Noeud final

Utilisez la IBM Security QRadar Endpoint Content Extension pour surveiller de près les terminaux Linux® et Windows de votre déploiement.

Important: Pour éviter les erreurs de contenu dans cette extension de contenu, tenez à jour les DSM associés. Les DSM sont mis à jour dans le cadre des mises à jour automatiques. Si les mises à jour automatiques ne sont pas activées, téléchargez la version la plus récente des DSM associés à partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

L'extension du contenu du point de terminaison comprend un ou plusieurs tableaux de bord Pulse de QRadar. Pour plus d'informations sur les tableaux de bord Pulse, voir QRadar Pulse app.

Configurez les points de terminaison Linux et Windows que vous souhaitez contrôler pour l'utilisation de cette extension de contenu.

IBM Security QRadar Noeud final

IBM Sécurité QRadar Point final 3.1.0

Le tableau suivant présente les règles nouvelles et mises à jour, ainsi que les éléments constitutifs de IBM Security QRadar Endpoint Content Extension 3.1.0.

Tableau 1. Règles dans IBM Security QRadar Endpoint Content Extension 3.1.0
Type Nom Descriptif
Règle PowerShell Base64 Invocation de commandes suspectes d'expression Règle pour détecter les commandes PS Base64, par exemple IEX, invoke-expression et Invoke-Expression sur la base des ID d'événement 4688 ou 4104 ou 1.
Règle PowerShell Invocation de commandes suspectes d'expression Règle pour détecter PowerShell la commande suspecte Invoke Expression en texte clair basée sur les ID d'événements 4688, 4104 et 1
Règle Fichier exécutable invoqué à partir du dossier AppData Le répertoire AppData est caché par défaut et son contenu n'est généralement pas modifié par l'utilisateur. Les applications exécutables exécutées à partir de l'App Data Directory doivent faire l'objet d'un triage, car ce comportement est souvent utilisé par des acteurs malveillants.
Règle Exécutable exécuté à partir de C:Users\Public Un fichier exécutable exécuté à partir de l'emplacement C:Users\Public doit faire l'objet d'un triage, car ce comportement est souvent utilisé par des acteurs malveillants.
Règle PowerShell Commande codée Le codage des commandes est souvent utilisé par les acteurs malveillants pour dissimuler leurs activités.
Règle PowerShell Contournement de la politique d'exécution Le contournement de la politique d'exécution est une technique couramment utilisée pour contourner la politique d'exécution de PowerShell et doit faire l'objet d'un triage car ce comportement est souvent utilisé par des acteurs malveillants.
Règle PowerShell To Base64 Chaîne La base 64 est un schéma de codage souvent utilisé par des acteurs malveillants pour dissimuler leurs activités.

(Haut de la page)

IBM Sécurité QRadar Point final 3.0.0

Le tableau suivant présente les règles nouvelles et mises à jour, ainsi que les éléments constitutifs de IBM Security QRadar Endpoint Content Extension 3.0.0.

Tableau 2. Règles dans IBM Security QRadar Endpoint Content Extension 3.0.0
Type Nom Descriptif
Règle Fichier Javascript potentiellement malveillant appelé via WScript Cette règle est conçue pour détecter l'exécution d'un fichier JavaScript à l'aide de Wscript. Il s'agit d'une tactique connue utilisée par de nombreux programmes malveillants tels que SocGholish, Gootloader.
Règle Fichier Javascript potentiellement malveillant appelé via CScript Cette règle est conçue pour détecter l'exécution d'un fichier JavaScript à l'aide de Cscript. Il s'agit d'une tactique connue utilisée par de nombreux programmes malveillants tels que SocGholish, Gootloader.
Règle Exploitation potentielle de Sharepoint ToolShell CVE-2025-53770 Il est conçu pour détecter la création d'un site WebShell qui est connu pour être utilisé dans l'exploitation potentielle de la vulnérabilité Sharepoint ToolShell CVE-2025-53770.
Règle Exploitation potentielle de Sharepoint ToolShell CVE-2025-53770 - Chemin d'accès au fichier Il est conçu pour détecter un type de fichier spécifique exécuté à partir du chemin d'accès connu qui est utilisé dans l'exploitation de la vulnérabilité Sharepoint ToolShell CVE-2025-53770. Il peut s'agir d'un indicateur de compromission ou d'un test interne pour cette vulnérabilité, ce qui nécessite un examen plus approfondi.

