: \s. *? \\ ([ ^ \\] *?) \sTargetProcessG Następujące wyrażenia są wyłączone:
|
| ImageName | Image: \s (?:. * \\) ?(. *?) \s (?:FileVersion|CommandLine): \s wyrażenie jest teraz \bImage: \s. *? \\ ([ ^ \\] *?) (?:FileVersion|CommandLine): \s Obraz: \s (?:. * \\) ?(. *) \sImageLoaded wyrażenie jest teraz obrazem:. *? \\ ([ ^ \\] *?) \sImageLoaded Obiekt Image: \s (?:. * \\) ?(. *) \sTargetFilename \: wyrażenie jest teraz obrazem:. *? \\ ([ ^ \\] *?) \sTargetnazwa_pliku Image: \s (?:. * \\) ?(. *) \sUser\: wyrażenie jest teraz Image: \s. *? \\ ([ ^ \\] *?) \sUser\: Obraz \:\s (?:. * \\) ?(. *) \sTargetWyrażenie obiektu jest teraz obrazem \:\s. *? \\ ([ ^ \\] *?) \sTargetObiekt Właściwość SourceImage\: \s (?:. * \\) ?(. *) \sTargetProcessGuid ma teraz wartość SourceImage\: \s. *? \\ ([ ^ \\] *?) \sTargetProcessGuid Nowy \sProcess\sName: \s * (?:. * \\) ?(. *) \s{2}Token\sElevation\sType\: wyrażenie jest teraz nową nazwą procesu: \s. *? \\ ([ ^ \\] *?) Typ elewacji tokenowej \: Następujące wyrażenia są wyłączone:
|
| Proces CommandLine | Wiersz komend procesu: \s (. *) \sToken Typ elewacji to teraz wiersz komend procesu [: \s \\=] + (. *?) \s * (?: typ "Elevation Type") |
| ServiceName | Nazwa usługi \:\s* (. *) \sService\sFile jest teraz (?i) Nazwa usługi [ \: \s\ = \ \] * (. *?) \s + (?: Nazwa pliku usługi: | & &) |
| SourceImage | Ta właściwość niestandardowa zostanie usunięta z rozszerzenia treści. |
W poniższej tabeli przedstawiono reguły aktualizowane w produkcie IBM Security QRadar Sysmon Content Extension 1.2.0.
| Nazwa | Opis |
|---|---|
| Tworzenie wątku przez proces uruchamiany z folderu współużytkowanego | Teraz używa niestandardowej właściwości Obraz zamiast właściwości niestandardowej SourceImage . |
Następujące reguły i elementy składowe są usuwane w produkcie IBM Ochrona QRadar Sysmon Content Extension 1.2.0 , ponieważ są duplikatami reguł w rozszerzeniu treści IBM Ochrona QRadar Punkt końcowy .
- BB:BehaviorDefinition: dostęp do współużytkowania administracyjnego
- zrzucanie referencji za pomocą klucza rejestru SAM
- Zakodowane użycie komendy złośliwej w środowisku programistycznym
- Niewypełnialne pomijanie UAC przy użyciu programu Fodhelper
- Niewypełnialne obejście UAC przy użyciu sdclt
- Obejście bez wypełnienia uAC przy użyciu przeglądarki zdarzeń Windows
- Proces uruchomiony przez nietypowy proces
- Środowisko programowania uruchomione z kontem uprzywilejowanym
- Usługa skonfigurowana do używania powłoki Powershell
- Wykryto podejrzane użycie modułu PSExec
Reguła podejrzenia użycia modułu PSExec została wykryta użyta do wywołania Metasploit PSExec Module Usage.
Reguła Wykryta szkodliwa użycie powłoki PowerShell została usunięta i zastąpiona przez element Plik dekodowany lub Pobierz, a następnie podejrzane działanie w pakiecie treści punktu końcowego.
IBM Security QRadar Sysmon Content Extension 1.1.3
W poniższej tabeli przedstawiono właściwości niestandardowe w programie IBM Ochrona QRadar Sysmon Content Extension 1.1.3.
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Nazwa usługi | Tak | 1 | Nazwa usługi \:\s* (. *) \sService\sFile |
| ServiceFileNazwa | Tak | 1 | Service\sFile\sName\: \s* (. *) \sService\sType |
W poniższej tabeli przedstawiono reguły i elementy składowe w programie IBM Security QRadar Sysmon Content Extension 1.1.3.
| Typ | Nazwa | Opis |
|---|---|---|
| Reguła | Pobieranie przy użyciu komendy zakodowanej przy użyciu komendy zainicjowane | Ta reguła jest wyzwalana, gdy pobieranie skryptu PowerShell jest inicjowane z poziomu środowiska programistycznego, typu cmd lub Powershell. |
| Reguła | Zainstalowano złośliwą usługę | Ta reguła wyzwala, gdy zainstalowano usługę sklasyfikowaną jako złośliwa. |
| Reguła | Wykorzystanie modułu PSExec Metasploit | Ta reguła jest wyzwalana, gdy zostanie wykryta składnia modułu PSExec. |
| Reguła | Proces PSExec obserwowany na hoście Comobiecany | Ta reguła jest wyzwalana, gdy proces PsExec został wykryty na naruszonym hoście. |
| Reguła | Remote Management Service Połączono z usługą lsass Pipe | Ta reguła wyzwala, gdy zdalna usługa zarządzania jest podłączona do potoku lsass. |
| Reguła | Usługa binarna znajduje się w folderze współużytkowanym | Ta reguła wyzwala, gdy plik binarny usługi znajduje się w folderze współużytkowanym. |
| Reguła | Usługa skonfigurowana do korzystania z potoku | Ta reguła jest wyzwalana, gdy usługa jest skonfigurowana do korzystania z potoku. |
| Reguła | Usługa skonfigurowana do używania powłoki Powershell | Ta reguła jest wyzwalana, gdy usługa jest skonfigurowana pod kątem używania powłoki Powershell. |
| Reguła | Usługa zainstalowana na hoście Comprzyrzeonym | Ta reguła wyzwala, gdy usługa została utworzona na naruszonym hoście. |
W poniższej tabeli przedstawiono niestandardowe właściwości, reguły i elementy składowe, których nazwa została zmieniona w IBM Security QRadar Sysmon Content Extension 1.1.3.
