敘斯蒙

IBM® QRadar ® Sysmon Content Extension 使用 Sysmon 日誌來偵測 Windows 端點上的進階威脅。

Sysinternals Sysmon 服務會將數個「事件 ID」新增至 Windows 系統。系統管理者會使用這些新的「事件 ID」來監視系統處理程序、網路活動及檔案。 Sysmon 提供比 Windows 安全日誌更詳細的視圖。如需 Sysmon 的相關資訊，請參閱使用 QRadar Content for Sysmon 保護您的端點 (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/)。

此內容延伸提供多個使用案例來偵測進階威脅，例如 PowerShell 濫用、隱藏 Windows 處理程序、無檔案記憶體攻擊、程式碼模糊化等。此內容延伸包括可協助您偵測這些威脅的新攻擊規則、建置區塊、參照集及自訂函數。

附註: 在安裝 IBM QRadar Sysmon Content Extension 之前，請將 Microsoft Windows DSM 更新至最新版本。

如需此內容延伸所涵蓋使用案例的相關資訊，請參閱下列視訊:

視訊標題	視訊鏈結
Sysmon PowerShell 使用案例 1	https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell 使用案例 2	https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell 使用案例 3	https://youtu.be/sZUAuYpSe7Q
Sysmon 使用案例 4 無效 Windows 處理程序	https://youtu.be/gAS-B9gb3RY
Sysmon 使用案例 5 偵測其他程式庫	https://youtu.be/omWnyACNEcM
Sysmon 使用案例 6 令人討厭的注入及編碼攻擊	https://youtu.be/kC2hIJxqF8Q
QRadar Privilege 呈報偵測使用案例 7	https://www.youtube.com/watch? v=yitGRL-WJCM
QRadar 專用權升級繼續使用案例 8	https://www.youtube.com/watch?v=8u6G6SEw3kE
Sysmon 使用案例 9-更多專用權提升偵測	https://www.youtube.com/watch?v=0Wy59Otr_Ag
Sysmon 使用案例 10-建立管理者帳戶	https://www.youtube.com/watch? v=bJgaFSjuMSs
Sysmon 偵測名稱管道模擬	https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon 偵測 Mimikatz	https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar 橫向移動偵測，範例一	https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar 橫向移動偵測範例 2	https://www.youtube.com/watch?v=whjpScDYaY4
QRadar 橫向移動偵測範例三 (一般 Windows 功能)	https://www.youtube.com/watch?v=7PXzi3pbmFo

重要事項: 若要避免此內容延伸中的內容錯誤，請保持最新的相關聯 DSM。在自動更新的過程中，會更新 DSM。如果未啟用自動更新項目，請從 IBM Fix Central (https://www.ibm.com/support/fixcentral) 下載相關聯 DSM 的最新版本。

IBM Security QRadar Sysmon

IBM Security QRadar Sysmon Content Extension 1.3.0
IBM Security QRadar Sysmon Content Extension 1.2.1
IBM Security QRadar Sysmon Content Extension 1.2.0
IBM Security QRadar Sysmon Content Extension 1.1.3
IBM Security QRadar Sysmon Content Extension 1.1.2
IBM Security QRadar Content Extension 1.1.1
IBM Security QRadar Sysmon Content Extension 1.1.0
IBM Security QRadar Sysmon Content Extension 1.0.0

IBM Security QRadar Sysmon Content Extension 1.3.0

偵測到多部主機上的排定作業自訂規則收到其規則過濾器的更新。此更新是一項功能變更，可確保如果執行多個指令，則每一個都會取得自己的攻擊。

IBM Security QRadar Sysmon Content Extension 1.2.1

下表顯示 IBM Security QRadar Sysmon Content Extension 1.2.1中已更新的自訂內容。

表 1. 已更新 IBM Security QRadar Sysmon Content Extension 1.2.1 中的自訂內容
名稱	說明
Image	`New Process Name:\s(.?)Token Elevation Type\:` 表示式現在是 `New Process Name[:\s\\=](.*?)\s+(?:Token Elevation Type)`
ShareName	`Share\sName\:\s(?:\\\\\\\)(.)\s\sShare\sPath` 表示式現在是 `Share\sName\:\s(?:\\\\\\\)(.?)\s+Share\sPath`