(Haut de la page)

IBM Sécurité QRadar Endpoint 2.9.0

Le tableau suivant présente les règles nouvelles et mises à jour, ainsi que les éléments constitutifs de IBM Security QRadar Endpoint Content Extension 2.9.0.

Tableau 3. Règles dans IBM Security QRadar Endpoint Content Extension 2.9.0
Type Nom Descriptif
Règle PowerShell Attaque dégradée Cette règle se déclenche lorsqu'un adversaire est susceptible de rétablir PowerShell à la version 4 du moteur ou à une version antérieure.
Règle Exécutables lancés dans un dossier suspect La règle se déclenche lorsqu'une exécution suspecte est détectée dans un dossier inhabituel.
Règle MavInject Injection de processus Cette règle se déclenche lorsque l'injection d'un processus à l'aide de l'outil Windows MavInject par le biais du nom du processus ou d'un paramètre de ligne de commande est détectée.
Règle Exécution de l'outil Rubeus Hack Cette règle se déclenche lorsque l'exécution de l'outil de piratage Rubeus par le biais du nom du processus ou des paramètres de la ligne de commande est détectée.
Règle Tube nommé malveillant Cette règle se déclenche en cas de détection de la création d'un tuyau nommé utilisé par des logiciels malveillants connus, ou d'une connexion à ce tuyau.
Règle Ping Hex IP Cette règle se déclenche lorsqu'il est détecté que la commande ping a été exécutée avec une adresse IP sous forme hexadécimale.
Règle Nouvelle touche RUN pointant vers un dossier suspect Cette règle se déclenche lorsqu'une clé d'exécution est créée dans le registre pour l'explorateur Windows, pointant vers un dossier suspect.
Règle Ajout de l'historique du SID à l'objet Active Directory Cette règle se déclenche lorsqu'un attribut SID History est ajouté à un objet Active Directory.
Règle Activité potentielle de déversement d'informations d'identification sur le site LSASS.exe Cette règle se déclenche lorsque l'accès SAM_DOMAIN par le fichier LSASS.exe est détecté, ce qui indique des activités telles que le dumping d'informations d'identification.
Règle Commandlets malveillantes PowerShell Cette règle se déclenche lorsque l'exécution d'une Commandlet PowerShell provenant d'un cadre d'exploitation PowerShell connu est détectée.
Règle PowerShell Appelé à partir d'une erreur de version de l'exécutable Cette règle détecte si PowerShell est appelé à partir d'un fichier exécutable arbitraire en comparant les versions de l'hôte et du moteur.
Règle Catalogue de sauvegarde supprimé Cette règle se déclenche lorsqu'une commande est exécutée pour supprimer le catalogue de sauvegarde stocké sur l'ordinateur local.
Règle Accès aux données de connexion du navigateur Cette règle se déclenche lorsque les identifiants de connexion stockés (tels que les noms d'utilisateur et les mots de passe) par les navigateurs web sont consultés ou récupérés. La règle pourrait indiquer qu'un adversaire acquiert des informations d'identification à partir de navigateurs web en lisant les fichiers spécifiques au navigateur cible.
Règle Exécution de Java avec débogage à distance Cette règle se déclenche lorsqu'un processus Java est en cours d'exécution et que le débogage à distance est activé, ce qui autorise les connexions à partir de sources autres que l'hôte local.
Règle Reconnaissance potentielle des informations d'identification mises en cache via Cmdkey.exe Cette règle se déclenche lorsque l'utilisation de cmdkey pour rechercher des informations d'identification mises en cache sur le système est détectée. La règle peut indiquer qu'un adversaire tente d'accéder aux informations d'identification du domaine mises en cache pour permettre l'authentification au cas où un contrôleur de domaine ne serait pas disponible.
Note: Par défaut, la règle est désactivée car cmdkey peut être utilisé pour des tâches administratives légitimes. Activez cette règle si vous souhaitez identifier l'utilisation de la ligne de commande indiquant une reconnaissance des informations d'identification mises en cache.
Règle Installation de la DLL DHCP Callout Cette règle se déclenche lorsque l'installation d'une DLL Callout par le biais des paramètres CalloutDlls et CalloutEnabled dans le registre est détectée. La règle peut indiquer l'utilisation de CalloutDlls pour exécuter du code dans le contexte du serveur DHCP.
Règle Active Directory Porte dérobée de l'utilisateur Cette règle détecte le cas où un utilisateur pourrait contrôler un autre compte sans spécifier les informations d'identification du compte cible.
Règle PowerShell Télécharger et exécuter le fichier Cette règle se déclenche lorsqu'une commande PowerShell télécharge et exécute un fichier distant.
Règle NTDS.dit Activité de récupération du hachage du domaine Cette règle se déclenche lorsqu'une commande suspecte peut être liée à des tentatives d'extraction de hachages du fichier NTDS.dit.
Règle InvisiMole Chargement de la DLL Wrapper Cette règle se déclenche lorsque l'activité d'un processus associé au chargeur InvisiMole est détectée.
Bloc de construction BB:BehaviorDefinition: Exécution de scripts arbitraires via Diskshadow.exe ou Vshadow.exe Le bloc de construction se déclenche lorsque le fichier diskshadow.exe ou vshadow.exe est lancé avec un paramètre permettant d'exécuter un script arbitraire. Le bloc de construction peut indiquer une tentative malveillante d'accès à des fichiers sensibles tels que NTDS.dit.
Bloc de construction BB:BehaviorDefinition: Liste des connexions réseau via Get-NetTCPConnection Le Building Block se déclenche lorsqu'une requête d'informations sur le réseau génère une liste de connexions au réseau.
Bloc de construction BB:BehaviorDefinition: PowerShell Activité de téléchargement de fichiers Le Building Block détecte si PowerShell est utilisé pour télécharger des fichiers.