| Stara nazwa | Nowa nazwa |
|---|---|
| Dodano Ukryty Współużytkowany Zasób Sieciowy | Dodano ukryty współużytkowany zasób sieciowy |
| Szkodliwa usługa została zainstalowana w systemie | Zainstalowano złośliwą usługę |
| Dostęp Do Współużytkowanego Zasobu Sieciowego Został Uzyskany Z Hosta Komobieskiego | Dostęp do współużytkowanego zasobu sieciowego z hosta Comobiecanego |
| Współużytkowany Zasób Sieciowy Został Dodany Do hosta Obiecanego | Udział sieciowy dodany do hosta kompromitynowego |
| Utworzona została potok, po której następuje aktualizacja ścieżki binarnej usługi w celu nawiązania połączenia z utworzoną potoką | Utworzona potok, po której następuje aktualizacja ścieżki binarnej usługi |
| Usługa Remoting Service utworzyła plik skryptowy Powershell | Skrypt Powershell utworzony przez usługę Remote Management Service |
| Zaplanowane zadanie zostało utworzone w kompromiowanym hoście | Zaplanowane zadanie utworzone na hoście Komobienie |
| Usługa została zainstalowana na hoście Komobiecnym | Usługa zainstalowana na hoście Comprzyrzeonym |
| Nieprawidłowe nadrzędne dla procesu systemowego | Niezwykły element nadrzędny dla procesu systemowego |
| Dostęp Do Zasobu Administracyjnego Został Uzyskany | Dostęp do współużytkowanego zasobu współużytkowanego |
| Dostęp Do Zasobu Administracyjnego Został Uzyskany Z Komputera Komobieskiego | Dostęp do zasobu współużytkowanego, do którego uzyskiwany jest dostęp z hosta Comobiecanego |
| BB: Zaplanowane Zadanie Zostało Utworzone | BB:CategoryDefinition: Zaplanowane tworzenie zadania |
| BB: Dostęp Do Zasobu Administracyjnego Został Uzyskany | BB:BehaviorDefinition: dostęp do współużytkowania administracyjnego |
| BB: Wykryto wątek CreateRemote | BB:CategoryDefinition: Tworzenie wątku zdalnego |
| BB: CreateRemote-przypadki wykluczonych wątków | BB:BehaviorDefinition: Remote Thread Creation False-Positives |
| BB: Wykryto proces Powershell | BB:CategoryDefinition: środowisko programistyczne |
| BB: Wykryto zaplanowane zadanie w oparciu o część 2 zdarzenia tworzenia procesu | BB:CategoryDefinition: Zaplanowane tworzenie zadania przez proces |
| BB: Standardowe procesy Windows, do których dostęp jest uzyskiwany za pomocą pliku lsass.exe | BB:CategoryDefinition: Procesy dozwolone w celu dostępu do lsass |
| BB: Utworzono Potok | BB:CategoryDefinition: Tworzenie potoku |
| BB: proces utworzony przez połączenie sieciowe | BB:CategoryDefinition: Połączenie sieciowe |
| BB: PsExec Został Wykryty | BB:BehaviorDefinition: PsExec Proces Zaobserwowany |
| BB: Ścieżka binarna usługi została ustawiona lub zaktualizowana | BB:BehaviorDefinition: Service Binary Path Set lub Update |
| Proces bezdzieszny uruchomiony/spawany proces | Proces uruchomiony przez nietypowy proces |
| Uruchomiona powłoka komend z uprawnieniami systemowymi | Środowisko programistyczne zostało uruchomione z kontem uprzywilejowanym |
| Wykryto beznadziejny pominięcie UAC przy użyciu programu Fodhelper | Niewypełnialne pomijanie UAC przy użyciu programu Fodhelper |
| Wykryto beznadziejny pominięcie UAC przy użyciu sdclt | Niewypełnialne obejście UAC przy użyciu sdclt |
| Wykryto beznadziejny pominięcie UAC przy użyciu przeglądarki zdarzeń Windows | Obejście bez wypełnienia uAC przy użyciu przeglądarki zdarzeń Windows |
| Wykrył, Że Znany Proces Został Uruchomiony Z Nowym Niezauważonym Mieszaniem | Znany proces uruchomiony z inną mieszką |
| Wykryta wartość Long w rejestrze systemu Windows | Wielkość nietypowej wartości w rejestrze systemu Windows |
| Wykryto złośliwy dostęp do procesu lsass | Podejrzany dostęp do procesu lsass |
| Wykryto złośliwy dostęp do procesu lsass z nieznanego śledzenia wywołań | Podejrzany dostęp do procesu lsass z nieznanego śledzenia wywołań |
| Wykryto nowy niewidoczny proces uruchomiony z uprawnieniami użytkownika systemu | Nowy proces uruchomiony z kontem uprzywilejowanym |
| Wykryto możliwe narzędzie Dumping referencji | Wykryto potencjalne narzędzie do zrzucania informacji autoryzacyjnych |
| Wykryto możliwy program Keylogger | Wykryty Potencjalny Keylogger |
| Wykryto zdalnie wykonywany proces nad wieloma hostami | Wykonywanie zdalnego procesu na wielu hostami |
| Wykryto usługę Remoting Service Connected to Lsass Pipe | Remote Management Service Połączono z usługą lsass Pipe |
| Wykryta zaplanowana czynność nad wieloma hostami | Zaplanowane zadanie utworzone na wielu hostami |
| Wykryto zmianę ścieżki do pliku binarnego usługi, po której następuje dodanie użytkownika lub grupy | Aktualizacja ścieżki binarnej usługi, po której następuje modyfikacja użytkownika lub grupy |
| Wykryto usługę skonfigurowaną do korzystania z potoku | Usługa skonfigurowana do korzystania z potoku |
| Wykryto usługę skonfigurowaną do używania powłoki Powershell | Usługa skonfigurowana do używania powłoki Powershell |
| Wykryto usługę przy użyciu pliku wykonywalnego binarnego znajdującego się w folderze współużytkowanym | Usługa binarna znajduje się w folderze współużytkowanym |