_{(回到頂端)}

IBM Security QRadar Sysmon Content Extension 1.2.0

下表顯示 IBM Security QRadar Sysmon Content Extension 1.2.0中的自訂內容。

表 2. IBM Security QRadar Sysmon Content Extension 1.2.0 中的自訂內容
名稱	說明
Image	SourceImage\: \s (. ) \sTargetProcessGuid 表示式現在是 SourceImage\: \s (. ?) \sTargetProcessGuid Image: \s (. ) \sUser\: 表示式現在是 Image: \s (. ?) \sUser: 影像: \s (. ?) \s (FileVersion\|CommandLine): 表示式現在是 \bImage: \s (. ?) \s (?:FileVersion\|CommandLine): New\sProcess\sName: \s * (. ) \s{2}Token\sElevation\sType\: 表示式現在是新處理程序名稱: \s (. ?) 記號 Elevation Type: SourceImage\: \s (. ) \sTargetProcessG 表示式現在是 SourceImage\: \s. ? \\ ([^ \\] ?) \sTargetProcessG 已停用下列表示式: 影像: \s (. ) \sImage已載入影像: \s (. ) \sTarget檔名: 映像檔: \s (. ) 映像檔: \s (. ) \sDevice: 映像檔 \: \s (. ) \sTarget物件 Process\sName\: \s * (. ?) \s Access\sRequest
ImageName	影像: \s (?:. * \\) ?(. ?) \s (?:FileVersion\|CommandLine): \s 表示式現在是 \bImage: \? \\ ([^ \\] ?) (?:FileVersion\|CommandLine): \s 影像: \s (?:. \\) ?(. ) \sImage已載入表示式現在是影像:. ? \\ ([^ \\] ?) \sImage已載入影像: \s (?:. \\) ?(. ) \sTarget檔名: 表示式現在是影像:. ? \\ ([^ \\] ?) \sTarget檔名影像: \s (?:. \\) ?(. ) \sUser: 表示式現在是影像: \s. ? \\ ([^ \\] ?) \sUser: 映像檔 \:\s (?:. \\) ?(. ) \sTarget物件表示式現在是 Image \:\s. ? \\ ([^ \\] ?) \sTarget物件 SourceImage\: \s (?:. \\) ?(. ) \sTargetProcessGuid 表示式現在是 SourceImage\: \s. ? \\ ([^ \\] ?) \sTargetProcessGuid New\sProcess\sName: \s (?:. * \\) ?(. ) \s{2}Token\sElevation\sType\: 表示式現在是新處理程序名稱: \s. ? \\ ([^ \\] ?) 記號 Elevation 類型: 已停用下列表示式: 影像: \s (?:. \\) ?(. ) 映像檔 \: \s (?:. \\) ?(. ) 映像檔 \:\s (?:. \\) ?(. ) \sTarget物件映像檔 \:\s (?:. \\) (. ) \sDevice: Process\sName\: \s (?:. * \\) ?(. ?) \s Access\sRequest SourceImage\: \s (?:. * \\) ?(. *) \sTargetProcessG
程序指令行	處理程序指令行: \s (. ) \sToken Elevation Type 表示式現在是處理程序指令行 [: \s \\=] + (. ?) \s * (?: 記號 Elevation Type)
ServiceName	The Service Name\:\s(.)\sService\sFile expression is now (?i)Service Name[\:\s\=\\](.?)\s+(?:Service File Name:\|&&)
SourceImage	這個自訂內容會從內容延伸中移除。

下表顯示在 IBM Security QRadar Sysmon Content Extension 1.2.0中更新的規則。

表 3. IBM Security QRadar Sysmon Content Extension 1.2.0 中更新的規則
名稱	說明
由從共用資料夾啟動的程序建立執行緒	現在，使用映像檔自訂內容，而非 SourceImage 自訂內容。

下列規則及建置區塊在 IBM Security QRadar Sysmon Content Extension 1.2.0 中已移除，因為它們是 IBM Security QRadar Endpoint 內容延伸中規則的重複項。

BB:BehaviorDefinition: 已存取管理共用
使用 SAM 登錄機碼的認證傾出
程式設計環境中的編碼指令惡意用法
使用 Fodhelper 略過無檔案 UAC
使用 sdclt 略過無檔案 UAC
使用 Windows 事件檢視器略過無檔案 UAC
由「不正常」程序啟動的程序
以特許帳戶開始的程式設計環境
配置為使用 Powershell 的服務
偵測到可疑的 PSExec 模組使用情形

偵測到可疑 PSExec 模組使用情形規則，用來稱為 Metasploit PSExec 模組使用情形。

已移除 Powershell 偵測到惡意用法規則，並取代為端點內容套件中的檔案解碼或下載，後面接著可疑活動。

_{(回到頂端)}

IBM Security QRadar Sysmon Content Extension 1.1.3

下表顯示 IBM Security QRadar Sysmon Content Extension 1.1.3中的自訂內容。

表 4. IBM Security QRadar Sysmon Content Extension 1.1.3 中的自訂內容
名稱	已最佳化	擷取群組	Regex
服務名稱	是	1	服務名稱 \:\s* (. *) \sService\sFile
ServiceFile名稱	是	1	Service\sFile\sName\: \s* (. *) \sService\sType

下表顯示 IBM Security QRadar Sysmon Content Extension 1.1.3中的規則和建置區塊。

表 5. IBM Security QRadar Sysmon Content Extension 1.1.3 中的規則及建置區塊
類型	名稱	說明
規則	透過已編碼指令起始下載	從程式設計環境類型 cmd 或 Powershell 起始下載 PowerShell Script 時，此規則會觸發。
規則	已安裝惡意服務	當已安裝分類為惡意的服務時，此規則會觸發。
規則	Metasploit PSExec 模組用法	當偵測到使用 PSExec 模組時，會觸發此規則。
規則	在已壓縮主機上觀察的 PSExec 處理程序	在已受損主機上偵測到 PsExec 處理程序時，會觸發此規則。
規則	已連接至 lsass Pipe 的遠端管理服務	當遠端管理服務連接至 lsass 管道時，此規則會觸發。
規則	位於共用資料夾中的服務二進位檔	當服務二進位檔位於共用資料夾時，此規則會觸發。
規則	配置為使用管道的服務	當服務配置為使用管道時，此規則會觸發。
規則	配置為使用 Powershell 的服務	當服務配置為使用 Powershell 時，此規則會觸發。
規則	安裝在已壓縮主機上的服務	當已在已受損主機上建立服務時，此規則會觸發。

