Sysmon

Die IBM Security QRadar Sysmon Content Extension erkennt fortgeschrittene Bedrohungen auf Windows-Endpunkten anhand der Sysmon-Protokolle.

Der Sysmon-Service von Sysinternals fügt mehrere Ereignis-IDs zu Windows-Systemen hinzu. Systemadministratoren können mithilfe dieser neuen Ereignis-IDs Systemprozesse, Netzaktivitäten und Dateien überwachen. Sysmon stellt eine detailliertere Ansicht als die Windows-Sicherheitsprotokolle bereit. Weitere Informationen zu Sysmon finden Sie unter Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).

Diese Inhaltserweiterung stellt mehrere Anwendungsfälle bereit, um erweiterte Bedrohungen zu erkennen, z. B. PowerShell-Missbrauch, verdeckte Windows-Prozesse, Speicherangriffe durch Fileless-Malware, Codeverschleierung und vieles mehr. Sie enthält neue Angriffsregeln, Bausteine, Referenzsets und angepasste Funktionen, die Ihnen helfen können, diese Bedrohungen zu erkennen.

Hinweis: Aktualisieren Sie Microsoft Windows DSM auf die neueste Version, bevor Sie IBM QRadar Sysmon Content Extension installieren.

Weitere Informationen zu den Anwendungsfällen, die durch diese Inhaltserweiterung abgedeckt werden, erhalten Sie in folgenden Videos:

Dieses Paket in Fix Central enthält nur < MONTH> < YEAR > Sicherheitsupdates für virtuelle Geräte und optionale Pakete. Wenn Sie dieses Release installieren, wird der App-Host nicht aktualisiert und die App-Host-Version wird nicht geändert. Verwenden Sie den App-Host < VERSION > für die App-Host-Installation oder -Aktualisierungen.

Videotitel Video-Link
Sysmon PowerShell Use Case 1 https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell Use Case 2 https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell Use Case 3 https://youtu.be/sZUAuYpSe7Q
Sysmon Use Case 4 Bogus Windows Processes https://youtu.be/gAS-B9gb3RY
Sysmon Use Case 5 Detecting other Libraries https://youtu.be/omWnyACNEcM
Sysmon Use Case 6 Nasty Injection & Encoded Attacks https://youtu.be/kC2hIJxqF8Q
QRadar Privilege Escalation Detection Use Case 7 https://www.youtube.com/watch?v=yitGRL-WJCM
QRadar Privilege Escalation Continued Use Case 8 https://www.youtube.com/watch?v=8u6G6SEw3kE
Sysmon Use Case 9 - More Privilege Escalation Detection https://www.youtube.com/watch?v=0Wy59Otr_Ag
Sysmon Use Case 10 - Creating an Admin Account https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon Detecting Name Pipe Impersonation https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon Detecting Mimikatz https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar Lateral Movement Detection, Example One https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar Lateral Movement Detection Example Two https://www.youtube.com/watch?v=whjpScDYaY4
QRadar Lateral Movement Detection Example Three (Plain Windows Features) https://www.youtube.com/watch?v=7PXzi3pbmFo
Wichtig: Um Inhaltsfehler in dieser Inhaltserweiterung zu vermeiden, halten Sie die zugehörigen DSMs auf dem neuesten Stand. DSMs werden im Rahmen der automatischen Aktualisierungen aktualisiert. Wenn keine automatischen Updates aktiviert sind, laden Sie die neueste Version der zugehörigen DSMs von IBM® Fix Central (https://www.ibm.com/support/fixcentral) herunter.

IBM Sicherheit QRadar Sysmon

IBM Sicherheit QRadar Sysmon Content Extension 1.3.2

Die folgende Tabelle zeigt die benutzerdefinierten Eigenschaften, Regeln und Bausteine, die in IBM Security QRadar Sysmon Content Extension 1.3.2 umbenannt werden.

Tabelle 1. Benutzerdefinierte Eigenschaften, Regeln, Bausteine, gespeicherte Suchen und Referenzdaten, die in IBM Security QRadar Sysmon Content Extension umbenannt werden 1.3.2
Alter Name Neuer Name
ServiceFileName Service Filename (Servicedateiname)
ParentCommandLine Parent Command (Übergeordneter Befehl)
TargetImage Target Process Path (Zielprozesspfad)
Process CommandLine (Prozessbefehlszeile) Befehl
StartModule Start Module (Startmodul)
RunLevel Run Level (Ausführungsebene)
PS-codierter Befehl Encoded Command (Codierter Befehl)
Target Image Name (Zielimagename) Target Process Name (Zielprozessname)
Process Guid (Prozess-GUID) Process GUID (Prozess-GUID)
PipeName Pipe Name (Pipename)
StartFunction Start Function (Startfunktion)

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.3.1

In der folgenden Tabelle sind die aktualisierten angepassten Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.3.1aufgeführt.

Tabelle 2. Aktualisierte benutzerdefinierte Eigenschaften in IBM Sicherheit QRadar Sysmon Content Extension 1.3.1
Ihren Namen Beschreibung
Image Der Ausdruck "\bImage:\s.?\\([\\]?)(?:FileVersion|CommandLine):\s" lautet jetzt "\bImage:\s.?\\([\\]?)\s(?:FileVersion|CommandLine):\s"

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.3.0

Die angepasste Regel Geplante Task über mehrere Hosts erkannt hat eine Aktualisierung ihres Regelfilters empfangen. Bei dieser Aktualisierung handelt es sich um eine funktionale Änderung, um sicherzustellen, dass bei der Ausführung mehrerer Befehle jeder Befehl einen eigenen Angriff erhält.

IBM Sicherheit QRadar Sysmon Content Extension 1.2.1

In der folgenden Tabelle sind die aktualisierten angepassten Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.2.1aufgeführt.

Tabelle 3. Aktualisierte benutzerdefinierte Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.2.1
Ihren Namen Beschreibung
Image Der Ausdruck New Process Name:\s(.*?)Token Elevation Type\: lautet jetzt New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type)
ShareName Der Ausdruck Share\sName\:\s*(?:\\\\\*\\)(.*)\s\sShare\sPath lautet jetzt Share\sName\:\s*(?:\\\\\*\\)(.*?)\s+Share\sPath

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.2.0

In der folgenden Tabelle sind die benutzerdefinierten Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.2.0aufgeführt.