| Wykryto podejrzany proces svchost | Podejrzany proces svchost |
| Wykryty nieprawidłowy element nadrzędny dla procesu | Niezwykły element nadrzędny dla procesu |
| Wykrył Nieznany/Niewidoczny Proces (na Podstawie Skrótu Procesu) | Obserwowane nieznane wartości mieszające procesu |
| Wykrył Nieznany/Niewidzialny Proces (na Podstawie Nazwy Procesu) | Zaobserwowana Nieznana Nazwa Procesu |
| Wykryte nadmierne wykonanie komendy SC | Nadmierne użycie komendy SC |
| Wykryte nadmierne użycie narzędzi systemowych z jednego komputera | Nadmierne użycie narzędzi systemowych z jednego hosta |
| Wykryta mimikatz na podstawie Hash'a IMP | Obserwowane mieszanie Mimikatz IMP |
| Wykryty PsExec o innej nazwie procesu | Maskowanie procesuPsExec |
| nadmierna liczba nieudanych prób dostępu do współużytkowanego zasobu sieciowego z hosta comobiecanego | Nadmierna liczba niepowodzeń dostępu do współużytkowanego zasobu sieciowego z hosta Comobiecanego |
| nadmierna liczba nieudanych prób dostępu do zasobu współużytkowanego z jednego źródła | Nadmierna liczba niepowodzeń dostępu do współużytkowania administracyjnego z tego samego hosta |
| Proces lsass połączony z potoku | Proces lsass połączony z potoku |
| Wykryto Moduł Metasploit PSExec | Wykorzystanie modułu PSExec Metasploit |
| Wykryto możliwe oprogramowanie Locky Ransomware oparte na argumencie rundll32 z argumentem qwerty | Rundll32 z użyciem argumentu qwerty |
| Możliwe pomijanie UAC-zaplanowane zadanie zostało skonfigurowane do uruchamiania z najwyższym uprawnieniami | UAC Obejście-Zaplanowane zadanie skonfigurowane do uruchamiania z najwyższym uprawnieniami |
| Uruchomiono Powershell | Obserwowany proces PowerShell |
| PowerShell został uruchomiony w kompromitanym hoście | Proces PowerShell obserwowany na hoście Comobiecany |
| Wykryto złośliwe użycie PowerShell z zakodowaną komendą | Zakodowane użycie komendy złośliwej w środowisku programistycznym |
| Pobieranie skryptu Powershell za pomocą komendy EncodedCommand | Pobieranie przy użyciu komendy zakodowanej przy użyciu komendy zainicjowane |
| Proces Baselining procesu: Hash procesu | Proces Baselining procesu: Hash procesu |
| Proces Baseliningu: Nazwa procesu | Proces Baseliningu: Nazwa procesu |
| Process Baselining: Process Name to Hash | Process Baselining: Process Name to Hash |
| Proces Baseliningu: Nazwa procesu do procesu nadrzędnego | Proces Baseliningu: Nazwa procesu do procesu nadrzędnego |
| Proces Baselining: Proces został uruchomiony z uprawnieniami użytkownika systemu | Proces Baseliningu: Proces uruchomiony z uprawnieniami użytkownika systemu |
| Proces utworzył wątek z procesu, który został uruchomiony z katalogu tymczasowego | Tworzenie wątku przez proces uruchamiany z katalogu tymczasowego |
| Proces utworzył wątek do innego procesu | Tworzenie wątku w procesie innym niż początkowy |
| Proces utworzył wątek w procesie lsass | Tworzenie wątku w procesie lsass |
| Proces utworzył wątek w procesie systemowym | Tworzenie wątku w procesie systemowym |
| Proces uruchomiony z folderu współużytkowanego | Proces uruchomiony z folderu współużytkowanego |
| Proces uruchomiony ze współużytkowanego folderu i utworzono wątek w inny proces | Tworzenie wątku przez proces uruchamiany z folderu współużytkowanego |
| Proces Uruchomiony Z Katalogu Tymczasowego | Proces uruchomiony z katalogu Temp |
| Proces załadowanego kodu wykonywalnego z katalogu tymczasowego | Plik wykonywalny załadowany z katalogu tymczasowego |
| Proces uruchomiony z nietypowych katalogów (Recycle.bin, ..) | Proces uruchomiony z nietypowego katalogu |
| Wykryto PsExec | Obserwowany proces PsExec |
| PsExec Został Uruchomiony Z Hosta Kompromitu | PsExec Proces obserwowany na hoście Comprzyrzeonym |
| SAM-klucz rejestru-podklucze wyliczane (użytkownicy) | zrzucanie referencji za pomocą klucza rejestru SAM |
| Zaktualizowano ścieżkę binarną usługi, po której następuje operacja CreateRemote, która została wykryta z tego samego procesu. | Aktualizacja ścieżki binarnej usługi, po której następuje tworzenie wątku zdalnego |
| Nazwa ścieżki binarnej usługi została zaktualizowana, a następnie połączenie sieciowe z tego samego procesu | Aktualizacja ścieżki binarnej usługi, po której następuje połączenie sieciowe |
| Wykryto usunięcie kopii cienia | Usuwanie Kopii Cienia |
| Proces Systemowy Został Uruchomiony Z Nietypowego Katalogu | Proces Systemowy Uruchomiony Z Nietypowego Katalogu |
| Sterownik Bez Znaku Został Załadowany Do Jądra Systemu Windows | Sterownik Niepodpisany Załadowany W Jądrze Systemu Windows |
| Niepodpisany Plik Wykonywalny Załadowany Do Pliku lsass.exe | Niepodpisany plik wykonywalny załadowany w lsass |
| Niepodpisany Plik Wykonywalny Załadowany Do Procesu Systemu Wrażliwego | Niepodpisany Plik Wykonywalny Załadowany W Procesie Wrażliwego Systemu |
| whoami /groups has been Wykonane | Wykrywanie grup lub kont |
IBM Security QRadar Sysmon Content Extension 1.1.2
W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Sysmon Content Extension 1.1.2.
