Cryptomining

Utilice la IBM QRadar Extensión de contenido de criptominería para supervisar de cerca la criptominería en su despliegue. Se requiere Baseline Maintenance Content Extension 1.05 o superior para que Cryptomining se realice correctamente. Instale Baseline Maintenance Content Extension antes de instalar Cryptomining.

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Seguridad QRadar Criptominería Extensiones de contenido

IBM Seguridad QRadar Extensión de contenidos de criptominería 1.1.1
IBM Seguridad QRadar Extensión de contenidos de criptominería 1.1.0
IBM Seguridad QRadar Extensión de contenidos de criptominería 1.0.0

IBM Security QRadar Criptomining Content Extension 1.1.1

En la tabla siguiente se muestran las propiedades personalizadas que se incluyen en IBM Security QRadar Cryptomining Content Extension 1.1.1.

Tabla 1. Propiedades personalizadas en IBM Security QRadar Criptomining 1.1.1
Propiedad personalizada	Se encuentra en
Argumentos del mandato	Linux
Nombre de archivo	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport Punto final FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid Sysmon VMware Microsoft 365 Defender
ID de máquina	Linux Microsoft Windows
Hash MD5	Cisco AMP Microsoft 365 Defender Microsoft Windows
Línea de comandos de proceso	Carbon Black Response Kubernetes Microsoft Windows osquery Sysmon
Nombre de proceso	Carbon Black Response Punto final FireEye MPS Linux Microsoft Windows ObserveIT osquery
Hash SHA256	Cisco AMP Microsoft 365 Defender osquery Sysmon
UrlHost	Blue Coat Cisco Ironport IBM Cloud Discovery App para QRadar McAfee EPO Squid Microsoft 365 Defender

La tabla siguiente muestra las reglas en IBM Security QRadar Cryptomining 1.1.1.

Tabla 2. Reglas en IBM Security QRadar Criptomining 1.1.1
Tipo	Nombre	Descripción
Regla	Intento de exposición seguido de actividad de minería de criptomoneda	Se activa cuando una explotación o actividad de tipo de ataque es seguida de actividad de minería de criptomoneda en el mismo host. Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenidos de criptominería 1.1.0

Nota: Algunas de las propiedades personalizadas que se incluyen en esta extensión de contenido son marcadores de posición. Puede descargar otras extensiones de contenido que incluyen las propiedades personalizadas con estos nombres o puede crear las suyas propias.

En la tabla siguiente se muestran las propiedades personalizadas que se incluyen en IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tabla 3. Propiedades personalizadas en IBM Security QRadar Criptomining 1.1.0
Nombre	Optimizada	Grupo de capturas	Expresión regular
Hash de archivo	Sí	1	FILE_HASH=([^\s]+)
Nombre de amenaza	Sí	1	EVC_EV_VIRUS_NAME=([^\s]+)

En la tabla siguiente se muestran las propiedades personalizadas que se incluyen como marcadores en IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tabla 4. Propiedades personalizadas de marcador en IBM Security QRadar Cryptomining Content Extension 1.1.0
Propiedad personalizada	Se encuentra en
Argumentos del mandato	Linux
ID de máquina	Linux Microsoft Windows
Hash MD5	Cisco AMP Microsoft 365 Defender Microsoft Windows
Nombre de proceso	Carbon Black Response Punto final FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA1 Hash	Cisco AMP Microsoft 365 Defender Microsoft Windows Sysmon
Hash SHA256	Cisco AMP Microsoft 365 Defender osquery Sysmon

En la tabla siguiente se muestran las reglas y los bloques de construcción en IBM Security QRadar Cryptomining 1.1.0.