下表顯示在 IBM Security QRadar Sysmon Content Extension 1.1.3中重新命名的自訂內容、規則及建置區塊。

表 6. 在 IBM Security QRadar Sysmon 內容延伸 1.1.3 中重新命名的自訂內容、規則、建置區塊、已儲存的搜尋及參照資料
舊名稱	新名稱
已新增隱藏的網路共用	已新增隱藏網路共用
系統中已安裝惡意服務	已安裝惡意服務
已從已壓縮主機存取網路共用	從已壓縮主機存取的網路共用
已在共同承諾主機中新增網路共用	新增至已壓縮主機的網路共用
已建立管道，然後更新服務二進位路徑以連接至已建立的管道	建立後接著服務二進位路徑更新的管道
遠端服務已建立 Powershell Script 檔	遠端管理服務建立的 Powershell Script
已在已共同承諾的主機中建立排定的作業	在已完成主機上建立的排程作業
已在已編寫的主機中安裝服務	安裝在已壓縮主機上的服務
系統處理程序的異常母項	系統處理程序的異常母項
已存取管理共用	已存取管理共用
已從已承諾機器存取管理共用	從已承諾主機存取的管理共用
BB: 已建立排定的作業	BB:CategoryDefinition: 排程作業建立
BB: 已存取管理共用	BB:BehaviorDefinition: 已存取管理共用
BB: CreateRemote執行緒	BB:CategoryDefinition: 遠端執行緒建立
BB: CreateRemote執行緒已排除案例	BB:BehaviorDefinition: 遠端執行緒建立 False-位置
BB: 偵測到 Powershell 處理程序	BB:CategoryDefinition: Programming Environment
BB: 根據程序建立事件第 2 部分偵測到排定的作業	BB:CategoryDefinition: 依程序建立排定的作業
BB: 一般 Windows 處理程序已存取 lsass.exe	BB:CategoryDefinition: 容許存取 lsass 的處理程序
BB: 已建立管道	BB:CategoryDefinition: 管道建立
BB: 處理程序已建立網路連線	BB:CategoryDefinition: 網路連線
BB: PsExec	BB:BehaviorDefinition: PsExec 處理程序
BB: 已設定或更新服務二進位路徑	BB:BehaviorDefinition: 服務二進位路徑集或更新
無子項程序已啟動/已倉儲程序	由「不正常」程序啟動的程序
使用系統專用權啟動指令 Shell	以特許帳戶開始的程式設計環境
使用 Fodhelper 偵測到無檔案 UAC 略過	使用 Fodhelper 略過無檔案 UAC
使用 sdclt 偵測到無檔案 UAC 略過	使用 sdclt 略過無檔案 UAC
使用 Windows 事件檢視器偵測到無檔案 UAC 略過	使用 Windows 事件檢視器略過無檔案 UAC
偵測到以新的未看到雜湊啟動的已知處理程序	以不同雜湊啟動的已知處理程序
在 Windows 登錄中偵測到長值	Windows 登錄中的異常值大小
偵測到對 lsass 處理程序的惡意存取	可疑的 lsass 處理程序存取權
從不明呼叫追蹤偵測到對 lsass 處理程序的惡意存取	不明呼叫追蹤對 lsass 處理程序的可疑存取權
偵測到以系統使用者專用權啟動新的未看到處理程序	以特許帳戶開始的新程序
偵測到可能的認證傾出工具	偵測到潛在的認證傾出工具
偵測到可能的 Keylogger	偵測到潛在的鍵盤日誌程式
在多部主機上偵測到遠端執行的處理程序	多部主機上的遠端程序執行
偵測到連接至 lsass 管道的遠端服務	已連接至 lsass Pipe 的遠端管理服務
在多部主機上偵測到排定的作業	在多部主機上建立的排程作業
偵測到服務二進位路徑已變更，但已新增使用者或群組	服務二進位路徑更新，後面接著使用者或群組修改
偵測到配置為使用管道的服務	配置為使用管道的服務
偵測到配置為使用 Powershell 的服務	配置為使用 Powershell 的服務
偵測到具有位於共用資料夾中之執行檔二進位檔的服務	位於共用資料夾中的服務二進位檔
偵測到可疑的 Svchost 處理程序	可疑的 Svchost 處理程序
偵測到處理程序的異常母項	程序的異常母項
偵測到不明/未看到的處理程序 (基於處理程序雜湊)	觀察到不明處理程序雜湊
偵測到不明/未看到的處理程序 (基於處理程序名稱)	觀察到不明程序名稱
偵測到過多執行 SC 指令	過多使用 SC 指令
從單一機器偵測到過多使用系統工具	單一主機使用過多系統工具
根據 IMP 雜湊偵測到 Mimikatz	已觀察 Mimikatz IMP 雜湊
偵測到具有不同處理程序名稱的 PsExec	PsExec 假冒處理程序
從已壓縮主機存取網路共用資源的過多失敗嘗試	來自已壓縮主機的過多網路共用存取失敗數
從單一來源存取管理共用的過多失敗嘗試	來自相同主機的過多管理共用存取失敗
lsass 處理程序已連接至管道	lsass 處理程序已連接至管道
已偵測到 Metasploit PSExec 模組	Metasploit PSExec 模組用法
根據具有 qwerty 引數的 rundll32 偵測到可能的 Locky 勒索軟體	Rundll32 with qwerty Argument Usage
可能的 UAC 略過-排定的作業已配置為以最高專用權執行	UAC 略過-已配置為以最高專用權執行的排定作業
Powershell 已啟動	已觀察 Powershell 處理程序
Powershell 已在已壓縮主機中啟動	在已壓縮主機上觀察到的 Powershell 處理程序
使用編碼指令偵測到 Powershell 惡意用法	程式設計環境中的編碼指令惡意用法
使用 EncodedCommand 下載 Powershell Script	透過已編碼指令起始下載
處理程序基準線: 處理程序雜湊	處理程序基準線: 處理程序雜湊
處理程序基準線: 處理程序名稱	處理程序基準線: 處理程序名稱
處理程序基準線: 要雜湊的處理程序名稱	處理程序基準線: 要雜湊的處理程序名稱
處理程序基準線: 處理程序名稱至母項處理程序	處理程序基準線: 處理程序名稱至母項處理程序
處理程序基準線: 使用系統使用者專用權啟動處理程序	處理程序基準線: 從系統使用者專用權開始的處理程序
程序從從暫存目錄啟動的程序建立執行緒	由從暫存目錄啟動的程序建立執行緒
處理程序已建立執行緒至另一個處理程序	執行緒建立至不同於起始處理程序的處理程序
處理程序已建立執行緒至 lsass 處理程序	建立執行緒至 lsass 處理程序
處理程序已建立執行緒至系統處理程序	在系統程序中建立執行緒
從共用資料夾啟動的程序	從共用資料夾啟動的程序
從共用資料夾啟動並建立執行緒至另一個程序的程序	由從共用資料夾啟動的程序建立執行緒
從暫存目錄啟動的程序	從暫存目錄啟動的程序
處理程序已從暫存目錄載入執行檔	從暫存目錄載入執行檔
從異常目錄啟動處理程序 (Recycle.bin， ..)	從非一般目錄啟動的程序
已偵測到PsExec	PsExec 觀察的處理程序
PsExec 已從已編寫的主機啟動	PsExec 在已壓縮主機上觀察到的處理程序
SAM 登錄機碼-列舉子機碼 (使用者)	使用 SAM 登錄機碼的認證傾出
已更新服務二進位路徑，後面接著從相同程序偵測到的 CreateRemote執行緒	服務二進位路徑更新，後面接著遠端執行緒建立
服務二進位路徑已更新，後面接著來自相同處理程序的網路連線	服務二進位路徑更新後接網路連線
偵測到備份副本刪除	備份副本刪除
從異常目錄啟動系統處理程序	從異常目錄啟動系統程序
未簽署的驅動程式已載入 Windows 核心	在 Windows 核心中載入未簽署的驅動程式
未簽署的執行檔已載入至 lsass.exe	已在 lsass 中載入未簽署的執行檔
未簽署的執行檔已載入至機密系統處理程序	在機密系統處理程序中載入未簽署的執行檔
已執行 Whoami/群組	群組或帳戶探索