Tabelle 4. Angepasste Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.2.0
Ihren Namen Beschreibung
Image Der Ausdruck „SourceImage\:\s(.*)\sTargetProcessGuid“ lautet jetzt: SourceImage\:\s(.*?)\sTargetProcessGuid

Der Ausdruck „Image:\s(.*)\sUser\:“ lautet jetzt: Image:\s(.*?)\sUser\:

Der Ausdruck „Image:\s(.*?)\s(FileVersion|CommandLine):“ lautet jetzt: \bImage:\s(.*?)\s(?:FileVersion|CommandLine):

Der Ausdruck „New\sProcess\sName:\s*(.*)\s{2}Token\sElevation\sType\:“ lautet jetzt: New Process Name:\s(.*?)Token Elevation Type\:

Der Ausdruck „SourceImage\:\s(.*)\sTargetProcessG“ lautet jetzt: SourceImage\:\s.*?\\([^\\]*?)\sTargetProcessG

Die folgenden Ausdrücke sind inaktiviert:
  • Image:\s(.*)\sImageLoaded
  • Image:\s(.*)\sTargetFilename\:
  • Image\:\s(.*)
  • Image\:\s(.*)\sDevice:
  • Image\:\s(.*)\sTargetObject
  • Process\sName\:\s*(.*?)\s*Access\sRequest
ImageName Der Ausdruck „Image:\s(?:.*\\)?(.*?)\s(?:FileVersion|CommandLine):\s“ lautet jetzt: \bImage:\s.*?\\([^\\]*?)(?:FileVersion|CommandLine):\s

Der Ausdruck „Image:\s(?:.*\\)?(.*)\sImageLoaded“ lautet jetzt: Image:.*?\\([^\\]*?)\sImageLoaded

Der Ausdruck „Image:\s(?:.*\\)?(.*)\sTargetFilename\:“ lautet jetzt: Image:.*?\\([^\\]*?)\sTargetFilename

Der Ausdruck „Image:\s(?:.*\\)?(.*)\sUser\:“ lautet jetzt: Image:\s.*?\\([^\\]*?)\sUser\:

Der Ausdruck „Image\:\s(?:.*\\)?(.*)\sTargetObject“ lautet jetzt: Image\:\s.*?\\([^\\]*?)\sTargetObject

Der Ausdruck „SourceImage\:\s(?:.*\\)?(.*)\sTargetProcessGuid“ lautet jetzt: SourceImage\:\s.*?\\([^\\]*?)\sTargetProcessGuid

Der Ausdruck „New\sProcess\sName:\s*(?:.*\\)?(.*)\s{2}Token\sElevation\sType\:“ lautet jetzt: New Process Name:\s.*?\\([^\\]*?)Token Elevation Type\:

Die folgenden Ausdrücke sind inaktiviert:
  • Image:\s(?:.*\\)?(.*)
  • Image\:\s(?:.*\\)?(.*)
  • Image\:\s(?:.*\\)?(.*)\sTargetObject
  • Image\:\s(?:.*\\)(.*)\sDevice:
  • Process\sName\:\s*(?:.*\\)?(.*?)\s*Access\sRequest
  • SourceImage\:\s(?:.*\\)?(.*)\sTargetProcessG
Process CommandLine (Prozessbefehlszeile) Der Ausdruck „Process Command Line:\s(.*)\sToken Elevation Type“ lautet jetzt: Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type)
ServiceName Der Ausdruck „Service Name\:\s*(.*)\sService\sFile expression“ lautet jetzt: (?i)Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)
SourceImage Diese angepasste Eigenschaft wird aus der Inhaltserweiterung entfernt.

Die folgende Tabelle enthält die Regeln, die in IBM Security QRadar Sysmon Content Extension 1.2.0aktualisiert wurden.

Tabelle 5. Aktualisierte Regeln in IBM Security QRadar Sysmon Content Extension 1.2.0
Ihren Namen Beschreibung
Threaderstellung durch einen aus einem gemeinsam genutzten Ordner gestarteten Prozess Verwendet jetzt die angepasste Eigenschaft Image anstelle der angepassten Eigenschaft SourceImage.

Die folgenden Regeln und Bausteine werden in IBM Security QRadar Sysmon Content Extension 1.2.0 entfernt, da sie Duplikate von Regeln in der IBM Security QRadar Endpoint Content Extension sind.

  • BB:BehaviorDefinition: Administrative Freigabe zugegriffen
  • Speicherauszug für Berechtigungsnachweise mit SAM-Registrierungsschlüssel erstellen
  • Verschlüsselter Befehl Böswillige Verwendung in einer Programmierumgebung
  • Dateilose UAC-Umgehung mit Fodhelper
  • Dateilose UAC-Umgehung mit sdclt
  • Dateilose UAC-Umgehung mithilfe der Windows-Ereignisanzeige
  • Prozess von einem ungewöhnlichen Prozess gestartet
  • Programmierumgebung mit einem privilegierten Konto gestartet
  • Für die Verwendung von Powershell konfigurierter Service
  • Verdächtige PSExec-Modulnutzung erkannt

Die Regel Verdächtige PSExec-Modulnutzung erkannt , die als Metasploit-PSExec-Modulnutzungbezeichnet wird.

Die Regel Powershell Malicious Usage Detected wurde entfernt und durch die Regel Datei decodieren oder herunterladen gefolgt von verdächtiger Aktivität im Endpunktinhaltspaket ersetzt.

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.1.3

In der folgenden Tabelle sind die benutzerdefinierten Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.1.3aufgeführt.

Tabelle 6: Angepasste Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.1.3
Ihren Namen Optimiert Erfassungsgruppe Regex
Servicename Ja 1 Service Name\:\s*(.*)\sService\sFile
ServiceFileName Ja 1 Service\sFile\sName\:\s*(.*)\sService\sType

In der folgenden Tabelle sind die Regeln und Bausteine in IBM Security QRadar Sysmon Content Extension 1.1.3aufgeführt.

Tabelle 7: Regeln und Bausteine in IBM Security QRadar Sysmon Content Extension 1.1.3
Typ Ihren Namen Beschreibung
Regel Download über codierten Befehl eingeleitet Diese Regel wird ausgelöst, wenn der Download eines PowerShell-Scripts aus einer Programmierumgebung mit dem Typ 'cmd' oder 'Powershell' eingeleitet wird.
Regel Installierter zerstörerischer Service Diese Regel wird ausgelöst, wenn ein Service installiert wurde, der als schädlich kategorisiert ist.
Regel Verwendung des Metasploit-PSExec-Moduls Diese Regel wird ausgelöst, wenn die Verwendung eines PSExec-Moduls erkannt wird.
Regel Auf einem kompromittierten Host beobachteter PSExec-Prozess Diese Regel wird ausgelöst, wenn ein PsExec-Prozess auf einem beeinträchtigten Host erkannt wurde.
Regel Mit lsass-Pipe verbundener Fernverwaltungsservice Diese Regel wird ausgelöst, wenn ein ferner Managementservice mit einer lsass-Pipe verbunden ist.
Regel Binärdatei für Service in einem gemeinsam genutzten Ordner Diese Regel wird ausgelöst, wenn sich eine Binärdatei für den Service in einem gemeinsam genutzten Ordner befindet.
Regel Für die Verwendung einer Pipe konfigurierter Service Diese Regel wird ausgelöst, wenn ein Service zur Verwendung einer Pipe konfiguriert ist.
Regel Für die Verwendung von Powershell konfigurierter Service Diese Regel wird ausgelöst, wenn ein Service zur Verwendung von PowerShell konfiguriert ist.
Regel Auf einem kompromittierten Host installierter Service Diese Regel wird ausgelöst, wenn ein Service auf einem beeinträchtigten Host erstellt wurde.

Die folgende Tabelle enthält die angepassten Eigenschaften, Regeln und Bausteine, die in IBM Security QRadar Sysmon Content Extension 1.1.3umbenannt wurden.