Tabla 5. Reglas y bloques de construcción en IBM Security QRadar Criptomining 1.1.0
Tipo	Nombre	Descripción
Bloque de construcción	BB:Threats: comunicación a URL de minería de criptomonedas para sucesos	Se activa cuando se detecta una comunicación con un host de minería de criptomoneda. Rellene el conjunto de referencia Cryptocurrency Mining Hosts con los URL relevantes.
Bloque de construcción	BB:Threats: Puertos de minería de criptomoneda	Se activa cuando se detecta una comunicación que utiliza un puerto de minería de criptomoneda común.
Bloque de construcción	BB:Threats: Patrones de nombres de proceso de minería de criptomonedas	Se activa cuando se inicia un proceso de minería de criptomoneda.
Bloque de construcción	BB:Threats: Nombres de procesos de minería de criptomonedas	Se activa cuando se inicia un proceso de minería de criptomoneda.
Bloque de construcción	BB:Threats: Los Hash de amenaza de minería de criptomoneda para sucesos	Se activa cuando se observa un hash de archivo de minería de criptomoneda. Rellene el conjunto de referencia Cryptocurrency Mining Threat Hashes con hashes de archivo relevantes.
Bloque de construcción	BB:Threats: Los Hash de amenaza de minería de criptomoneda para flujos	Se activa cuando se observa un hash de archivo de minería de criptomoneda. Rellene el conjunto de referencia Cryptocurrency Mining Threat Hashes con hashes de archivo relevantes.
Bloque de construcción	BB:Threats: Patrones de nombres de amenaza de minería de criptomonedas	Se activa cuando se detecta un nombre de amenaza de minería de criptomoneda.
Bloque de construcción	BB:Threats: Nombres de amenazas de minería de criptomonedas	Se activa cuando se detecta un nombre de amenaza de minería de criptomoneda.
Bloque de construcción	BB:Threats: X-Force Premium: conexión interna a host categorizado como de minería de criptomonedas	Se activa cuando un sistema interno se comunica con una dirección IP que se considera que aloja minería de criptomoneda. Podría ser un indicador de una infección de programa malicioso de minería de criptomoneda. La confianza predeterminada (75) indica un gran probabilidad que se trate de un host de minería de criptomoneda.
Bloque de construcción	BB:Threats: X-Force Premium: comunicación de host interno con URL de minería de criptomoneda para sucesos	Se activa cuando un sistema interno se comunica con una URL que se considera que aloja minería de criptomoneda. Podría ser un indicador de una infección de programa malicioso de minería de criptomoneda.
Regla	Ejecución de mandato de minería de criptomoneda	Se activa cuando se detecta un mandato de amenaza de minería de criptomoneda. Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.
Regla	Hash de archivo de minería de criptomoneda	Se activa cuando se detecta un hash de archivo de minería de criptomoneda. Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.
Regla	Proceso de minería de criptomoneda	Se activa cuando se detecta un proceso de minería de criptomoneda. Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.
Regla	Nombre de amenaza de minería de criptomoneda	Se activa cuando se detectan amenazas de minería de criptomoneda (por ejemplo, virus, malware). Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.
Regla	Tráfico de minería de criptomoneda	Se activa cuando se detecta el tráfico de minería de criptomoneda. Esto podría indicar una máquina que se comunica con una agrupación de minería de criptomoneda utilizando una IP no categorizada.
Regla	Intento de exposición seguido de actividad de minería de criptomoneda	Se activa cuando una explotación o actividad de tipo de ataque es seguida de actividad de minería de criptomoneda en el mismo host. Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.
Regla	Criptosecuestro en navegador - Hash de archivo JavaScript	Se activa cuando se detecta un hash de archivo JavaScript relacionado con el criptosecuestro. Esto podría indicar que el navegador envió una solicitud GET para cargar un archivo JavaScript de criptosecuestro y podría estar infectado por malware o revelar el mal uso de un activo corporativo.
Regla	Criptosecuestro en navegador - Nombre de archivo JavaScript	Se activa cuando se detecta un nombre de archivo JavaScript relacionado con el criptosecuestro. Esto podría indicar que el navegador envió una solicitud GET para cargar un archivo JavaScript de criptosecuestro y podría estar infectado por malware o revelar el mal uso de un activo corporativo.
Regla	Comunicación satisfactoria al host de minería de criptomoneda	Se activa cuando se detecta una comunicación correcta con un host de minería de criptomoneda. Esto podría indicar una máquina infectada por un programa malicioso o un mal uso de un activo corporativo.

La tabla siguiente muestra los conjuntos de referencia en IBM Security QRadar Cryptomining 1.1.0.

Tabla 6. Conjuntos de referencia en IBM Security QRadar Criptomining 1.1.0
Nombre	Descripción
Hashes de archivo JavaScript de minería de criptomoneda	Contiene una lista de los hashes de archivo JavaScript de minería de criptomoneda.

En la tabla siguiente se muestran las búsquedas guardadas en IBM Security QRadar Cryptomining 1.1.0.

Tabla 7. Búsquedas guardadas en IBM Security QRadar Criptomining 1.1.0
Nombre	Descripción
Direcciones de destino con actividades de minería de criptomoneda	Muestra todos los sucesos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de destino.
Direcciones de destino con actividades de minería de criptomoneda	Muestra todos los flujos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de destino.
Direcciones de origen con actividades de minería de criptomoneda	Muestra todos los sucesos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de origen.
Direcciones de origen con actividades de minería de criptomoneda	Muestra todos los flujos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de origen.