_{(回到頂端)}

IBM Security QRadar Sysmon Content Extension 1.1.2

下表顯示 IBM Security QRadar Sysmon Content Extension 1.1.2中的自訂內容。

表 7. IBM Security QRadar Sysmon Content Extension 1.1.2 中的自訂內容
名稱	Regex
Image	影像: \s (. *?) \s (FileVersion\|CommandLine):
ImageName	影像: \s (?:. * \\) ?(. *?) \s (?:FileVersion\|CommandLine): \s
LoadedImage	ImageLoaded: \s (. *?) \s (FileVersion\| 雜湊):
LoadedImage名稱	ImageLoaded\: \s (?:. * \\) (. ?) \s (FileVersion\| 雜湊):

下表顯示 IBM Security QRadar Sysmon Content Extension 1.1.2中的規則和建置區塊。

表 8. IBM Security QRadar Sysmon Content Extension 1.1.2 中的規則
名稱	說明
處理程序基準線: 要雜湊的處理程序名稱	已新增規則回應，以移入 ProcessNametoHashRefMapOfSetKeys 參照集。
處理程序基準線: 處理程序名稱至母項處理程序	已新增規則回應，以移入 ProcesstoParentProcessPathRefMapKeys 參照集。
偵測到以新的未看到雜湊啟動的已知處理程序	偵測已知處理程序何時以新的未看到雜湊開始。
偵測到處理程序的異常母項	偵測處理程序的異常母項。
處理程序基準線: 處理程序雜湊	提供程序雜湊的基準線。
處理程序基準線: 處理程序名稱	提供處理程序名稱的基準線，以及標準 Windows 日誌或 Sysmon 日誌。
偵測到不明/未看到的處理程序 (基於處理程序雜湊)	偵測任何異常或不明處理程序雜湊。
偵測到不明/未看到的處理程序 (基於處理程序名稱)	偵測任何異常或不明處理程序名稱。
從共用資料夾啟動並建立執行緒至另一個程序的程序	已更新其中一個規則測試。