Tabelle 8. Angepasste Eigenschaften, Regeln, Bausteine, gespeicherte Suchen und Referenzdaten, die in IBM Sicherheit QRadar Sysmon Content Extension 1.1.3 umbenannt wurden
Alter Name Neuer Name
A Hidden Network Share Has Been Added Verdeckte gemeinsam genutzte Netzressource hinzugefügt
A Malicious Service Has Been Installed in a System Installierter zerstörerischer Service
A Network Share Has Been Accessed From a Compromised Host Zugriff auf gemeinsam genutzten Netzbereich über einen kompromittierten Host
Eine Netzfreigabe wurde in einem kompromittierten Host hinzugefügt Zu einem kompromittierten Host hinzugefügter gemeinsam genutzter Netzbereich
Eine Pipe wurde erstellt. Anschließend wird der Binärpfad des Service aktualisiert, um eine Verbindung zur erstellten Pipe herzustellen. Pipe erstellt, gefolgt von Aktualisierung des Binärdateipfads des Service
Ein Remoting-Service hat eine Powershell-Scriptdatei erstellt. Von einem Fernverwaltungsservice erstelltes Powershell-Script
A Scheduled Task Has Been Created in a Compromised Host Auf einem kompromittierten Host erstellte geplante Task
Ein Service wurde in einem kompromittierten Host installiert Auf einem kompromittierten Host installierter Service
Abnormal Parent for a System Process Ungewöhnliches übergeordnetes Element für einen Systemprozess
An Administrative share Has Been Accessed Zugriff auf administrative Freigabe
An Administrative share Has Been Accessed From a Compromised Machine Verwaltungsfreigabe, auf die von einem kompromittierten Host zugegriffen wird
BB: Eine geplante Task wurde erstellt BB:CategoryDefinition: Geplante Aufgabenerstellung
BB: Zugriff auf eine administrative Freigabe BB:BehaviorDefinition: Administrative Freigabe zugegriffen
BB: CreateRemoteThread erkannt BB:CategoryDefinition: Remote-Thread-Erstellung
BB: CreateRemoteThread ausgeschlossene Fälle BB:BehaviorDefinition: Falsch positive Ergebnisse bei der Erstellung von Remote-Threads
BB: Powershell-Prozess erkannt BB:CategoryDefinition: Programmierumgebung
BB: Festgestellte geplante Task auf Basis des Prozesserstellungsereignisses (Teil 2) BB:CategoryDefinition: Geplante Aufgabenerstellung durch einen Prozess
BB: Zugriff auf normale Windows-Prozesse lsass.exe BB:CategoryDefinition: Prozesse, die auf lsass zugreifen dürfen
BB: Pipe Has Been Created BB:CategoryDefinition: Rohrleitungserstellung
Baustein: Prozess hat eine Netzverbindung erstellt BB:CategoryDefinition: Netzwerkverbindung
BB: PsExec wurde erkannt BB:BehaviorDefinition: PsExec Beobachteter Prozess
BB: Binärpfad des Service wurde festgelegt oder aktualisiert BB:BehaviorDefinition: Dienst Binärer Pfad setzen oder aktualisieren
Childless Process Launched/Spawned a Process Prozess von einem ungewöhnlichen Prozess gestartet
Command Shell Started With a System Privileges Programmierumgebung, die mit einem privilegierten Konto gestartet wurde
Dateilose UAC-Umgehung mit Fodhelper erkannt Dateilose UAC-Umgehung mit Fodhelper
Dateilose UAC-Umgehung mit sdclt erkannt Dateilose UAC-Umgehung mit sdclt
Dateilose UAC-Umgehung mithilfe der Windows-Ereignisanzeige erkannt Dateilose UAC-Umgehung mithilfe der Windows-Ereignisanzeige
Erkannt, Dass Ein Bekannter Prozess Mit Einem Neuen Unbekannten Hash Gestartet Wurde Bekannter Prozess mit anderem Hash gestartet
Langer Wert in Windows-Registry erkannt Größe ungewöhnlicher Werte in Windows-Registry
Zerstörerischen Zugriff auf lsass-Prozess erkannt Verdächtiger Zugriff auf lsass-Prozess
Zerstörerischen Zugriff auf lsass-Prozess von unbekanntem Aufruftrace erkannt Verdächtiger Zugriff auf den lsass-Prozess über einen unbekannten Aufruftrace
Detected a New Unseen Process Started with a System User Privileges Neuer Prozess mit einem privilegierten Konto gestartet
Detected a Possible Credential Dumping Tool Potenzielles Credential Dumping-Tool erkannt
Detected a Possible Keylogger Potenzieller Keylogger erkannt
Detected a Remotely Executed Process over Multiple Hosts Ausführung ferner Prozesse auf mehreren Hosts
Mit Lsass-Pipe verbundener Fernverarbeitungsservice erkannt Mit lsass-Pipe verbundener Fernverwaltungsservice
Geplante Task über mehrere Hosts erkannt Geplante Task auf mehreren Hosts erstellt
Geänderten Binärpfad für Service erkannt, gefolgt von einem Benutzer oder einer Gruppe hinzugefügt Aktualisierung des binären Servicepfads gefolgt von Benutzer-oder Gruppenänderung
Detected a Service Configured to Use a Pipe Für die Verwendung einer Pipe konfigurierter Service
Detected a Service Configured to Use Powershell Für die Verwendung von Powershell konfigurierter Service
Service mit einer ausführbaren Binärdatei in einem gemeinsam genutzten Ordner erkannt Binärdatei für Service in einem gemeinsam genutzten Ordner
Detected a Suspicious Svchost Process Verdächtiger Svchost-Prozess
Detected Abnormal Parent for a Process Ungewöhnliches übergeordnetes Element für einen Prozess
Unbekannten/Unbekannten Prozess Erkannt (basierend Auf Dem Prozess-hash) Unbekannter Prozess-Hash beobachtet
unbekannten/unbekannten Prozess Erkannt (basierend Auf Dem Prozessnamen) Unbekannter Prozessname beobachtet
Übermäßige Ausführung des SC-Befehls erkannt Übermäßige Verwendung des Befehls SC
Detected Excessive Usage of System Tools From a Single Machine Übermäßige Nutzung von Systemtools auf einem einzelnen Host
Mimikatz basierend auf IMP-Hash erkannt Mimikatz-IMP-Hashwert beobachtet
Erkannte PsExec mit einem anderen Prozessnamen PsExec Prozessmasquerading
Excessive Failed Attempts to Access a Network Shared Resource From a Compromised Host Zu viele Fehler beim Netzfreigabezugriff von einem kompromittierten Host
Excessive Failed Attempts to Access an Administrative Share From a Single source Zu viele Zugriffsfehler bei der administrativen Freigabe von demselben Host
Lsass-Prozess verbunden mit einer Pipe Lsass-Prozess verbunden mit einer Pipe
Metasploit-PSExec-Modul wurde erkannt Verwendung des Metasploit-PSExec-Moduls
Mögliche Locky Ransomware basierend auf rundll32 mit qwerty-Argument erkannt Rundll32 mit Verwendung des Arguments qwerty
Mögliche UAC-Umgehung-Eine geplante Task wurde für die Ausführung mit den höchsten Berechtigungen konfiguriert UAC-Umgehung-Geplante Task, die für die Ausführung mit den höchsten Berechtigungen konfiguriert ist
Powershell wurde gestartet Powershell-Prozess beobachtet
Powershell Has Been Launched in a Compromised Host Powershell-Prozess auf einem beeinträchtigten Host beobachtet
Powershell Malicious Usage Detected with Encoded Command Verschlüsselter Befehl Böswillige Verwendung in einer Programmierumgebung
Powershell-Script-Download mit EncodedCommand Download über codierten Befehl eingeleitet
Prozessbaselining: Prozess-Hash Prozessbaselining: Prozess-Hash
Prozessbaselining: Prozessname Prozessbaselining: Prozessname
Prozessbaselining: Prozessname zu Hash Prozessbaselining: Prozessname zu Hash
Prozessbaselining: Prozessname zu übergeordnetem Prozess Prozessbaselining: Prozessname zu übergeordnetem Prozess
Prozessbaselining: Prozess mit Systembenutzerberechtigungen gestartet Prozessbaselining: Prozess mit Systembenutzerberechtigungen gestartet
Prozess hat einen Thread aus einem Prozess erstellt, der aus einem temporären Verzeichnis gestartet wurde Threaderstellung durch einen Prozess, der aus einem temporären Verzeichnis gestartet wird
Prozess hat einen Thread in einem anderen Prozess erstellt Gewindeerzeugung in einem Prozess, der sich vom ursprünglichen Prozess unterscheidet
Prozess hat einen Thread im lsass-Prozess erstellt Threaderstellung im lsass-Prozess
Prozess hat einen Thread im Systemprozess erstellt Threaderstellung in einen Systemprozess
Prozess aus einem gemeinsam genutzten Ordner gestartet Prozess aus einem gemeinsam genutzten Ordner gestartet
Process Launched From a Shared Folder and Created Thread into Another Process Threaderstellung durch einen aus einem gemeinsam genutzten Ordner gestarteten Prozess
Process Launched From Temp Directory Prozess aus einem temporären Verzeichnis gestartet
Vom temporären Verzeichnis geladene ausführbare Datei verarbeiten Ausführbare Datei aus temporäres Verzeichnis geladen
Prozess aus ungewöhnlichen Verzeichnissen gestartet (Recycle.bin, ..) Prozess aus unüblichem Verzeichnis gestartet
PsExec wurde erkannt PsExec -Prozess beobachtet
PsExec Has Been Launched From a Compromised Host PsExec -Prozess auf einem kompromittierten Host beobachtet
SAM-Registrierungsschlüssel-Unterschlüssel aufzählen (Benutzer) Speicherauszug für Berechtigungsnachweise mit SAM-Registrierungsschlüssel erstellen
Der Binärpfad des Dienstes wurde aktualisiert, gefolgt von einem CreateRemoteThread, der vom selben Prozess erkannt wurde Aktualisierung des Binärpfads des Service gefolgt von der Erstellung des fernen Threads
Binärpfad des Service wurde aktualisiert, gefolgt von einer Netzverbindung von demselben Prozess Aktualisierung des binären Servicepfads gefolgt von Netzverbindung
Löschen von Spiegelkopien erkannt Löschen von Spiegelkopien
Systemprozess aus ungewöhnlichem Verzeichnis gestartet Systemprozess aus ungewöhnlichem Verzeichnis gestartet
Nicht Signierter Treiber Wurde Im Windows-kernel Geladen Nicht Signierter Treiber In Windows-kernel Geladen
Nicht Signierte Ausführbare Datei In lsass.exe Nicht Signierte Ausführbare Datei In Lsass Geladen
Nicht Signierte Ausführbare Datei In Sensiblen Systemprozess Geladen Nicht Signierte Ausführbare Datei In Sensiblen Systemprozess Geladen
Whoami /groups Has Been Executed Gruppen-oder Kontoerkennung