_{(Volver arriba)}

IBM Seguridad QRadar Extensión de contenidos de criptominería 1.0.0

En la tabla siguiente se muestran las propiedades personalizadas que se incluyen en IBM Security QRadar Cryptomining Content Extension 1.0.0.

Nota: Las propiedades personalizadas que se incluyen en esta extensión de contenido son marcadores de posición. Puede descargar otras extensiones de contenido que incluyen las propiedades personalizadas con estos nombres o puede crear las suyas propias.

Tabla 8. Propiedades personalizadas en IBM Security QRadar Cryptomining Content Extension 1.0.0
Propiedad personalizada	Se encuentra en
Hash de archivo	Bit9 Security Platform Carbon Black Protection Carbon Black Response Cisco AMP Cisco Firepower FireEye MPS Lastline Enterprise McAfee EPO Microsoft 365 Defender osquery Sysmon
ARCHIVO_ASH	Punto final QRadar Network Insights Ampliación de contenidos
Nombre de archivo	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport Punto final FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid Sysmon VMware Microsoft 365 Defender
Host HTTP	Punto final QRadar Network Insights Ampliación de contenidos
ImageName	Sysmon
Línea de comandos de proceso	Carbon Black Response Kubernetes Microsoft Windows osquery Sysmon
Nombre de proceso	Carbon Black Response Punto final FireEye MPS Linux Microsoft Windows ObserveIT osquery
Nombre de amenaza	Amazon AWS Cisco AMP Cisco Ironport Fortinet FortiAnalyzer McAfee EPO Supervisión de amenazas Microsoft 365 Defender Zscaler
URL	Blue Coat Check Point Cisco Ironport IBM Seguridad QRadar Analizador DNS FireEye MPS Fortinet FortiAnalyzer Juniper SSL VPN McAfee EPO Palo Alto PA Series Squid Symantec Endpoint Protection Supervisión de amenazas Microsoft 365 Defender
Host de URL	Blue Coat Cisco Ironport IBM Cloud Discovery App para QRadar McAfee EPO Squid Microsoft 365 Defender

En la tabla siguiente se muestran las reglas y los bloques de construcción en IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabla 9. Reglas y bloques de construcción en IBM Security QRadar Cryptomining Content Extension 1.0.0
Tipo	Nombre	Descripción
Bloque de construcción	BB:DeviceDefinition: Sistema operativo	Esta regla define todos los sistemas operativos del sistema.
Bloque de construcción	BB:Threats: comunicación a IP de minería de criptomonedas	Detecta comunicaciones con las direcciones IP de minería de criptomonedas. Para ajustarlo, actualice el conjunto de referencia.
Bloque de construcción	BB:Threats: comunicación a URL de minería de criptomonedas para sucesos	Detecta comunicaciones con los hosts de minería de criptomonedas. Para ajustarlo, actualice el conjunto de referencia.
Bloque de construcción	BB:Threats: comunicación a URL de minería de criptomonedas para flujos	Detecta comunicaciones con los hosts de minería de criptomonedas. Para ajustarlo, actualice el conjunto de referencia.
Bloque de construcción	BB:Threats: Patrones de nombres de proceso de minería de criptomonedas	Detecta si se inicia un proceso de minería de criptomoneda conocido.
Bloque de construcción	BB:Threats: Nombres de procesos de minería de criptomonedas	Detecta si se inicia un proceso de minería de criptomoneda conocido.
Bloque de construcción	BB:Threats: Los Hash de amenaza de minería de criptomoneda para sucesos	Detecta amenazas de minería de criptomonedas con Hash SHA256. Para ajustarlo, actualice el conjunto de referencia.
Bloque de construcción	BB:Threats: Los Hash de amenaza de minería de criptomoneda para flujos	Detecta comunicaciones con los hosts de minería de criptomonedas. Para ajustarlo, actualice el conjunto de referencia.
Bloque de construcción	BB:Threats: Patrones de nombres de amenaza de minería de criptomonedas	Detecta amenazas de minería de criptomoneda a través de términos usados con frecuencia, como moneda, coin, cripto, crypto o minería. Para ajustarlo, actualice la expresión regular.
Bloque de construcción	BB:Threats: Nombres de amenazas de minería de criptomonedas	Detecta amenazas por minería de criptomonedas. Para ajustarlo, actualice el conjunto de referencia.
Bloque de construcción	BB:Threats: X-Force Premium: conexión interna a host categorizado como de minería de criptomonedas	Esta regla notifica si un sistema interno se comunica con una dirección IP que esté considerada como que aloja minería de criptomonedas. Podría ser indicativo de infección de programa malicioso de minería de criptomonedas. La confianza predeterminada (75) indica un gran probabilidad que se trate de un host de minería de criptomoneda.
Bloque de construcción	BB:Threats: X-Force Premium: comunicación de host interno con URL de minería de criptomoneda para sucesos	Esta regla notifica si un cliente interno carga un URL web conocido por su actividad en minería de criptomonedas.
Bloque de construcción	BB:Threats: X-Force Premium: comunicación de host interno con URL de minería de criptomoneda para flujos	Esta regla notifica si un sistema interno se comunica con un host HTTP que esté considerada como que aloja minería de criptomonedas. Podría ser indicativo de infección de programa malicioso de minería de criptomonedas.
Regla	Detectada una comunicación a un host de minería de criptomonedas	Detecta comunicaciones a un destino de minería de criptomoneda. Podría indicar que un host estaría afectado por un programa malicioso de minería de criptomonedas.
Regla	Detectada actividad de minería de criptomonedas en base a archivo Hash	Detecta los hash de archivo de minería de criptomonedas.
Regla	Detectada actividad de minería de criptomonedas en base a línea de mandatos de proceso	Detecta actividad de minería de criptomoneda en base a la línea de mandatos de proceso.
Regla	Detectada actividad de minería de criptomonedas en base al nombre de amenaza	Detecta las amenazas de minería de criptomonedas.
Regla	Detectado un proceso de minería de criptomoneda	Detecta si se inicia un proceso de minería de criptomoneda conocido.
Regla	Detectado secuestro criptográfico en navegador en base al hash de archivo de Javascript cargado	Detecta si un navegador envía una solicitud GET para cargar un archivo JavaScript de secuestro criptográfico. La regla utiliza el hash de archivo para detectar dicha actividad.
Regla	Detectado secuestro criptográfico en navegador en base al nombre de archivo de Javascript cargado	Detecta si un navegador envía una solicitud GET para cargar un archivo JavaScript de secuestro criptográfico. La regla utiliza el componente del nombre de archivo de URL para detectar dicha actividad.
Regla	Intento de exposición seguido de actividad de minería de criptomoneda	Informa de actividad de algún tipo de exposición o ataque desde la misma dirección IP de origen seguido de actividad de minería de criptomoneda desde la misma dirección IP de destino que el suceso original en 15 minutos.