下表顯示 IBM Security QRadar Sysmon Content Extension 1.1.2中的參照資料。

表 9. IBM Security QRadar Sysmon Content Extension 1.1.2 中的參照資料
類型	名稱	說明
參照集	側寫程序名稱	儲存程序名稱的基準線清單。
參照集	側寫程序雜湊	儲存程序雜湊的基準線清單。
參照集	ProcessNametoHashRefMapOfSetKeys	儲存在將處理程序名稱對映至其雜湊的集對映中使用的索引鍵。
參照集	ProcesstoParentProcessPathRefMapKeys	儲存在將程序名稱對映至其母程序的集對映中使用的索引鍵。
集的參照對映	ProcessMaptoProcessParent路徑	將元素類型變更為英數不區分大小寫。
集的參照對映	ProcessNameto雜湊	將元素類型變更為英數不區分大小寫。

下表顯示 IBM Security QRadar Sysmon Content Extension 1.1.2中已儲存的搜尋。

表 10. IBM Security QRadar Sysmon Content Extension 1.1.2 中已儲存的搜尋
名稱	說明
已啟動不明處理程序雜湊	已更新搜尋準則。
處理程序的異常母項	已更新搜尋準則。
已啟動不明處理程序名稱	此搜尋會根據處理程序名稱顯示不明處理程序。

_{(回到頂端)}

IBM Security QRadar Content Extension 1.1.1

在 1.1.1中，由於可能的效能問題，已移除兩個規則和兩個 AQL 函數:

規則: 偵測到以未看到雜湊啟動的已知處理程序
規則: 偵測到處理程序的異常母項
自訂函數: checkWithMapOf集
自訂函數: IsItWhiteListed處理程序

_{(回到頂端)}

IBM Security QRadar Sysmon Content Extension 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 包括用來建立基準線處理程序及偵測下列活動的新規則:

專用權提升
無檔案使用者帳戶控制 (UAC) 略過
認證傾出
橫向移動技術
Metasploit PSExec 實作
惡意 PowerShell 用法

此版本還包括新的自訂內容、已儲存的搜尋及 AQL 自訂函數。新的圖示會新增至 QRadar 管理設定，以配置 Sysmon 自訂函數的授權記號。

下表說明 IBM Security QRadar Sysmon Content Extension 1.1.0 中包含的變更

類型	名稱	變更說明
規則	異常處理程序 (例如 :word、iexplore、 AcroRd...) 已啟動指令 Shell	偵測異常處理程序 (例如 MS Word、Internet Explorer、Acrobat Reader) 是否啟動指令 Shell 或 PowerShell。
規則	在多部主機上偵測到遠端執行的處理程序	偵測使用 PowerShell、wmi 或 PSExec 作為已知橫向移動技術的任何遠端執行處理程序。
規則	在多部主機上偵測到排定的作業	偵測多個主機上的排定作業。
規則	已偵測到 Metasploit PSExec 模組	偵測 PSExec 工具的 Metasploit 實作。
規則	已從已承諾主機啟動 PSExec	偵測是否要從標示為已受損主機的主機啟動 PSExec。
規則	偵測到 PSExec	偵測是否有任何主機啟動 PSExec。
規則	偵測到具有不同處理程序名稱的 PSExec	偵測是否以不同的名稱上傳 PSExec。
規則	使用系統專用權啟動指令 Shell	偵測是否以提升的專用權來啟動指令 Shell。例如，如果一般使用者以 Windows 系統使用者身分啟動指令 Shell。
規則	處理程序基準線: 使用系統使用者專用權啟動處理程序	提供處理程序通常以系統專用權啟動的基準線。其他規則會使用此基準線來偵測新處理程序是否以系統專用權啟動。此基準線可指出是否有人嘗試執行專用權升級。
規則	偵測到以系統使用者專用權啟動新的未看到處理程序	偵測新的或異常處理程序是否以系統專用權啟動。依預設會停用此規則。作為維護常式的一部分，請先執行程序基準線規則一週，然後再啟用此規則。
規則	處理程序基準線: 處理程序名稱至母項處理程序	提供基準線，以識別每一個處理程序的母項處理程序。此基準線可協助偵測異常處理程序。
規則	處理程序基準線: 要雜湊的處理程序名稱	提供程序名稱及其對應雜湊的基準線。此基準線可協助偵測不明處理程序是否啟動，或處理程序是否以新的雜湊開始。此資訊也可以用來整合 Sysmon 日誌與其他日誌。
規則	從單一機器偵測到過多使用系統工具	從數個系統工具的單一機器偵測過度使用，例如: lcacl.exe procdump.exe vssadmin.exe accesschk.exe netsh.exe arp.exe systeminfo.exe whoami.exe
規則	偵測到配置為使用 PowerShell的服務	偵測是否有任何服務配置為使用 PowerShell。
規則	在 Windows 登錄中偵測到長值	偵測攻擊者是否嘗試使用長值 (例如 PowerShell 編碼指令) 來新增或設定登錄機碼。
規則	偵測到具有位於共用資料夾中之執行檔二進位檔的服務	偵測是否有任何服務配置為從共用資料夾啟動可執行二進位檔。
規則	偵測到配置為使用管道的服務	偵測是否有任何服務配置成連接至管道。
規則	已建立管道，然後更新服務二進位路徑以連接至已建立的管道	偵測具名管道模擬，這是專用權提升的技術。
規則	偵測到服務二進位路徑已變更，但已新增使用者或群組	偵測是否在服務二進位路徑變更之後新增使用者或群組。
規則	服務二進位路徑已更新，後面接著來自相同處理程序的網路連線	偵測處理程序是否嘗試配置或新增服務，並偵測相同處理程序是否建立出埠連線。
規則	偵測到過多執行 SC 指令	偵測是否過度使用服務控制器指令。
規則	偵測到具有空間的未加引號服務二進位路徑	偵測未加引號的服務二進位路徑是否包含空格。可以利用未以引號括住且路徑中包含空格的檔案路徑。例如，C:\Program Files (x86)\。
規則	可能的 UAC 略過-排定的作業已配置為以最高專用權執行	偵測是否已使用最高專用權建立排程作業來執行。
規則	已更新服務二進位路徑，後面接著從相同程序偵測到的 CreateRemote執行緒	偵測處理程序是否嘗試配置或新增服務，並偵測相同處理程序是否在其他處理程序中建立執行緒。
規則	從共用資料夾啟動的程序	偵測是否有任何程序從共用資料夾啟動。
規則	從共用資料夾啟動並建立執行緒至另一個程序的程序	偵測處理程序是否從共用資料夾啟動，並在另一個處理程序中建立執行緒。
規則	遠端服務已建立 PowerShell Script 檔	偵測是否有任何遠端服務 (例如 `wsmprovhost`、 `psexesvc`或 `wmiprvse`) 建立 PowerShell Script 檔。
規則	連接至管道的 LSASS 處理程序	偵測是否有任何管道連接至從「本端安全權限子系統服務 (LSASS)」程序起始的活動，這可能導致傾出認證。
規則	偵測到連接至 LSASS 管道的遠端服務	偵測是否有任何遠端服務 (例如 `wsmprovhost`、 `psexesvc`或 `wmiprvse`) 嘗試連接至稱為 LSASS 的管道。
規則	使用 sdclt 偵測到無檔案 UAC 略過	偵測使用 sdclt.exe(容許使用者執行備份及還原作業的 Windows 處理程序) 的使用者帳戶控制 (UAC) 略過嘗試。依預設， sdclt.exe 會以高完整性層次執行。在程序啟動之後，它會在登錄中尋找特定的機碼。如果金鑰存在，則會執行它們。
規則	使用 Fodhelper 偵測到無檔案 UAC 略過	偵測是否透過強制存取登錄中的特殊機碼，在 Windows 10 中使用 Fodhelper 程序來略過 UAC。
規則	使用 Windows 事件檢視器偵測到無檔案 UAC 略過	偵測是否使用 Windows 事件檢視器來略過 UAC。
規則	未簽署的驅動程式已載入 Windows 核心	偵測是否有任何嘗試將未簽署的驅動程式載入 Windows 核心。
規則	已在已編寫的主機中安裝服務	偵測主機上標示為已受損主機的任何服務安裝。
規則	已在已共同承諾的主機中建立排定的作業	偵測是否嘗試在標示為已受損主機的主機上建立排程作業。
規則	來自已壓縮主機的過多拒絕 SMB 資料流量	偵測從已受損主機拒絕的過多 SMB 資料流量。