| Nazwa | Wyrażenie regularne |
|---|---|
| Obraz | Image: \s (. *?) \s (FileVersion|CommandLine): |
| ImageName | Image: \s (?:. * \\) ?(. *?) \s (?:FileVersion|CommandLine): \s |
| LoadedImage | ImageLoaded: \s (. *?) \s (FileVersion| Hashes) \: |
| LoadedImageNazwa | ImageLoaded\: \s (?:. * \\) (. *?) \s* (FileVersion| Hashes) \: |
W poniższej tabeli przedstawiono reguły i elementy składowe w programie IBM Security QRadar Sysmon Content Extension 1.1.2.
| Nazwa | Opis |
|---|---|
| Process Baselining: Process Name to Hash | Dodano odpowiedź reguły, aby zapełnić zestaw odwołań ProcessNametoHashRefMapOfSetKeys . |
| Proces Baseliningu: Nazwa procesu do procesu nadrzędnego | Dodano odpowiedź reguły, aby zapełnić zestaw odwołań ProcesstoParentProcessPathRefMapKeys . |
| Wykrył, Że Znany Proces Został Uruchomiony Z Nowym Niezauważonym Mieszaniem | Wykrywa, kiedy znany proces rozpoczyna się od nowego nieznanego skrótu. |
| Wykryty nieprawidłowy element nadrzędny dla procesu | Wykrywa nieprawidłowy element nadrzędny dla procesu. |
| Proces Baselining procesu: Hash procesu | Udostępnia plan bazowy dla funkcji mieszających procesów. |
| Proces Baseliningu: Nazwa procesu | Udostępnia plan bazowy dla nazw procesów ze standardowymi dziennikami systemu Windows lub dziennikami Sysmon. |
| Wykrył Nieznany/Niewidoczny Proces (na Podstawie Skrótu Procesu) | Wykrywa wszelkie nietypowe lub nieznane hashy procesu. |
| Wykrył Nieznany/Niewidzialny Proces (na Podstawie Nazwy Procesu) | Wykrywa wszelkie nietypowe lub nieznane nazwy procesów. |
| Proces uruchomiony ze współużytkowanego folderu i utworzono wątek w inny proces | Zaktualizowano jeden z testów reguł. |
W poniższej tabeli przedstawiono dane odniesienia w IBM Security QRadar Sysmon Content Extension 1.1.2.
| Typ | Nazwa | Opis |
|---|---|---|
| zestaw referencji | Nazwy złożonych procesów | Zapisuje listę nazw procesów według planu bazowego. |
| zestaw referencji | Prozłożone mieszanie procesów | Przechowuje listę planów bazowych procesu mieszającego. |
| zestaw referencji | ProcessNametoHashRefMapOfSetKeys | Przechowuje klucze używane na mapie zestawów, które odwzorowują nazwę procesu na jej wartość mieszającą. |
| zestaw referencji | ProcesstoParentProcessPathRefMapKeys | Przechowuje klucze używane na mapie zestawów, które odwzorowują nazwę procesu na jego proces nadrzędny. |
| Referencyjna mapa zestawów | ProcessMaptoProcessParentŚcieżka | Zmieniono typ elementu na alfa-numeryczny przypadek ignorowania. |
| Referencyjna mapa zestawów | ProcessNametoHash | Zmieniono typ elementu na alfa-numeryczny przypadek ignorowania. |
Poniższa tabela zawiera zapisane wyszukiwania w produkcie IBM Security QRadar Sysmon Content Extension 1.1.2.
| Nazwa | Opis |
|---|---|
| Rozpoczęto Nieznaną Wartość Mieszającą Procesu | Zaktualizowano kryteria wyszukiwania. |
| Nieprawidłowe nadrzędne dla procesu | Zaktualizowano kryteria wyszukiwania. |
| Nieznana Nazwa Procesu Została Uruchomiona | W tym wyszukiwaniu są wyświetlane nieznane procesy oparte na nazwie procesu. |
IBM Security QRadar Content Extension 1.1.1
W wersji 1.1.1dwie reguły i dwie funkcje AQL zostały usunięte ze względu na możliwe problemy z wydajnością:
- Reguła: Detected a Known Process Started With Unseen Hash
- Reguła: Wykryto nieprawidłowy element nadrzędny dla procesu
- Funkcja niestandardowa: checkWithMapOfZestawy
- Funkcja niestandardowa: IsItWhiteListedProcess
IBM Security QRadar Sysmon Content Extension 1.1.0
IBM Security QRadar Sysmon Content Extension 1.1.0 zawiera nowe reguły służące do ustanawiania procesów podstawowych oraz do wykrywania następujących działań:
- Eskalacja uprawnień
- Pominięcie kontroli konta użytkownika bez pliku (UAC)
- Dumping referencji
- Techniki ruchu bocznego
- Implementacja PSExec w Metasploit
- Szkodliwa składnia PowerShell
Ta wersja zawiera również nowe właściwości niestandardowe, zapisane wyszukiwania i funkcję niestandardową AQL. Do ustawień administratora QRadar dodaje się nową ikonę w celu skonfigurowania znacznika autoryzacji dla funkcji niestandardowych Sysmon.