Le tableau suivant présente les propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.9.0.

Tableau 4. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.9.0
Nom optimisé Trouvé dans
Historique des SID exit utilisateur associé à une tâche Microsoft Windows
Version du moteur exit utilisateur associé à une tâche Microsoft Windows
Délégation FALSE Microsoft Windows
Classe d'objet FALSE Microsoft Windows
Nom d'affichage LDAP FALSE Microsoft Windows
Version de l'hôte exit utilisateur associé à une tâche Microsoft Windows
Nom du canal exit utilisateur associé à une tâche Microsoft Windows

(Haut de la page)

IBM Sécurité QRadar Endpoint 2.8.3

Le tableau suivant présente les règles nouvelles et mises à jour, ainsi que les éléments constitutifs de IBM Security QRadar Endpoint Content Extension 2.8.3.

Tableau 5. Règles dans IBM Security QRadar Endpoint Content Extension 2.8.3
Type Nom Descriptif
Règle Plusieurs échecs de connexion dus à un mot de passe incorrect

Détecte l'attaque par pulvérisation de mot de passe.
Règle Tentative de force brute possible

Détecte l'attaque par force brute.
Règle Distant: Accès VNC à partir d'Internet

Se déclenche lorsqu'une application Virtual Network Computing (VNC) est détectée sur un hôte local à partir d'Internet.
Règle Distant: Remote Desktop Access à partir d'Internet

Se déclenche lorsque le protocole Microsoft Remote Desktop Protocol (RDP) est détecté depuis l'internet vers un hôte local.
Règle Connexion à des comptes valides suspects

Se déclenche lorsqu'une connexion suspecte à partir d'un compte valide est détectée.
Règle Parent suspect pour un processus

Se déclenche lorsqu'un processus qui n'est pas censé avoir d'enfant démarre un processus.
Règle Fichier critique supprimé

Se déclenche lorsqu'un fichier critique ou un fichier d'un répertoire critique est supprimé.
Règle Fichier critique modifié suivi d'une activité suspecte

Se déclenche lorsque des fichiers ou des répertoires critiques sont modifiés et qu'une activité suspecte se produit.
Règle Communication avec une adresse IP d'hôte potentielle

Se déclenche en cas de communication avec une adresse IP potentiellement hostile. Les adresses IP potentiellement hostiles sont enregistrées dans IBM X-force ou dans la collection d'ensembles de référence personnalisés.
Règle Utilisation du module PSExec suspecte détectée