規則	從單一來源存取管理共用的過多失敗嘗試	偵測從單一來源主機存取管理共用的過多失敗嘗試。
規則	從已壓縮主機存取網路共用資源的過多失敗嘗試	偵測從已受損主機在網路中多個主機上存取共用資料夾的過多失敗嘗試。
規則	已從已壓縮主機存取網路共用	偵測已受損主機是否已順利存取共用資料夾。
規則	已在共同承諾主機中新增網路共用	偵測已受損主機是否新增共用資料夾或檔案。
規則	偵測到從已壓縮主機到其他主機的 SMB 資料流量	偵測從已受損主機到其他主機的出埠 SMB 資料流量。
規則	偵測到從已壓縮主機順利登入其他主機	偵測從已受損主機到其他主機的成功登入。
規則	已存取管理共用	偵測是否存取管理共用。
規則	已新增隱藏的網路共用	偵測是否建立隱藏共用檔案。
規則	PowerShell 已啟動	偵測主機是否啟動 PowerShell。
規則	PowerShell 已在已承諾主機中啟動	偵測已受損主機是否啟動 PowerShell。
規則	系統中已安裝惡意服務	偵測系統中是否已安裝已知的惡意服務。
規則	無子項程序已啟動/已倉儲程序	偵測預期為無子項的處理程序是否啟動子程序。
規則	偵測到備份副本刪除	偵測是否已刪除備份副本。
規則	偵測到可疑的 Svchost 處理程序	偵測惡意的 svchost 處理程序。
規則	根據 IMP 雜湊偵測到 Mimikatz	根據是否使用「呼叫 Mimikatz PowerShell (IMP) 雜湊」來偵測 Mimikatz 後開發工具。
規則	已從遠端系統啟動指令 Shell 或 Powershell	偵測是否有任何遠端服務 (例如 `wsmprovhost`、 `psexesvc`或 `wmiprvse`) 在遠端系統上啟動指令 Shell 或 PowerShell 。
規則	已執行 Whoami/群組	在任何專用權提升技術之前，偵測是否已使用 `whoami` 或群組指令。
規則	SAM 登錄機碼-列舉子機碼 (使用者)	偵測任何嘗試列舉 SAM 登錄機碼的嘗試。
規則	偵測到 SAM 或系統機碼的登錄傾出	偵測任何傾出 SAM 登錄的嘗試。
規則	SAM 登錄機碼已存取-使用 regedit	偵測任何存取 SAM 登錄機碼的嘗試
規則	處理程序已建立執行緒至 LSASS 處理程序	偵測是否有任何嘗試在 LSASS 處理程序中建立執行緒。
規則	未簽署的執行檔已載入至 LSASS.exe	偵測是否嘗試將未簽署的執行檔載入至 LSASS 處理程序。
規則	偵測到惡意存取 LSASS 程序	偵測對 LSASS 處理程序的任何惡意存取。
規則	從不明呼叫追蹤偵測到惡意存取 LSASS 處理程序	偵測任何無檔案嘗試存取 LSASS 處理程序。
規則	從異常目錄啟動處理程序 (Recycle.bin， ..)	偵測處理程序是否從異常目錄 (例如資源回收筒) 啟動。
規則	偵測到可能的認證傾出工具	如果下列任何規則相符，則用作額外標記: 偵測到惡意存取 LSASS 程序從不明呼叫追蹤偵測到惡意存取 LSASS 處理程序偵測到 SAM 或系統機碼的登錄傾出處理程序已建立執行緒至 LSASS 處理程序 SAM 登錄機碼-列舉子機碼 (使用者) SAM 登錄機碼已存取-使用 regedit 根據 IMP 雜湊偵測到 Mimikatz 偵測到連接至 LSASS 管道的遠端服務連接至管道的 LSASS 處理程序
規則	偵測到可能的 Keylogger	偵測機器是否受到 keylogger 感染。
規則	根據具有 qwerty 引數的 rundll32 偵測到可能的 Locky 勒索軟體	偵測 Locky 勒索軟體的已知簽章。
規則	PowerShell 使用編碼指令偵測到惡意使用	已更新為偵測更多惡意使用 PowerShell。
規則	PowerShell 偵測到惡意使用情形	已更新為偵測更多惡意使用 PowerShell。
建置區塊	BB: 偵測到 PSExec	在 PSExec 規則中使用。
建置區塊	BB: 處理程序已建立網路連線	在使網路連線與其他活動產生關聯的規則中使用。
建置區塊	BB: 已存取管理共用	用於偵測具有共用資料夾之任何惡意活動的規則。
建置區塊	BB: CreateRemote執行緒	用於偵測遠端執行緒建立的規則中。
建置區塊	BB: 一般 Windows 處理程序已存取 LSASS.exe	用於偵測 LSASS 處理程序的規則中。
建置區塊	BB: 偵測到 PowerShell 處理程序	在偵測 PowerShell 處理程序的規則中使用。
建置區塊	BB: 已建立排定的作業	在偵測排程作業的規則中使用。
建置區塊	BB: 根據程序建立事件第 1 部分偵測到排定的作業	在根據程序事件建立來偵測排程作業的規則中使用。
建置區塊	BB: 已建立管道	用於偵測管線建立的規則中。
建置區塊	BB: 根據程序建立事件第 2 部分偵測到排定的作業	在根據程序事件建立來偵測排程作業的規則中使用。
建置區塊	BB: 已設定或更新服務二進位路徑	在偵測是否設定或更新服務路徑二進位檔的規則中使用。
建置區塊	BB: CreateRemote執行緒已排除案例	用於偵測遠端執行緒建立的規則中。
已儲存的搜尋	處理程序的異常母項	此搜尋會根據基準線資料顯示具有異常母項的任何處理程序
已儲存的搜尋	Windows 機密處理程序偵測到網路連線	此搜尋會顯示從 Windows 機密處理程序起始的任何連線。
已儲存的搜尋	處理程序存取 LSASS	此搜尋會顯示任何存取 LSASS 的處理程序。
已儲存的搜尋	透過 WMI 或 PowerShell	此搜尋會顯示遠端執行的處理程序。
已儲存的搜尋	已設定或更新服務二進位路徑	此搜尋會顯示任何新的服務，或服務二進位檔的位置是否變更。
已儲存的搜尋	已啟動不明處理程序雜湊	此搜尋會顯示任何未看到的處理程序雜湊。
已儲存的搜尋	未簽署的執行檔已載入至機密系統處理程序	此搜尋會顯示將未簽署執行檔載入至機密系統處理程序的任何嘗試。
已儲存的搜尋	偵測到超長指令行	此搜尋會顯示長指令行文字。
參照集	白名單雜湊	包含白名單雜湊的清單。
參照集	系統	包含系統管理者所使用的工具清單。
參照集	以系統使用者身分啟動的處理程序	包含可以從系統層次專用權開始的處理程序雜湊清單。
參照集	已受損主機	包含移入任何已受損主機的清單。
參照集	處理程序名稱至雜湊	包含對映至其雜湊的程序名稱清單。
參照集	IOC-惡意服務名稱	包含已知惡意服務名稱的清單。