W poniższej tabeli opisano zmiany, które zostały uwzględnione w programie IBM Security QRadar Sysmon Content Extension 1.1.0
| Typ | Nazwa | Opis zmiany |
|---|---|---|
| Reguła | Nietypowy proces (np.: word, iexplore, AcroRd..) uruchomiono powłokę komend | Wykrywa, czy nietypowy proces, taki jak MS Word, Internet Explorer, Acrobat Reader, uruchamia powłokę komend lub powłokę PowerShell. |
| Reguła | Wykryto zdalnie wykonywany proces nad wieloma hostami | Wykrywa wszystkie zdalnie uruchamiane procesy, które wykorzystują PowerShell, wmi lub PSExec jako dobrze znane techniki ruchu bocznego. |
| Reguła | Wykryta zaplanowana czynność nad wieloma hostami | Wykrywa zaplanowane zadanie na wielu hostach. |
| Reguła | Wykryto Moduł Metasploit PSExec | Wykrywa implementację narzędzia PSExec w Metasploit. |
| Reguła | PSExec został uruchomiony z hosta kompromitynowego | Wykrywa, czy program PSExec ma zostać uruchomiony z hosta oznaczonego jako zagrożony host. |
| Reguła | Wykryto PSExec | Wykrywa, czy dowolny host uruchamia program PSExec. |
| Reguła | Wykryto program PSExec z inną nazwą procesu | Wykrywa, czy program PSExec został przesłany z inną nazwą. |
| Reguła | Uruchomiona powłoka komend z uprawnieniami systemowymi | Wykrywa, czy powłoka komend została uruchomiona z eskalowanymi uprawnieniami. Na przykład, jeśli zwykły użytkownik uruchomi powłokę komend jako użytkownik systemu Windows. |
| Reguła | Proces Baselining: Proces został uruchomiony z uprawnieniami użytkownika systemu | Udostępnia plan bazowy, dla którego procesy zwykle rozpoczynają się od uprawnień systemowych. Ten plan bazowy jest używany przez inne reguły do wykrywania, czy nowy proces rozpoczyna się od uprawnienia systemowego. Ten plan bazowy może wskazywać, czy ktoś próbuje wykonać eskalację uprawnień. |
| Reguła | Wykryto nowy niewidoczny proces uruchomiony z uprawnieniami użytkownika systemu | Wykrywa, czy nowy lub nietypowy proces rozpoczyna się od uprawnień systemowych. Domyślnie ta reguła jest wyłączona. Jako część procedury obsługi należy uruchomić reguły planu bazowego procesu na jeden tydzień przed włączniem tej reguły. |
| Reguła | Proces Baseliningu: Nazwa procesu do procesu nadrzędnego | Umożliwia określenie planu bazowego w celu zidentyfikowania procesów nadrzędnych dla każdego procesu. Ten plan bazowy może pomóc w wykrywaniu nietypowych procesów. |
| Reguła | Process Baselining: Process Name to Hash | Udostępnia plan bazowy dla nazw procesów i odpowiadających im hashów. Ta linia bazowa może pomóc w wykrywaniu, czy uruchomiony jest nieznany proces, lub czy proces rozpoczyna się od nowego skrótu. Te informacje mogą być również używane do integrowania dzienników Sysmon z innymi dziennikami. |
| Reguła | Wykryte nadmierne użycie narzędzi systemowych z jednego komputera | Wykrywa nadmierne użycie jednego komputera z kilku narzędzi systemowych, takich jak:
|
| Reguła | Wykryto usługę skonfigurowaną do używania powłoki PowerShell | Wykrywa, czy dowolna usługa została skonfigurowana pod kątem używania powłoki PowerShell. |
| Reguła | Wykryta wartość Long w rejestrze systemu Windows | Wykrywa, czy atakujący próbował dodać lub ustawić klucz rejestru, używając długiej wartości, takiej jak zakodowana komenda PowerShell . |
| Reguła | Wykryto usługę przy użyciu pliku wykonywalnego binarnego znajdującego się w folderze współużytkowanym | Wykrywa, czy dowolna usługa jest skonfigurowana do uruchamiania wykonywalnych plików binarnych z folderu współużytkowanego. |
| Reguła | Wykryto usługę skonfigurowaną do korzystania z potoku | Wykrywa, czy dowolna usługa jest skonfigurowana do łączenia się z potoku. |
| Reguła | Utworzona została potok, po której następuje aktualizacja ścieżki binarnej usługi w celu nawiązania połączenia z utworzoną potoką | Wykrywa impersonalizację potoku nazwanego, która jest techniką eskalacji uprawnień. |
| Reguła | Wykryto zmianę ścieżki do pliku binarnego usługi, po której następuje dodanie użytkownika lub grupy | Wykrywa, czy użytkownik lub grupa została dodana po zmianie ścieżki binarnej usługi. |
| Reguła | Nazwa ścieżki binarnej usługi została zaktualizowana, a następnie połączenie sieciowe z tego samego procesu | Wykrywa, czy proces próbuje skonfigurować lub dodać usługę, a następnie wykrywa, czy ten sam proces tworzy połączenie wychodzące. |
| Reguła | Wykryte nadmierne wykonanie komendy SC | Wykrywa, czy komenda kontrolera usług jest używana zbyt często. |
| Reguła | Wykryto ścieżkę binarną usługi nienotowanych na podstawie spacji | Wykrywa, czy nieokreślona ścieżka binarna usługi zawiera spacje. Ścieżka do pliku, która nie jest ujęta w znaki cudzysłowu i zawiera spacje w ścieżce, może zostać wydzierżawiona. Na przykład: C:\Program Files (x86)\. |
| Reguła | Możliwe pomijanie UAC-zaplanowane zadanie zostało skonfigurowane do uruchamiania z najwyższym uprawnieniami | Wykrywa, czy zaplanowane zadanie zostało utworzone do uruchomienia za pomocą najwyższych uprawnień. |
| Reguła | Zaktualizowano ścieżkę binarną usługi, po której następuje operacja CreateRemote, która została wykryta z tego samego procesu. | Wykrywa, czy proces próbuje skonfigurować lub dodać usługę, a także wykrywa, czy ten sam proces tworzy wątek w innych procesach. |
| Reguła | Proces uruchomiony z folderu współużytkowanego | Wykrywa, czy dowolny proces jest uruchamiany ze współużytkowanego folderu. |
