Sysmon: PowerShell

Sysmon ist ein Microsoft Windows -Systemservice und Einheitentreiber, der Systemaktivitäten überwacht und Ereignisse im Windows-Ereignisprotokoll protokolliert. Sie können die Windows-Ereignisprotokolle an QRadar® weiterleiten und analysieren, um ausgefeilte Bedrohungen auf den Windows-Endpunkten zu erkennen.

Der Anwendungsfall Sysmon zeigt, wie QRadar verdächtiges Verhalten erkennt, nachdem ein Benutzer einen Dateianhang heruntergeladen und auf einer Windows-Workstation ausgeführt hat.

Wenn ein Benutzer auf die heruntergeladene Datei klickt, startet die Datei eine Befehlsshell, mit der ein PowerShell-Script zum Herunterladen und Ausführen einer Datei von einer externen Position ausgeführt wird, was den Computer eines Benutzers gefährdet. Der Angreifer erweitert nun seine Berechtigungen auf Zugriffsberechtigungen auf Systemebene und lädt die Benutzernamen und Kennwörter für das Netz herunter. Indem er sich bei Peer-Computern anmeldet, kann sich der Angreifer horizontal bewegen und PowerShell-Scripts starten, um Prozesse auf mehreren Computern im gesamten Netz auszuführen.

Weitere QRadar -Inhalte, die den Anwendungsfall Sysmon: PowerShell unterstützen, laden Sie die IBM® QRadar Content Extension for Sysmonherunter. Das Content-Pack enthält Regeln, Bausteine, Referenzsets und angepasste Funktionen, die zur Erkennung komplexer Bedrohungen wie PowerShell -Missbrauch, verdeckte Windows-Prozesse und dateilose Speicherangriffe verwendet werden können.

Bedrohung simulieren

Sehen Sie sich das Simulationsvideo Sysmon: Powershell an, um zu sehen, wie QRadar den Angriff erkennt.

Führen Sie die folgenden Schritte aus, um die Simulation in QRadarauszuführen:
  1. Klicken Sie auf der Registerkarte Protokollaktivität auf Show Experience Center (Experience Center anzeigen).
  2. Klicken Sie auf Bedrohungssimulator.
  3. Suchen Sie die Simulation Sysmon: PowerShell und klicken Sie auf Ausführen.
Auf der Registerkarte Protokollaktivität können Sie die folgenden eingehenden Ereignisse sehen, die zur Simulation des Anwendungsfalls verwendet werden:
Tabelle 1 Eingehende Ereignisse für den Anwendungsfall 'Sysmon: PowerShell'
Inhalt Beschreibung
Ereignisse Prozesserstellung

FileCreate

Ein Service wurde in einem System installiert

CreateRemoteThread
Protokollquellen Experience Center: WindowsAuthServer @ EC: <machine_name>

Experience Center: WindowsAuthServer @ EC: <user_name>

Die Ereignisse werden in einer Schleife wiedergegeben und derselbe Anwendungsfall wird mehrfach wiederholt. Klicken Sie zum Stoppen der Simulation auf der Registerkarte Bedrohungssimulator auf Stoppen .

Bedrohung erkennen: QRadar in Aktion

Die Komponente Custom Rules Engine (CRE) von QRadar ist für die Verarbeitung eingehender Ereignisse und Datenflüsse verantwortlich. Die CRE vergleicht die Ereignisse und Datenflüsse mit einer Zusammenstellung von Tests, die als Regeln bekannt sind. Diese Regeln erstellen Angriffe, wenn bestimmte Bedingungen erfüllt sind. Die CRE überwacht die Regeltests und Vorfallhäufigkeiten über längere Zeit.

Zu wissen, dass ein Angriff stattgefunden hat, ist jedoch nur der erste Schritt. QRadar erleichtert es Ihnen, tiefer einzutauchen und zu ermitteln, wie es passiert ist, wo es passiert ist und wer es getan hat. Dank der Indexierung des Angriffs werden alle Ereignisse mit demselben Bedrohungsnamen als ein einziger Angriff angezeigt.

Bedrohung untersuchen

Führen Sie die folgenden Schritte aus, um die Liste der QRadar -Inhalte anzuzeigen, die zu dieser Simulation beitragen, einschließlich Regeln, gespeicherten Suchen, Angriffen und Referenzsets:
  1. Öffnen Sie die App IBM QRadar Experience Center .
  2. Klicken Sie im Fenster Threat simulator (Bedrohungssimulator) auf den Link Read More (Weitere Informationen) für die Simulation und wählen Sie den Inhaltstyp aus, den Sie überprüfen möchten.

    Alternativ können Sie auf der Registerkarte Protokollaktivität die Schnellsuche mit dem Namen EC: Sysmon events ausführen, um alle Ereignisse anzuzeigen, die dem Angriff zugeordnet sind.