_{(回到頂端)}

IBM Security QRadar Sysmon Content Extension 1.0.0

下表說明 IBM Security QRadar Sysmon Content Extension 1.0.0 中包含的變更

類型	名稱	變更說明
規則	從暫存目錄載入未簽署的執行檔或 DLL	偵測何時從暫存目錄載入未指派的執行檔或 DLL。
規則	從暫存目錄啟動的程序	偵測何時從暫存目錄啟動程序。
規則	未簽署的執行檔或 DLL 已載入至機密系統處理程序	偵測未指派的執行檔或 DLL 何時載入至另一個機密系統處理程序。
規則	處理程序已建立執行緒至系統處理程序	偵測處理程序在系統處理程序中建立執行緒的時間。
規則	程序從從 Temp 引導器啟動的程序建立執行緒	偵測處理程序何時從從暫存目錄啟動的處理程序建立執行緒。
規則	處理程序已建立執行緒至另一個處理程序	偵測處理程序何時在另一個處理程序中建立執行緒。
規則	PowerShell 偵測到惡意使用情形	偵測惡意的 PowerShell 使用情形。
規則	PowerShell 使用編碼指令偵測到惡意使用	偵測具有已編碼指令的惡意 PowerShell 使用情形。
規則	已下載PowerShell Script	偵測何時下載 PowerShell Script。
規則	從非一般目錄啟動系統處理程序	偵測系統處理程序從異常目錄啟動的時間。
規則	系統處理程序的異常母項	偵測系統處理程序的異常母項是否存在。
規則	偵測到可疑的 svchost 處理程序	偵測可疑的 svchost 處理程序。
規則	偵測到備份副本刪除	偵測何時刪除備份副本檔案。
建置區塊	BB: Unsigned Executable 或 DLL 載入至機密系統處理程序第 1 部分	由 Unsigned Executable 或 DLL 載入至機密系統處理程序規則使用。
建置區塊	BB: 偵測到已下載的 PowerShell Script	已下載 PowerShell Script 所使用的規則。
建置區塊	BB: 偵測到已下載的 PowerShell Script ，並使用 EncodedCommand	由 PowerShell 偵測到惡意使用「已編碼指令」規則使用。
自訂內容	Image	`Image:\s(.*)\sImageLoaded`
自訂內容	ImageName	`Image:\s(?:.\\)(.)\sImageLoaded`
自訂內容	已簽署	`Signed:\s(true\|false)`
自訂內容	簽章	`Signature:\s(.*)\sSignatureStatus`
自訂內容	SignatureStatus	`SignatureStatus:\s(Valid)`
自訂內容	LoadedImage	`ImageLoaded:\s(.*)\sHashes`
自訂內容	Image	`Image:\s(.*)\sCommandLine`
自訂內容	ImageName	`Image:\s(?:.\\)(.)\sCommandLine`
自訂內容	ParentImage	`ParentImage:\s(.*)\sParentCommandLine`
自訂內容	ParentImage名稱	`ParentImage:\s(?:.\\)(.)\sParentCommandLine`
自訂內容	目標映像檔名稱	`TargetImage:\s(?:.\\)(.)\sNewThreadId`
自訂內容	SourceImage	`SourceImage:\s(.*)\sTargetProcessGuid`
自訂內容	TargetImage	`TargetImage:\s(.*)\sNewThreadId`
自訂內容	PS 編碼指令	`[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)`
自訂內容	程序指令行	`CommandLine:\s(.*)\sCurrentDirectory`
自訂內容	SourceImageTempPath	`SourceImage:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
自訂內容	ImageTemp路徑	`Image:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
自訂內容	ImageLoadedTempPath	`ImageLoaded:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
自訂內容	程序指令行	`Process Command Line:\s(.)\s*Token Elevation Type`
自訂內容	PS 編碼指令	`Process Command Line:\spowershell.[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^][\s^]+(\S+)\sToken Elevation Type`
自訂內容	ImageName	`New Process Name:\s(?:.\\)(\S)\sToken\sElevation\sType\:`
自訂內容	SHA1 雜湊	`SHA1=(\w+)`
自訂內容	MD5 雜湊	`MD5=(\w*)`
自訂內容	SHA256 雜湊	`SHA256=(\w*)`
自訂內容	IMP 雜湊	`IMPHASH=(\w*)`
自訂內容	Image	`New Process Name:\s(\S)\s*Token\sElevation\sType\:`
自訂函數	base64Decode	將 PowerShell 編碼指令中的 base64 文字解碼成一般可讀取字串。
自訂函數	PScmdFilter	從 Sysmon 事件過濾處理程序指令行。
已儲存的搜尋	偵測到超長指令行	這是在 Sysmon 事件的長處理程序指令行上進行比對的事件搜尋。
參照集	TempFile路徑	包含暫存目錄的檔案路徑清單。
參照集	Windows 機密處理程序	包含所有 Windows 相關處理程序的清單。
參照集	ProcessMaptoProcessPath	包含處理程序名稱及這些處理程序路徑的清單。
參照集	ProcessMaptoProcessParent路徑	包含程序名稱及母程序路徑的清單。

_{(回到頂端)}