| Reguła | Proces uruchomiony ze współużytkowanego folderu i utworzono wątek w inny proces | Wykryj, czy proces rozpoczyna się od folderu współużytkowanego i tworzy wątek w innym procesie. |
| Reguła | Usługa Remoting Service utworzyła plik skryptowy PowerShell | Wykrywa, czy dowolna usługa usuwania, taka jak wsmprovhost, psexesvclub wmiprvse, tworzy plik skryptowy PowerShell . |
| Reguła | Proces LSASS połączony z potoku | Wykrywa, czy dowolna potok łączy się z działaniem, które zostało zainicjowane z poziomu procesu LSASS (Local Security Authority Subsystem Service), co może prowadzić do wystąpienia zrzutu. |
| Reguła | Wykryto usługę Remoting Service Connected to LSASS Pipe | Wykrywa, czy jakakolwiek usługa usuwania, taka jak wsmprovhost, psexesvclub wmiprvse, próbuje połączyć się z potok o nazwie LSASS. |
| Reguła | Wykryto beznadziejny pominięcie UAC przy użyciu sdclt | Wykrywa próbę obejścia kontroli konta użytkownika (UAC), która korzysta z programu sdclt.exe, czyli procesu Windows, który umożliwia użytkownikom wykonywanie operacji tworzenia i odtwarzania kopii zapasowych. Domyślnie produkt sdclt.exe działa z wysokim poziomem integralności. Po uruchomieniu procesu wyszukiwa on konkretne klucze w rejestrze. Jeśli klucze istnieją, uruchamia je. |
| Reguła | Wykryto beznadziejny pominięcie UAC przy użyciu programu Fodhelper | Wykrywa, czy proces Fodhelper jest używany do pomijania UAC w systemie Windows 10 poprzez porywianie specjalnego klucza w rejestrze. |
| Reguła | Wykryto beznadziejny pominięcie UAC przy użyciu przeglądarki zdarzeń Windows | Wykrywa, czy przeglądarka zdarzeń Windows jest używana do pomijania UAC. |
| Reguła | Sterownik Bez Znaku Został Załadowany Do Jądra Systemu Windows | Wykrywa wszelkie próby załadowania niepodpisanego sterownika do jądra systemu Windows. |
| Reguła | Usługa została zainstalowana na hoście Komobiecnym | Wykrywa instalację serwisową na hoście, który jest oznaczony jako zagrożony host. |
| Reguła | Zaplanowane zadanie zostało utworzone w kompromiowanym hoście | Wykrywa wszelkie próby utworzenia zaplanowanego zadania na hoście, który jest oznaczony jako zagrożony host. |
| Reguła | Nadmierny odmowa ruchu SMB od hosta kompromitu | Wykrywa nadmierny ruch SMB, który jest odmówiony od naruszonego hosta. |
| Reguła | nadmierna liczba nieudanych prób dostępu do zasobu współużytkowanego z jednego źródła | Wykrywa nadmierną liczbę nieudanych prób dostępu do współużytkowanych zasobów administracyjnych z jednego hosta źródłowego. |
| Reguła | nadmierna liczba nieudanych prób dostępu do współużytkowanego zasobu sieciowego z hosta comobiecanego | Wykrywa nadmierną liczbę nieudanych prób dostępu do współużytkowanych folderów na wielu hostach w sieci z uszkodzonego hosta. |
| Reguła | Dostęp Do Współużytkowanego Zasobu Sieciowego Został Uzyskany Z Hosta Komobieskiego | Wykrywa, czy naruszony host pomyślnie uzyskał dostęp do współużytkowanego folderu. |
| Reguła | Współużytkowany Zasób Sieciowy Został Dodany Do hosta Obiecanego | Wykrywa, czy naruszony host dodaje współużytkowany folder lub plik. |
| Reguła | Wykryty ruch SMB od Zagrozonego Hosta Do Innych Hostów | Wykrywa wychodzący ruch SMB z naruszonego hosta do innych hostów. |
| Reguła | Wykryto pomyślne logowanie z zagrożony host do innych hostów | Wykrywa pomyślne zalogowanie z zagrożonego hosta do innych hostów. |
| Reguła | Dostęp Do Zasobu Administracyjnego Został Uzyskany | Wykrywa, czy dostęp do współużytkowanego zasobu administracyjnego jest uzyskiwany. |
| Reguła | Dodano Ukryty Współużytkowany Zasób Sieciowy | Wykrywa utworzenie ukrytego pliku współużytkowanego. |
| Reguła | PowerShell Został Uruchomiony | Wykrywa, czy host uruchamia powłokę PowerShell. |
| Reguła | PowerShell został uruchomiony na hoście Comobiecany (Comprzyrzeone Host) | Wykrywa, czy naruszony host uruchamia powłokę PowerShell. |
| Reguła | Szkodliwa usługa została zainstalowana w systemie | Wykrywa, czy znana szkodliwa usługa jest zainstalowana w systemie. |
| Reguła | Proces bezdzieszny uruchomiony/spawany proces | Wykrywa, czy proces, który ma być bezdzietnym, uruchamia proces potomny. |
| Reguła | Wykryto usunięcie kopii cienia | Wykrywa, czy kopie cieni są usuwane. |
| Reguła | Wykryto podejrzany proces svchost | Wykrywa złośliwy proces svchost. |
| Reguła | Wykryta mimikatz na podstawie Hash'a IMP | Wykrywa narzędzie po eksploatacji Mimikatz w zależności od tego, czy używana jest operacja wywoływania Mimikatz PowerShell (IMP) Hash. |
| Reguła | Z systemu zdalnego uruchomiono powłokę komend lub powłokę Powershell | Wykrywa, czy wszystkie usługi usuwania, takie jak wsmprovhost, psexesvclub wmiprvse, uruchamiają powłokę komend lub PowerShell w systemie zdalnym. |
| Reguła | whoami /groups has been Wykonane | Wykrywa, czy komenda whoami lub komenda grupy jest używana przed jakąkolwiek techniką eskalacji uprawnień. |
| Reguła | SAM-klucz rejestru-podklucze wyliczane (użytkownicy) | Wykrywa wszelkie próby wyliczania klucza rejestru SAM. |
| Reguła | Wykryto zrzut rejestru dla SAM lub klucza systemowego | Wykrywa wszelkie próby zrzutu rejestru SAM. |
| Reguła | SAM-Dostęp do klucza rejestru został uzyskany-za pomocą regedit | Wykrywa wszelkie próby uzyskania dostępu do klucza rejestru SAM |
| Reguła | Proces utworzył wątek w procesie LSASS | Wykrywa wszelkie próby utworzenia wątku w procesie LSASS. |