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.1.2

In der folgenden Tabelle sind die angepassten Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.1.2aufgeführt.

Tabelle 9. Angepasste Eigenschaften in IBM Security QRadar Sysmon Content Extension 1.1.2
Ihren Namen Regex
Image Image:\s(.*?)\s(FileVersion|CommandLine):
ImageName Image:\s(?:.*\\)?(.*?)\s(?:FileVersion|CommandLine):\s
LoadedImage ImageLoaded:\s(.*?)\s(FileVersion|Hashes)\:
LoadedImageName ImageLoaded\:\s(?:.*\\)(.*?)\s*(FileVersion|Hashes)\:

Folgende Tabelle zeigt die Regeln und Bausteine in IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabelle 10. Regeln in IBM Security QRadar Sysmon Content Extension 1.1.2
Ihren Namen Beschreibung
Prozessbaselining: Prozessname zu Hash Es wurde eine Regelantwort hinzugefügt, um das Referenzset ProcessNametoHashRefMapOfSetKeys zu füllen.
Prozessbaselining: Prozessname zu übergeordnetem Prozess Es wurde eine Regelantwort hinzugefügt, um das Referenzset ProcesstoParentProcessPathRefMapKeys zu füllen.
Erkannt, Dass Ein Bekannter Prozess Mit Einem Neuen Unbekannten Hash Gestartet Wurde Erkennt, wenn ein bekannter Prozess mit einem neuen ungesehenen Hashwert gestartet wird.
Detected Abnormal Parent for a Process Erkennt ein abnormales übergeordnetes Element für einen Prozess.
Prozessbaselining: Prozess-Hash Stellt eine Baseline für Prozesshashwerte bereit.
Prozessbaselining: Prozessname Stellt eine Baseline für Prozessnamen bereit, mit Windows-Standardprotokollen oder Sysmon-Protokollen.
Unbekannten/Unbekannten Prozess Erkannt (basierend Auf Dem Prozess-hash) Erkennt ungewöhnliche oder unbekannte Prozesshashwerte.
unbekannten/unbekannten Prozess Erkannt (basierend Auf Dem Prozessnamen) Erkennt ungewöhnliche oder unbekannte Prozessnamen.
Process Launched From a Shared Folder and Created Thread into Another Process Einer der Regeltests wurde aktualisiert.

Die folgende Tabelle zeigt die Referenzdaten in IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabelle 11. Referenzdaten in IBM Security QRadar Sysmon Content Extension 1.1.2
Typ Ihren Namen Beschreibung
Referenzset Profilprozessnamen Speichert die Baselineliste mit den Prozessnamen.
Referenzset Prozesshashwerte mit Profilen Speichert die Baselineliste mit den Prozesshashwerten.
Referenzset ProcessNametoHashRefMapOfSetKeys Speichert die Schlüssel in der Setzuordnung, die einen Prozessnamen seinem Hashwert zuordnet.
Referenzset ProcesstoParentProcessPathRefMapKeys Speichert die Schlüssel in der Setzuordnung, die einen Prozessnamen seinem übergeordneten Prozess zuordnet.
Referenzzuordnung von Gruppen ProcessMaptoProcessParentPath Der Elementtyp wurde in 'Alphanumerisch (ohne Beachtung der Groß-/Kleinschreibung)' geändert.
Referenzzuordnung von Gruppen ProcessNametoHash Der Elementtyp wurde in 'Alphanumerisch (ohne Beachtung der Groß-/Kleinschreibung)' geändert.