Se déclenche lorsqu'une utilisation du module PSExec est détectée.
Règle Service configuré pour utiliser PowerShell

Se déclenche lorsqu'un service est configuré pour utiliser PowerShell.
Règle Ransomware: Ryuk IOC dans les événements

Se déclenche lorsqu'un IOC (File Hash) lié au ransomware Ryuk est observé dans les événements.
Règle Ransomware : Ryuk IOC dans les flux

Se déclenche lorsqu'un IOC (File Hash) lié au ransomware Ryuk est observé dans les flux.
Règle Vidage des données d'identification de Windows Credential Manager avec PowerShell

Détecte une tentative de recherche d'emplacements communs pour le stockage de mots de passe afin d'obtenir des informations d'identification de l'utilisateur.
Règle Enumération des données d'identification à partir du gestionnaire de données d'identification Windows avec PowerShell

Détecte les tentatives consécutives de recherche d'emplacements communs pour le stockage des mots de passe afin d'obtenir les informations d'identification de l'utilisateur.
Règle Emprunt d'identité de jeton via PowerShell

Détecte une tentative d'utilisation des fonctions de l'API Windows liées à l'usurpation d'identité ou au vol de jeton.
Règle Regsvr32 Connexion réseau sortante

Détecte les connexions sortantes initiées par le fichier regsvr32.exe.
Règle Connexion réseau sortante Dllhost

Détecte les connexions sortantes initiées par le fichier dllhost.exe.
Règle RunDLL32 Connexion réseau sortante

Détecte les connexions sortantes initiées par le fichier rundll32.exe.
Règle Ransomware: Petya / NotPetya Charge utile dans les flux

Se déclenche lorsqu'un contenu Petya est observé dans des flux.
Règle Abus de jeton d'accès

Détecte l'usurpation d'identité et le vol de jeton. (Exemple : DuplicateToken(Ex) et ImpersonateLoggedOnUser avec l'indicateur LOGON32_LOGON_NEW_CREDENTIALS)
Règle Détection du registre Turla IOC dans les événements

Se déclenche lorsqu'un indicateur de compromission est reconnu en tant que valeur de registre Turla.
Règle Trafic potentiel StandIn après le compromis

Se déclenche lorsqu'un comportement appartenant potentiellement à X-Force Red StandIn est détecté.
Bloc de construction BB:CategoryDefinition: Fichiers avec permissions sensibles

Se déclenche lorsque le répertoire de travail actuel (CWD) est détecté dans les répertoires suivants :

  • /boot
  • /etc/pam.d
  • /etc/rsyslog
  • /etc/openldap
  • /etc/sysconfig/network-script
  • /var/spool/cron
  • /etc/cron* (par exemple /etc/cron.hourly, /etc/cron.weekly)
  • /etc/init.d/
  • bin/login
  • /bin/passwd
  • /etc/*.conf

Les dossiers suivants sont sous surveillance :

  • /etc/shadow
  • /etc/passwd
  • /etc/sudoers
  • /etc/syslog.conf
  • /etc/crontab
  • /etc/gshadow
  • /etc/group
  • /etc/sysconfig/syslog
  • /etc/security/opasswd
  • /etc/default/ufw
  • .bash_history
  • /usr/bin
  • /usr/sbin
  • /bin
  • /boot
  • /usr/local/bin
  • /usr/local/sbin
  • /opt/bin
  • /opt/sbin
  • Windows
  • C:\autoexec.bat
  • C:\boot.ini
  • C:\config.sys
  • C:\Windows\system.ini
  • C:\Windows\win.ini
  • C:\Windows\regedit.exe
  • C:\Windows\System32\userinit.exe
  • C:\Windows\explorer.exe
  • C:\Program Files\Microsoft Security Client\msseces.exe
Bloc de construction BB:CategoryDefinition: Répertoire de travail courant sensible

Définit les répertoires de travail actuels sensibles qui déclenchent des alertes en cas d'attaque par traversée de répertoire.
Bloc de construction BB:CategoryDefinition: Fichier sensible consulté

Définit une règle qui se déclenche lorsque le répertoire de travail actuel (CWD) est détecté dans les répertoires suivants :