| Reguła | Niepodpisany Plik Wykonywalny Załadowany Do Pliku LSASS.exe | Wykrywa wszelkie próby załadowania niepodpisanego pliku wykonywalnego do procesu LSASS. |
| Reguła | Wykryto złośliwy dostęp do procesu LSASS | Wykrywa wszelkie złośliwe prawa dostępu do procesu LSASS. |
| Reguła | Wykryto złośliwy dostęp do procesu LSASS z nieznanego śledzenia wywołań | Wykrywa wszelkie bezfilmowe próby uzyskania dostępu do procesu LSASS. |
| Reguła | Proces uruchomiony z nietypowych katalogów (Recycle.bin, ..) | Wykrywa, czy proces rozpoczyna się od nietypowego katalogu, takiego jak pojemnik na śmieci. |
| Reguła | Wykryto możliwe narzędzie Dumping referencji | Używany jako dodatkowy znak, jeśli dowolny z następujących reguł jest zgodny z:
|
| Reguła | Wykryto możliwy program Keylogger | Wykrywa, czy komputer został zainfekowany przez keylogger. |
| Reguła | Wykryto możliwe oprogramowanie Locky Ransomware oparte na argumencie rundll32 z argumentem qwerty | Wykryj znany podpis dla Locky ransomware. |
| Reguła | PowerShell Nieszkodliwe użycie wykryte przy użyciu zakodowanej komendy | Zaktualizowano, aby wykrywać bardziej szkodliwe użycie powłoki PowerShell. |
| Reguła | PowerShell Wykryto szkodliwe użycie | Zaktualizowano, aby wykrywać bardziej szkodliwe użycie powłoki PowerShell. |
| Blok budynku | BB: Wykryto PSExec | Używana w regułach programu PSExec. |
| Blok budynku | BB: proces utworzony przez połączenie sieciowe | Używany w regułach korelowania połączeń sieciowych z innymi działaniami. |
| Blok budynku | BB: Dostęp Do Zasobu Administracyjnego Został Uzyskany | Używane w regułach, które wykrywają wszelkie szkodliwe działania ze współużytkowanymi folderami. |
| Blok budynku | BB: Wykryto wątek CreateRemote | Używany w regułach, które wykrywają tworzenie wątków zdalnych. |
| Blok budynku | BB: Standardowe procesy Windows, do których dostęp jest uzyskiwany za pomocą pliku LSASS.exe | Używane w regułach, które wykrywają proces LSASS. |
| Blok budynku | BB: Detected proces PowerShell | Używany w regułach, które wykrywają procesy PowerShell . |
| Blok budynku | BB: Zaplanowane Zadanie Zostało Utworzone | Używane w regułach, które wykrywają zaplanowane zadania. |
| Blok budynku | BB: Wykryto zaplanowane zadanie w oparciu o część 1 zdarzenia tworzenia procesu | Używane w regułach, które wykrywają zaplanowane zadania oparte na tworzeniu zdarzeń procesu. |
| Blok budynku | BB: Utworzono Potok | Używana w regułach, które wykrywają tworzenie potoków. |
| Blok budynku | BB: Wykryto zaplanowane zadanie w oparciu o część 2 zdarzenia tworzenia procesu | Używane w regułach, które wykrywają zaplanowane zadania oparte na tworzeniu zdarzeń procesu. |
| Blok budynku | BB: Ścieżka binarna usługi została ustawiona lub zaktualizowana | Używany w regułach, które wykrywają, czy plik binarny ścieżki usługi jest ustawiony lub aktualizowany. |
| Blok budynku | BB: CreateRemote-przypadki wykluczonych wątków | Używany w regułach, które wykrywają tworzenie wątków zdalnych. |
| Zapisane wyszukiwanie | Nieprawidłowe nadrzędne dla procesu | To wyszukiwanie umożliwia wyświetlenie dowolnego procesu z nietypowym elementem nadrzędnym, na podstawie danych bazowych. |
| Zapisane wyszukiwanie | Połączenie sieciowe wykrywane przez procesy czułości systemu Windows | W tym wyszukiwaniu są wyświetlane wszystkie połączenia zainicjowane z procesu wrażliwego na system Windows. |
| Zapisane wyszukiwanie | Proces dostępu do LSASS | To wyszukiwanie pokazuje każdy proces, który uzyskał dostęp do LSASS. |
| Zapisane wyszukiwanie | Zdalnie uruchomione pliki wykonywalne za pośrednictwem WMI lub PowerShell | W tym wyszukiwaniu są wyświetlane procesy, które były uruchamiane zdalnie. |
| Zapisane wyszukiwanie | Ścieżka do pliku binarnego usługi została ustawiona lub zaktualizowana | To wyszukiwanie powoduje wyświetlenie dowolnej nowej usługi lub położenie zmian binarnych usługi. |
| Zapisane wyszukiwanie | Rozpoczęto Nieznaną Wartość Mieszającą Procesu | W tym wyszukiwaniu są wyświetlane wszystkie niewidoczne metody mieszające. |
| Zapisane wyszukiwanie | Niepodpisany Plik Wykonywalny Załadowany Do Procesu Systemu Wrażliwego | To wyszukiwanie pokazuje wszelkie próby załadowania niepodpisanego pliku wykonywalnego do wrażliwych procesów systemowych. |
| Zapisane wyszukiwanie | Wykryto bardzo długi wiersz komend | To wyszukiwanie pokazuje długi tekst wiersza komend. |
| zestaw referencji | Hashes wymieszane | Zawiera listę nazw mieszających dozwolonych na białej liście. |
| zestaw referencji | Systools | Zawiera listę narzędzi, które są używane przez administratorów systemu. |
| zestaw referencji | Procesy mieszające uruchomione jako użytkownik systemowy | Zawiera listę mieszających procesów, które mogą rozpoczynać się od uprawnień na poziomie systemu. |
| zestaw referencji | Zagrożone hosty | Zawiera listę zapełnioną z dowolnymi zagrożmi hostami. |
| zestaw referencji | Nazwa procesu do Hash | Zawiera listę nazw procesów, które są odwzorowywane na ich hashes. |
| zestaw referencji | IOC-złośliwe nazwy usług | Zawiera listę znanych szkodliwych nazw usług. |
IBM Security QRadar Sysmon Content Extension 1.0.0
W poniższej tabeli opisano zmiany, które są zawarte w rozszerzeniu IBM Ochrona QRadar Sysmon Content Extension 1.0.0
| Typ | Nazwa | Opis zmiany |
|---|---|---|