In der folgenden Tabelle sind die gespeicherten Suchen in IBM Security QRadar Sysmon Content Extension 1.1.2aufgeführt.

Tabelle 12. Gespeicherte Suchen in IBM Security QRadar Sysmon Content Extension 1.1.2
Ihren Namen Beschreibung
Unbekannter Prozess-Hash wurde gestartet Die Suchkriterien wurden aktualisiert.
Abnormales übergeordnetes Element für einen Prozess Die Suchkriterien wurden aktualisiert.
Unbekannter Prozessname wurde gestartet Diese Suche zeigt unbekannte Prozesse abhängig vom Prozessnamen an.

(Zurück nach oben)

IBM Security QRadar Inhaltserweiterung 1.1.1

In 1.1.1 wurden aufgrund möglicher Leistungsprobleme zwei Regeln und zwei AQL-Funktionen entfernt:
  • Regel: Detected a Known Process Started With Unseen Hash
  • Regel: Detected Abnormal Parent for a Process
  • Angepasste Funktion: checkWithMapOfSets
  • Angepasste Funktion: IsItWhiteListedProcess

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 enthält neue Regeln zum Erstellen von Baselineprozessen und zum Erkennen der folgenden Aktivitäten:
  • Rechteausweitung
  • Umgehungen der Benutzerkontosteuerung (UAC) durch Fileless-Malware
  • Credential Dumping (Abbilden der Zugangsdaten)
  • Lateralausbreitungsverfahren
  • Metasploit-Implementierung von PSExec
  • Schädliche PowerShell-Nutzung

Diese Version enthält auch neue benutzerdefinierte Eigenschaften, gespeicherte Suchen und angepasste AQL-Funktionen. Den QRadar -Administratoreinstellungen wurde ein neues Symbol hinzugefügt, um ein Berechtigungstoken für angepasste Sysmon-Funktionen zu konfigurieren.

In der folgenden Tabelle werden die Änderungen beschrieben, die in IBM Security QRadar Sysmon Content Extension 1.1.0 enthalten sind.