  • /boot
  • /etc/pam.d
  • /etc/rsyslog
  • /etc/openldap
  • /etc/sysconfig/network-script
  • /var/spool/cron
  • /etc/cron* (par exemple /etc/cron.hourly, /etc/cron.weekly)
  • /etc/init.d/
  • bin/login
  • /bin/passwd
  • /etc/*.conf

Les dossiers suivants sont sous surveillance :

  • /etc/shadow
  • /etc/passwd
  • /etc/sudoers
  • /etc/syslog.conf
  • /etc/crontab
  • /etc/gshadow
  • /etc/group
  • /etc/sysconfig/syslog
  • /etc/security/opasswd
  • /etc/default/ufw
  • .bash_history
  • /usr/bin
  • /usr/sbin
  • /bin
  • /boot
  • /usr/local/bin
  • /usr/local/sbin
  • /opt/bin
  • /opt/sbin
  • Windows
  • C:\autoexec.bat
  • C:\boot.ini
  • C:\config.sys
  • C:\Windows\system.ini
  • C:\Windows\win.ini
  • C:\Windows\regedit.exe
  • C:\Windows\System32\userinit.exe
  • C:\Windows\explorer.exe
  • C:\Program Files\Microsoft Security Client\msseces.exe
Bloc de construction BB:BehaviorDefinition:Découverte de l'annuaire (Windows)

Définit quand la commande PowerShell Get-ChildItem est utilisée pour découvrir des répertoires de manière récursive. Cet événement se produit lorsque le paramètre -Recurse est spécifié ou lorsque la commande est utilisée à l'intérieur d'une boucle ForEach.
Bloc de construction BB:BehaviorDefinition: Potentiel StandIn Trafic post-compromis

Se déclenche lorsqu'un processus lié à l'outil StandIn est observé. StandIn est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, des acteurs malveillants peuvent utiliser cette application pour mener des attaques.
Bloc de construction BB:BehaviorDefinition: Potentiel StandIn Post-Compromise Persistence Traffic

Se déclenche lorsque des commandes de persistance liées à l'outil StandIn sont observées. StandIn est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, des acteurs malveillants peuvent utiliser cette application pour mener des attaques.
Bloc de construction BB:BehaviorDefinition: Potentiel StandIn Post-Compromise Defense Evasion Traffic

Se déclenche lorsque des commandes d'évasion de la défense liées à l'outil StandIn sont observées. StandIn est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, des acteurs malveillants peuvent utiliser cette application pour mener des attaques.
Bloc de construction BB:BehaviorDefinition: Trafic potentiel StandIn Post-Compromise Privilege Escalation Traffic

Se déclenche lorsque des commandes d'escalade des privilèges liées à l'outil StandIn sont observées. StandIn est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, des acteurs malveillants peuvent utiliser cette application pour mener des attaques.
Bloc de construction BB:BehaviorDefinition: Potentiel StandIn Post-Compromise Enumeration Traffic

Se déclenche lorsque des commandes d'énumération liées à l'outil StandIn sont observées. StandIn est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, des acteurs malveillants peuvent utiliser cette application pour mener des attaques.

(Haut de la page)

IBM Security QRadar Noeud final 2.8.2

Le tableau suivant présente les règles d' IBM Security QRadar Endpoint Content Extension 2.8.2.

Tableau 6. Règles dans IBM Security QRadar Endpoint Content Extension 2.8.2
Type Nom Descriptif
Règle Service configuré pour utiliser le canal de communication

Se déclenche lorsqu'un service est configuré pour utiliser un canal de communication. Cela peut indiquer qu'un agresseur peut accéder au système d'un utilisateur via une escalade des privilèges à l'aide de getsystem.

(Haut de la page)

IBM Security QRadar Noeud final 2.8.1

Le tableau suivant présente les nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.8.1.

Tableau 7. Nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.8.1
Type Nom Descriptif
Règle Commandes d'exploitation de vulnérabilité de transfert MOVEit

Détecte l'utilisation de la vulnérabilité de transfert MOVEit via l'indicateur de compromis de la ligne de commande.
Règle La vulnérabilité du transfert MOVEit exploite les noms de fichiers

Détecte l'exploitation de vulnérabilité de transfert MOVEit via un indicateur de nom de fichier de compromis.
Règle Hachures d'exploitation de la vulnérabilité de transfert MOVEit

Détecte l'utilisation de la vulnérabilité de transfert MOVEit via un indicateur de hachage de compromis.