| Reguła | Niepodpisany plik wykonywalny lub biblioteka DLL załadowana z katalogu Temp | Wykrywa, kiedy nieprzypisany plik wykonywalny lub biblioteka DLL jest ładowana z katalogu tymczasowego. |
| Reguła | Proces Uruchomiony Z Katalogu Tymczasowego | Wykrywa, kiedy proces jest uruchamiany z katalogu tymczasowego. |
| Reguła | Niepodpisany plik wykonywalny lub biblioteka DLL została załadowana do procesu systemu wrażliwego | Wykrywa, kiedy nieprzypisany kod wykonywalny lub biblioteka DLL są ładowane do innych wrażliwych procesów systemowych. |
| Reguła | Proces utworzył wątek w procesie systemowym | Wykrywa, kiedy proces tworzy wątek w procesie systemowym. |
| Reguła | Proces utworzył wątek z procesu, który został uruchomiony z poziomu programu Temp Director | Wykrywa, kiedy proces tworzy wątek z procesu, który został uruchomiony z katalogu tymczasowego. |
| Reguła | Proces utworzył wątek do innego procesu | Wykrywa, kiedy proces tworzy wątek w innym procesie. |
| Reguła | PowerShell Wykryto szkodliwe użycie | Wykrywa szkodliwe użycie środowiska PowerShell . |
| Reguła | PowerShell Nieszkodliwe użycie wykryte przy użyciu zakodowanej komendy | Wykrywa złośliwe użycie powłoki PowerShell przy użyciu zakodowanej komendy. |
| Reguła | Skrypt PowerShell został pobrany | Wykrywa, kiedy pobierany jest skrypt PowerShell . |
| Reguła | Proces systemowy uruchomiony z nietypowego katalogu | Wykrywa, kiedy proces systemowy rozpoczyna się od nietypowego katalogu. |
| Reguła | Nieprawidłowe nadrzędne dla procesu systemowego | Wykrywa, kiedy jest obecny nieprawidłowy element nadrzędny dla procesu systemowego. |
| Reguła | Wykryto podejrzany proces svchost | Wykrywa podejrzane procesy svchost. |
| Reguła | Wykryto usunięcie kopii cienia | Wykrywa, kiedy usuwany jest plik kopii cienia. |
| Blok budynku | BB: niepodpisany plik wykonywalny lub biblioteka DLL załadowana do systemu wrażliwego procesu część 1 | Używana przez niepodpisaną bibliotekę wykonywaną lub bibliotekę DLL wczytaną do reguły procesu systemu wrażliwego. |
| Blok budynku | BB: Detektowanie pobranego skryptu PowerShell | Używana przez skrypt PowerShell została pobrana reguła. |
| Blok budynku | BB: Wykryto pobrany skrypt PowerShell za pomocą komendy EncodedCommand | Używane przez szkodliwe użycie PowerShell wykrywane za pomocą zakodowanej reguły komendy. |
| Właściwość niestandardowa | Obraz | Image:\s(.*)\sImageLoaded |
| Właściwość niestandardowa | ImageName | Image:\s(?:.*\\)(.*)\sImageLoaded |
| Właściwość niestandardowa | Podpisano | Signed:\s(true|false) |
| Właściwość niestandardowa | Podpis | Signature:\s(.*)\sSignatureStatus |
| Właściwość niestandardowa | SignatureStatus | SignatureStatus:\s(Valid) |
| Właściwość niestandardowa | LoadedImage | ImageLoaded:\s(.*)\sHashes |
| Właściwość niestandardowa | Obraz | Image:\s(.*)\sCommandLine |
| Właściwość niestandardowa | ImageName | Image:\s(?:.*\\)(.*)\sCommandLine |
| Właściwość niestandardowa | ParentImage | ParentImage:\s(.*)\sParentCommandLine |
| Właściwość niestandardowa | ParentImageNazwa | ParentImage:\s(?:.*\\)(.*)\sParentCommandLine |
| Właściwość niestandardowa | Nazwa obrazu docelowego | TargetImage:\s(?:.*\\)(.*)\sNewThreadId |
| Właściwość niestandardowa | SourceImage | SourceImage:\s(.*)\sTargetProcessGuid |
| Właściwość niestandardowa | TargetImage | TargetImage:\s(.*)\sNewThreadId |
| Właściwość niestandardowa | Komenda PS Encoded | [\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+) |
| Właściwość niestandardowa | Proces CommandLine | CommandLine:\s(.*)\sCurrentDirectory |
| Właściwość niestandardowa | SourceImageTempPath | SourceImage:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.* |
| Właściwość niestandardowa | ŚcieżkaImageTemp | Image:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.* |
| Właściwość niestandardowa | ImageLoadedTempPath | ImageLoaded:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.* |
| Właściwość niestandardowa | Proces CommandLine | Process Command Line:\s*(.*)\s*Token Elevation Type |
| Właściwość niestandardowa | Komenda PS Encoded | Process Command Line:\s*powershell.*[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)\s*Token Elevation Type |
| Właściwość niestandardowa | ImageName | New Process Name:\s*(?:.*\\)(\S*)\s*Token\sElevation\sType\: |
| Właściwość niestandardowa | HashSHA1 | SHA1=(\w+) |
| Właściwość niestandardowa | MD5 Hash | MD5=(\w*) |
| Właściwość niestandardowa | HashSHA256 | SHA256=(\w*) |
| Właściwość niestandardowa | Skrót iMP | IMPHASH=(\w*) |
| Właściwość niestandardowa | Obraz | New Process Name:\s*(\S*)\s*Token\sElevation\sType\: |
| Funkcja niestandardowa | base64Decode | Dekoduje tekst base64 z komendy kodowanej PowerShell w normalny, czytelny łańcuch. |
| Funkcja niestandardowa | PScmdFilter | Filtruje wiersz komend procesu z zdarzeń Sysmon. |
| Zapisane wyszukiwanie | Wykryto bardzo długi wiersz komend | To jest wyszukiwanie zdarzeń w celu dopasowania do długich wierszy komend procesu z zdarzeń Sysmon. |
| zestaw referencji | Ścieżka do plikuTempFile | Zawiera listę ścieżek do plików katalogu tymczasowego. |
| zestaw referencji | Procesy wrażliwe na system Windows | Zawiera listę wszystkich procesów związanych z systemem Windows. |
| zestaw referencji | ProcessMaptoProcessPath | Zawiera listę nazw procesów i ścieżek do tych procesów. |
| zestaw referencji | ProcessMaptoProcessParentŚcieżka | Zawiera listę nazw procesów i ścieżek do procesów nadrzędnych. |