Typ Ihren Namen Änderungsbeschreibung
Regel Ungewöhnlicher Prozess (z. B. Wort, iexplore, AcroRd ..) Launched a Command Shell Erkennt, wenn ein ungewöhnlicher Prozess, z. B. MS Word, Internet Explorer oder Acrobat Reader, eine Befehlsshell oder PowerShell startet.
Regel Detected a Remotely Executed Process over Multiple Hosts Erkennt über Fernzugriff ausgeführte Prozesse, die PowerShell, wmi oder PSExec als bekannte Lateralausbreitungsverfahren verwenden.
Regel Geplante Task über mehrere Hosts erkannt Erkennt eine geplante Task, die sich über mehrere Hosts erstreckt.
Regel Metasploit-PSExec-Modul wurde erkannt Erkennt die Metasploit-Implementierung des PSExec-Tools.
Regel PsExec Has Been Launched From a Compromised Host Erkennt, wenn PSExec von einem Host gestartet werden soll, der als kompromittierter Host markiert ist.
Regel PSExec wurde erkannt Erkennt, wenn ein Host PSExec startet.
Regel PSExec mit anderem Prozessnamen erkannt Erkennt, wenn PSExec mit einem anderen Namen hochgeladen wird.
Regel Command Shell Started With a System Privileges Erkennt, wenn eine Befehlsshell mit ausgeweiteten Rechten gestartet wird. Beispiel: Ein regulärer Benutzer startet die Befehlsshell als Windows-Systembenutzer.
Regel Prozessbaselining: Prozess mit Systembenutzerberechtigungen gestartet Stellt eine Baseline bereit, für die Prozesse normalerweise mit einer Systemberechtigung gestartet werden. Mithilfe dieser Baseline können andere Regeln erkennen, wenn ein neuer Prozess mit einer Systemberechtigung gestartet wird. Diese Baseline kann angeben, ob jemand versucht, eine Rechteausweitung durchzuführen.
Regel Detected a New Unseen Process Started with a System User Privileges Erkennt, wenn ein neuer oder ungewöhnlicher Prozess mit einer Systemberechtigung gestartet wird. Diese Regel ist standardmäßig inaktiviert. Führen Sie die Prozessbaselineregeln im Rahmen Ihrer Wartungsroutine eine Woche lang durch, bevor Sie diese Regel aktivieren.
Regel Prozessbaselining: Prozessname zu übergeordnetem Prozess Stellt eine Baseline für die Identifizierung der übergeordneten Prozesse für jeden Prozess bereit. Diese Baseline kann dabei helfen, ungewöhnliche Prozesse zu erkennen.
Regel Prozessbaselining: Prozessname zu Hash Stellt eine Baseline für Prozessnamen und ihre entsprechenden Hashwerte bereit. Mithilfe dieser Baseline kann erkannt werden, wenn ein unbekannter Prozess oder ein Prozess mit einem neuen Hashwert gestartet wird. Diese Informationen können auch verwendet werden, um Sysmon-Protokolle mit anderen Protokollen zu integrieren.
Regel Detected Excessive Usage of System Tools From a Single Machine Erkennt, wenn eine einzelne Maschine zum Beispiel folgende Systemtools exzessiv nutzt:
  • lcacl.exe
  • procdump.exe
  • vssadmin.exe
  • accesschk.exe
  • netsh.exe
  • arp.exe
  • systeminfo.exe
  • whoami.exe
Regel Detected a Service Configured to Use Powershell Erkennt, wenn ein Service für die Verwendung von PowerShell konfiguriert ist.
Regel Langer Wert in Windows-Registry erkannt Erkennt, wenn ein Angreifer versucht hat, einen Registrierungsschlüssel unter Verwendung eines Long-Werts, z. B. eines PowerShell-codierten Befehls, hinzuzufügen oder festzulegen.
Regel Service mit einer ausführbaren Binärdatei in einem gemeinsam genutzten Ordner erkannt Erkennt, wenn ein Service dafür konfiguriert ist, eine ausführbare Binärdatei aus einem gemeinsam genutzten Ordner zu starten.
Regel Detected a Service Configured to Use a Pipe Erkennt, wenn ein Service für eine Verbindung zu einer Pipe konfiguriert ist.
Regel Eine Pipe wurde erstellt. Anschließend wird der Binärpfad des Service aktualisiert, um eine Verbindung zur erstellten Pipe herzustellen. Erkennt einen Named-Pipe-Identitätswechsel, bei dem es sich um ein Verfahren zur Rechteausweitung handelt.
Regel Geänderten Binärpfad für Service erkannt, gefolgt von einem Benutzer oder einer Gruppe hinzugefügt Erkennt, wenn ein Benutzer oder eine Gruppe hinzugefügt wird, nachdem ein Servicebinärdateipfad geändert wurde.
Regel Binärpfad des Service wurde aktualisiert, gefolgt von einer Netzverbindung von demselben Prozess Erkennt, wenn ein Prozess versucht, einen Service zu konfigurieren oder hinzuzufügen, und wenn derselbe Prozess eine abgehende Verbindung erstellt.
Regel Übermäßige Ausführung des SC-Befehls erkannt Erkennt, wenn der Service-Controller-Befehl exzessiv verwendet wird.
Regel Binärdateipfad für Service ohne Anführungszeichen mit Leerzeichen erkannt Erkennt, wenn ein nicht in Anführungszeichen gesetzter Servicebinärdateipfad Leerzeichen enthält. Ein Dateipfad, der nicht in Anführungszeichen eingeschlossen ist und Leerzeichen enthält, kann ausgenutzt werden. Beispiel: C:\Program Files (x86)\.
Regel Mögliche UAC-Umgehung-Eine geplante Task wurde für die Ausführung mit den höchsten Berechtigungen konfiguriert Erkennt, wenn eine geplante Task für eine Ausführung mit den höchsten Berechtigungen erstellt wird.
Regel Der Binärpfad des Dienstes wurde aktualisiert, gefolgt von einem CreateRemoteThread, der vom selben Prozess erkannt wurde Erkennt, wenn ein Prozess versucht, einen Service zu konfigurieren oder hinzuzufügen, und wenn derselbe Prozess einen Thread in anderen Prozessen erstellt.
Regel Prozess aus einem gemeinsam genutzten Ordner gestartet Erkennt, wenn ein Prozess aus einem gemeinsam genutzten Ordner gestartet wird.
Regel Process Launched From a Shared Folder and Created Thread into Another Process Erkennt, wenn ein Prozess aus einem gemeinsam genutzten Ordner gestartet wird und einen Thread in einem anderen Prozess erstellt.
Regel Ein Fernverarbeitungsservice hat eine PowerShell -Scriptdatei erstellt Erkennt, wenn ein Fernzugriffsservice, z. B. wsmprovhost, psexesvc oder wmiprvse, eine PowerShell-Scriptdatei erstellt.
Regel Mit Pipe verbundener LSASS-Prozess Erkennt, wenn eine Pipe eine Verbindung zu einer Aktivität herstellt, die vom LSASS-Prozess (Local Security Authority Subsystem Service) initiiert wurde, was zur Ausgabe von Berechtigungsnachweisen führen kann.
Regel Mit LSASS-Pipe verbundener Fernverarbeitungsservice erkannt Erkennt, wenn ein Fernzugriffsservice, z. B. wsmprovhost, psexesvc oder wmiprvse, versucht, eine Verbindung zu einer Pipe namens LSASS herzustellen.
Regel Dateilose UAC-Umgehung mit sdclt erkannt Erkennt einen Versuch zur Umgehung der Benutzerkontosteuerung (UAC), bei dem sdclt.exe verwendet wird, der Windows-Prozess, der es Benutzern ermöglicht, Sicherungs- und Wiederherstellungsoperationen auszuführen. Die Ausführung von sdclt.exe erfolgt standardmäßig mit einer hohen Integritätsstufe. Nachdem der Prozess gestartet wurde, sucht er nach bestimmten Schlüsseln in der Registry. Werden die Schlüssel gefunden, führt der Prozess sie aus.
Regel Dateilose UAC-Umgehung mit Fodhelper erkannt Erkennt, wenn der Fodhelper-Prozess verwendet wird, um die Benutzerkontosteuerung in Windows 10 durch die Entwendung eines speziellen Schlüssels in der Registry zu umgehen.
Regel Dateilose UAC-Umgehung mithilfe der Windows-Ereignisanzeige erkannt Erkennt, wenn die Windows-Ereignisanzeige zur Umgehung der Benutzerkontosteuerung verwendet wird.
Regel Nicht Signierter Treiber Wurde Im Windows-kernel Geladen Erkennt Versuche, einen nicht signierten Treiber in den Windows-Kernel zu laden.
Regel Ein Service wurde in einem kompromittierten Host installiert Erkennt eine Serviceinstallation auf einem Host, der als kompromittierter Host markiert ist.
Regel A Scheduled Task Has Been Created in a Compromised Host Erkennt Versuche, eine geplante Task auf einem Host zu erstellen, der als kompromittierter Host markiert ist.
Regel Zu viel verweigerter SMB-Datenverkehr von einem kompromittierten Host Erkennt einen exzessiven SMB-Datenverkehr, der von einem kompromittierten Host verweigert wird.
Regel Excessive Failed Attempts to Access an Administrative Share From a Single source Erkennt außergewöhnlich viele fehlgeschlagene Versuche, von einem einzelnen Quellenhost auf administrative Freigaben zuzugreifen.