La tabla siguiente muestra los informes en IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabla 10. Informes en IBM Security QRadar Cryptomining Content Extension 1.0.0
Nombre de informe	Buscar nombre y dependencias
Las IP con actividades de minería de criptomoneda	Este informe proporciona una Visión general de direcciones IP relacionadas con la minería de criptomoneda. Para ajustarlo, actualice el filtro de búsqueda.

La tabla siguiente muestra los conjuntos de referencia en IBM Security QRadar Cryptomining Content Extension 1.0.0.

Nota: Los elementos de los conjuntos de referencia no caducan de forma predeterminada. Para asegurarse de que los conjuntos de referencia no están rellenados en exceso, puede establecer una fecha de caducidad en los elementos.

Tabla 11. Conjuntos de referencia en IBM Security QRadar Cryptomining Content Extension 1.0.0
Nombre	Descripción
Hosts de minería de criptomoneda	Contiene una lista con los hosts de minería de criptomonedas.
Hashes de archivo JavaScript de minería de criptomoneda	Contiene una lista de los hash de archivo de JavaScript de minería de criptomoneda.
Hash de amenaza de minería de criptomoneda	Contiene una lista de los hash de archivo de amenazas de minería de criptomoneda.
Nombres de archivos JavaScript de minería de criptomonedas	Contiene una lista de los nombres de archivo de JavaScript de minería de criptomoneda.
IP de minería de criptomoneda	Contiene una lista de las direcciones IP de minería de criptomoneda.
Nombres de amenazas de minería de criptomoneda	Contiene una lista de los nombres de archivo de amenazas de minería de criptomoneda.
Nombres de procesos de minería de criptomoneda	Contiene una lista con los host de minería de criptomonedas.

La tabla siguiente muestra las búsquedas guardadas en IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabla 12. Búsquedas guardadas en IBM Security QRadar Cryptomining Content Extension 1.0.0
Nombre	Descripción
Direcciones de origen con actividades de minería de criptomoneda	Muestra todos los sucesos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de origen.
Direcciones de destino con actividades de minería de criptomoneda	Muestra todos los sucesos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de destino.
Direcciones de origen con actividades de minería de criptomoneda	Muestra todos los flujos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de origen.
Direcciones de destino con actividades de minería de criptomoneda	Muestra todos los flujos de actividades de minería de criptomonedas (que han desencadenado una de las reglas) y los agrupa por dirección y puerto de destino.

_{(Volver arriba)}