Regel Excessive Failed Attempts to Access a Network Shared Resource From a Compromised Host Erkennt außergewöhnlich viele fehlgeschlagene Versuche, von einem kompromittierten Host auf gemeinsam genutzte Ordner auf mehreren Hosts im Netz zuzugreifen.
Regel A Network Share Has Been Accessed From a Compromised Host Erkennt, wenn ein kompromittierter Host erfolgreich auf einen gemeinsam genutzten Ordner zugegriffen hat.
Regel Eine Netzfreigabe wurde in einem kompromittierten Host hinzugefügt Erkennt, wenn ein kompromittierter Host einen gemeinsam genutzten Ordner oder eine Datei hinzugefügt hat.
Regel Detected SMB Traffic From a Compromised Host Into Other Hosts Erkennt abgehenden SMB-Datenverkehr von einem kompromittierten Host zu anderen Hosts.
Regel Detected a Successful Login From a Compromised Host Into Other Hosts Erkennt erfolgreiche Anmeldungen von einem kompromittierten Host bei anderen Hosts.
Regel An Administrative share Has Been Accessed Erkennt, wenn auf eine administrative Freigabe zugegriffen wird.
Regel A Hidden Network Share Has Been Added Erkennt die Erstellung einer verdeckten gemeinsam genutzten Datei.
Regel PowerShell wurde gestartet Erkennt, wenn ein Host PowerShell startet.
Regel Powershell Has Been Launched in a Compromised Host Erkennt, wenn ein kompromittierter Host PowerShell startet.
Regel A Malicious Service Has Been Installed in a System Erkennt, wenn ein bekannter schädlicher Service im System installiert wird.
Regel Childless Process Launched/Spawned a Process Erkennt, wenn ein Prozess, der keine untergeordneten Elemente enthalten sollte, einen untergeordneten Prozess startet.
Regel Löschen von Spiegelkopien erkannt Erkennt, wenn Spiegelkopien gelöscht werden.
Regel Detected a Suspicious Svchost Process Erkennt einen schädlichen svchost-Prozess.
Regel Mimikatz basierend auf IMP-Hash erkannt Erkennt das Post-Exploitation-Tool Mimikatz abhängig davon, ob der Invoke Mimikatz PowerShell-(IMP-)Hash verwendet wird.
Regel A Command Shell or Powershell Has been Launched From a Remote System Erkennt, wenn ein Fernzugriffsservice, z. B. wsmprovhost, psexesvc oder wmiprvse, eine Befehlsshell oder PowerShell auf einem fernen System startet.
Regel Whoami /groups Has Been Executed Erkennt, wenn der Befehl whoami oder 'group' vor einem Rechteausweitungsverfahren verwendet wird.
Regel SAM-Registrierungsschlüssel-Unterschlüssel aufzählen (Benutzer) Erkennt Versuche, den SAM-Registrierungsschlüssel aufzuzählen.
Regel Registry-Speicherauszug für SAM oder Systemschlüssel erkannt Erkennt Versuche, einen Speicherauszug der SAM-Registrierung zu erstellen.
Regel Zugriff auf SAM-Registrierungsschlüssel-regedit verwenden Erkennt Versuche, auf den SAM-Registrierungsschlüssel zuzugreifen.
Regel Prozess hat einen Thread im LSASS-Prozess erstellt Erkennt Versuche, einen Thread im LSASS-Prozess zu erstellen.
Regel Nicht signierte ausführbare Datei in LSASS.exe Erkennt Versuche, eine nicht signierten ausführbare Datei in den LSASS-Prozess zu laden.
Regel Zerstörerischen Zugriff auf LSASS-Prozess erkannt Erkennt einen schädlichen Zugriff auf den LSASS-Prozess.
Regel Zerstörerischer Zugriff auf LSASS-Prozess von unbekanntem Aufruftrace erkannt Erkennt Versuche von Fileless-Malware, auf den LSASS-Prozess zuzugreifen.
Regel Prozess aus ungewöhnlichen Verzeichnissen gestartet (Recycle.bin, ..) Erkennt, wenn ein Prozess aus einem ungewöhnlichen Verzeichnis, z. B. dem Papierkorb, gestartet wird.
Regel Detected a Possible Credential Dumping Tool
Wird als zusätzliche Markierung verwendet, wenn eine der folgenden Regeln zutrifft:
  • Zerstörerischen Zugriff auf LSASS-Prozess erkannt
  • Zerstörerischer Zugriff auf LSASS-Prozess von unbekanntem Aufruftrace erkannt
  • Registry-Speicherauszug für SAM oder Systemschlüssel erkannt
  • Prozess hat einen Thread im LSASS-Prozess erstellt
  • SAM-Registrierungsschlüssel-Unterschlüssel aufzählen (Benutzer)
  • Zugriff auf SAM-Registrierungsschlüssel-regedit verwenden
  • Mimikatz basierend auf IMP-Hash erkannt
  • Mit LSASS-Pipe verbundener Fernverarbeitungsservice erkannt
  • Mit Pipe verbundener LSASS-Prozess
Regel Detected a Possible Keylogger Erkennt, wenn eine Maschine mit einem Keylogger infiziert ist.
Regel Mögliche Locky Ransomware basierend auf rundll32 mit qwerty-Argument erkannt Erkennt eine bekannte Signatur für Locky-Ransomware.
Regel Powershell Malicious Usage Detected with Encoded Command Wurde aktualisiert, um weitere schädliche PowerShell-Nutzungen zu erkennen.
Regel Powershell Malicious Usage Detected Wurde aktualisiert, um weitere schädliche PowerShell-Nutzungen zu erkennen.
Baustein BB: PSExec wurde erkannt Wird in den PSExec-Regeln verwendet.
Baustein Baustein: Prozess hat eine Netzverbindung erstellt Wird in Regeln verwendet, die Netzverbindungen mit anderen Aktivitäten korrelieren.
Baustein BB: Zugriff auf eine administrative Freigabe Wird in Regeln verwendet, die schädliche Aktivitäten mit gemeinsam genutzten Ordnern erkennen.
Baustein BB: CreateRemoteThread erkannt Wird in Regeln verwendet, die die Erstellung von fernen Threads erkennen.
Baustein BB: Zugriff auf normale Windows-Prozesse LSASS.exe Wird in Regeln verwendet, die den LSASS-Prozess erkennen.
Baustein Baustein: PowerShell -Prozess erkannt Wird in Regeln verwendet, die PowerShell-Prozesse erkennen.
Baustein BB: Eine geplante Task wurde erstellt Wird in Regeln verwendet, die geplante Tasks erkennen.
Baustein BB: Auf der Basis des Prozesserstellungsereignisses (Teil 1) eine geplante Task erkannt Wird in Regeln verwendet, die geplante Tasks auf Basis der Prozessereigniserstellung erkennen.
Baustein BB: Pipe Has Been Created Wird in Regeln verwendet, die eine Pipeerstellung erkennen.
Baustein BB: Festgestellte geplante Task auf Basis des Prozesserstellungsereignisses (Teil 2) Wird in Regeln verwendet, die geplante Tasks auf Basis der Prozessereigniserstellung erkennen.
Baustein BB: Binärpfad des Service wurde festgelegt oder aktualisiert Wird in Regeln verwendet, die erkennen, wenn ein Servicebinärdateipfad festgelegt oder aktualisiert wird.
Baustein BB: CreateRemoteThread ausgeschlossene Fälle Wird in Regeln verwendet, die die Erstellung von fernen Threads erkennen.
Gespeicherte Suche Abnormales übergeordnetes Element für einen Prozess Diese Suche zeigt Prozesse mit einem ungewöhnlichen übergeordneten Element auf Basis der Baselinedaten an.
Gespeicherte Suche Von sensiblen Windows-Prozessen erkannte Netzverbindungen Diese Suche zeigt Verbindungen an, die von einem Windows-sensitiven Prozess eingeleitet werden.
Gespeicherte Suche Prozesszugriff auf LSASS Diese Suche zeigt Prozesse an, die auf LSASS zugegriffen haben.
Gespeicherte Suche Fern gestartete ausführbare Dateien über WMI oder PowerShell Diese Suche zeigt Prozesse an, die über Fernzugriff ausgeführt wurden.
Gespeicherte Suche Binärpfad des Service wurde festgelegt oder aktualisiert Diese Suche zeigt neue Services an oder wenn sich die Position der Servicebinärdatei geändert hat.
Gespeicherte Suche Unbekannter Prozess-Hash wurde gestartet Diese Suche zeigt ungesehene Prozesshashwerte an.
Gespeicherte Suche Nicht Signierte Ausführbare Datei In Sensiblen Systemprozess Geladen Diese Suche zeigt Versuche an, eine nicht signierte ausführbare Datei in sensible Systemprozesse zu laden.
Gespeicherte Suche Sehr lange Befehlszeile erkannt Diese Suche zeigt langen Befehlszeilentext an.
Referenzset In Whitelist aufgeführte Hashes Enthält eine Liste mit in der Whitelist aufgeführten Hashwerten an.
Referenzset Systemwerkzeuge Enthält eine Liste der Tools, die von Systemadministratoren verwendet werden.
Referenzset Als Systembenutzer gestartete Prozesse Hashes Enthält eine Liste der Prozesshashwerte, die mit einer Systemebenenberechtigung gestartet werden können.
Referenzset Gefährdete Hosts Enthält eine Liste, die mit kompromittierten Hosts gefüllt ist.
Referenzset Prozessname für Hash Enthält eine Liste der Prozessnamen, die ihren Hashwerten zugeordnet sind.
Referenzset IOCs-Namen schädlicher Services Enthält eine Liste mit bekannten schädlichen Servicenamen.

(Zurück nach oben)

IBM Sicherheit QRadar Sysmon Content Extension 1.0.0

In der folgenden Tabelle werden die Änderungen beschrieben, die in IBM Security QRadar Sysmon Content Extension 1.0.0 enthalten sind.

Typ Ihren Namen Änderungsbeschreibung
Regel Nicht signierte ausführbare Datei oder DLL aus temporäres Verzeichnis geladen Erkennt, wenn eine nicht zugeordnete ausführbare Datei oder DLL aus einem temporären Verzeichnis geladen wird.
Regel Process Launched From Temp Directory Erkennt, wenn ein Prozess aus einem temporären Verzeichnis gestartet wird.
Regel Nicht signierte ausführbare Datei oder DLL in sensiblen Systemprozess geladen Erkennt, wenn eine nicht zugeordnete ausführbare Datei oder DLL in andere sensible Systemprozesse geladen wird.
Regel Prozess hat einen Thread im Systemprozess erstellt Erkennt, wenn ein Prozess einen Thread in einem Systemprozess erstellt.
Regel Prozess hat einen Thread aus einem Prozess erstellt, der über einen temporären Director gestartet wurde Erkennt, wenn ein Prozess einen Thread aus einem Prozess erstellt, der aus einem temporären Verzeichnis gestartet wurde.
Regel Prozess hat einen Thread in einem anderen Prozess erstellt Erkennt, wenn ein Prozess einen Thread in einem anderen Prozess erstellt.
Regel Powershell Malicious Usage Detected Erkennt eine schädliche PowerShell-Nutzung.
Regel Powershell Malicious Usage Detected with Encoded Command Erkennt eine schädliche PowerShell-Nutzung mit einem codierten Befehl.
Regel PowerShell -Script wurde heruntergeladen Erkennt, wenn ein PowerShell-Script heruntergeladen wird.
Regel Systemprozess aus unüblichem Verzeichnis gestartet Erkennt, wenn ein Systemprozess aus einem ungewöhnlichen Verzeichnis gestartet wird.
Regel Abnormal Parent for a System Process Erkennt, wann ein abnormales übergeordnetes Element für einen Systemprozess vorhanden ist.
Regel Verdächtiger svchost-Prozess erkannt Erkennt verdächtige svchost-Prozesse.
Regel Löschen von Spiegelkopien erkannt Erkennt, wenn eine Spiegelkopiedatei gelöscht wird.
Baustein BB: Unsignierte ausführbare Datei oder DLL in sensiblen Systemprozess geladen Teil 1 Wird von der Regel 'Unsigned Executable' oder 'DLL Loaded Into Sensitive System Process' verwendet.
Baustein BB: Heruntergeladenes PowerShell -Script erkannt Wird von der Regel 'PowerShell script has been downloaded' verwendet.
Baustein BB: Es wurde ein heruntergeladenes PowerShell Script mit EncodedCommand Wird von der Regel 'PowerShell Malicious Usage Detected with Encoded Command' verwendet.
Benutzerdefinierte Eigenschaft Image Image:\s(.*)\sImageLoaded
Benutzerdefinierte Eigenschaft ImageName Image:\s(?:.*\\)(.*)\sImageLoaded
Benutzerdefinierte Eigenschaft Signiert Signed:\s(true|false)
Benutzerdefinierte Eigenschaft Signatur Signature:\s(.*)\sSignatureStatus
Benutzerdefinierte Eigenschaft SignatureStatus SignatureStatus:\s(Valid)
Benutzerdefinierte Eigenschaft LoadedImage ImageLoaded:\s(.*)\sHashes
Benutzerdefinierte Eigenschaft Image Image:\s(.*)\sCommandLine
Benutzerdefinierte Eigenschaft ImageName Image:\s(?:.*\\)(.*)\sCommandLine
Benutzerdefinierte Eigenschaft ParentImage ParentImage:\s(.*)\sParentCommandLine
Benutzerdefinierte Eigenschaft ParentImageName ParentImage:\s(?:.*\\)(.*)\sParentCommandLine
Benutzerdefinierte Eigenschaft Target Image Name (Zielimagename) TargetImage:\s(?:.*\\)(.*)\sNewThreadId
Benutzerdefinierte Eigenschaft SourceImage SourceImage:\s(.*)\sTargetProcessGuid
Benutzerdefinierte Eigenschaft TargetImage TargetImage:\s(.*)\sNewThreadId
Benutzerdefinierte Eigenschaft PS-codierter Befehl [\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)
Benutzerdefinierte Eigenschaft Process CommandLine (Prozessbefehlszeile) CommandLine:\s(.*)\sCurrentDirectory
Benutzerdefinierte Eigenschaft SourceImageTempPath SourceImage:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
Benutzerdefinierte Eigenschaft ImageTempPath Image:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
Benutzerdefinierte Eigenschaft ImageLoadedTempPath ImageLoaded:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
Benutzerdefinierte Eigenschaft Process CommandLine (Prozessbefehlszeile) Process Command Line:\s*(.*)\s*Token Elevation Type
Benutzerdefinierte Eigenschaft PS-codierter Befehl Process Command Line:\s*powershell.*[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)\s*Token Elevation Type
Benutzerdefinierte Eigenschaft ImageName New Process Name:\s*(?:.*\\)(\S*)\s*Token\sElevation\sType\:
Benutzerdefinierte Eigenschaft SHA1 Hash SHA1=(\w+)
Benutzerdefinierte Eigenschaft MD5-Hash MD5=(\w*)
Benutzerdefinierte Eigenschaft SHA256-Hash SHA256=(\w*)
Benutzerdefinierte Eigenschaft IMP-Hash IMPHASH=(\w*)
Benutzerdefinierte Eigenschaft Image New Process Name:\s*(\S*)\s*Token\sElevation\sType\:
Angepasste Funktion base64Decode Decodiert den Base64-Text aus dem PowerShell-codierten Befehl in eine normale lesbare Zeichenfolge.
Angepasste Funktion PScmdFilter Filtert die Prozessbefehlszeile aus den Sysmon-Ereignissen.
Gespeicherte Suche Sehr lange Befehlszeile erkannt Dies ist eine Ereignissuche, um lange Prozessbefehlszeilen aus Sysmon-Ereignissen abzugleichen.
Referenzset TempFilePath Enthält eine Liste mit Dateipfaden des temporären Verzeichnisses.
Referenzset Windows-sensible Prozesse Enthält eine Liste aller Windows-sensiblen Prozesse.
Referenzset ProcessMaptoProcessPath Enthält eine Liste mit Prozessnamen und mit den Pfaden zu diesen Prozessen.
Referenzset ProcessMaptoProcessParentPath Enthält eine Liste mit Prozessnamen und mit den Pfaden zu den übergeordneten Prozessen.

(Zurück nach oben)