(Haut de la page)

IBM Security QRadar Noeud final 2.8.0

Le tableau suivant présente les nouvelles règles et les nouveaux blocs de construction dans IBM Security QRadar Endpoint Content Extension 2.8.0.

Tableau 8. Nouvelles règles et nouveaux blocs de construction dans IBM Security QRadar Endpoint Content Extension 2.8.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Falsification de compte - Raisons suspectes de l'échec de la connexion Détecte les codes d'erreur rares lors de l'échec de la connexion afin de déterminer les activités suspectes et la falsification des comptes qui ont été désactivés ou d'une manière ou d'une autre restreints.
Bloc de construction BB:BehaviorDefinition: Découverte d'un compte cloud Détecte les commandes de reconnaissance de compte de cloud.
Bloc de construction BB:BehaviorDefinition: Cloud Firewall Modifié ou arrêté Détecte un pare-feu de cloud, modifié ou arrêté.
Bloc de construction BB:BehaviorDefinition: Créer un processus avec jeton Détecte la création de jetons à partir de PowerShell.
Bloc de construction BB:BehaviorDefinition: Découverte d'un compte de messagerie à partir de PowerShell Détecte la découverte d'un compte de messagerie à partir de PowerShell.
Bloc de construction BB:BehaviorDefinition: Mot de passe invalide lors de la connexion Détecte un mot de passe non valide lors de la connexion.
Bloc de construction BB:BehaviorDefinition: Mot de passe invalide lors de la Kerberos Pré-authentification Détecte une connexion par mot de passe non valide lors de la pré-authentification Kerberos .
Bloc de construction BB:BehaviorDefinition: Permission de boîte aux lettres ajoutée Détecte les droits de boîte aux lettres ajoutés
Bloc de construction BB:BehaviorDefinition: Tâches d'accès initiales potentielles Définit les tâches d'accès initial potentielles. Cela inclut des activités telles que la reconnaissance de compte, l'arrêt du pare-feu ou la modification des droits.
Bloc de construction BB:BehaviorDefinition: Usurpation d'identité d'un tuyau nommé malveillant Détecte une tentative d'escalade de privilèges via une usurpation d'identité de canal de communication nommé.
Bloc de construction BB:BehaviorDefinition: Changement suspect d'agent utilisateur Détecte une modification suspecte de l'agent utilisateur. Les adversaires peuvent communiquer à l'aide de protocoles de couche d'application associés au trafic Web pour éviter la détection ou le filtrage du réseau en se mélangeant avec le trafic existant.
Bloc de construction BB:BehaviorDefinition: Connexions SMTP sortantes suspectes Détecte une exfiltration potentielle sur le protocole SMTP.
Bloc de construction BB:BehaviorDefinition: Connexion à distance suspecte avec des informations d'identification explicites Détecte les processus suspects qui se connectent avec des données d'identification explicites.
Bloc de construction BB:BehaviorDefinition: Utilisateur ajouté aux administrateurs locaux Détecte les comptes utilisateur qui sont ajoutés au groupe Administrateurs locaux, ce qui peut être une activité légitime ou un signe d'activité d'escalade de privilèges.
Bloc de construction BB:BehaviorDefinition: Changement d'agent utilisateur via Curl Détecte les modifications apportées à l'agent utilisateur via curl.
Bloc de construction BB:BehaviorDefinition: Changement d'agent utilisateur via PowerShell Détecte le changement d'agent utilisateur via PowerShell.
Bloc de construction BB:BehaviorDefinition: Pare-feu Windows arrêté Détecte un pare-feu Windows arrêté.
Règle Abus de jeton d'accès Détecte l'usurpation d'identité et le vol de jeton. (Exemple : DuplicateToken(Ex) et ImpersonateLoggedOnUser avec l'indicateur LOGON23_LOGON_NEW_CREDENTIALS)
Règle Connexion réseau sortante Dllhost Détecte les connexions sortantes initiées par dllhost.exe.
Règle Vidage des données d'identification de Windows Credential Manager avec PowerShell Détecte les adversaires qui recherchent des emplacements de stockage de mots de passe communs pour obtenir les données d'identification de l'utilisateur.
Règle Enumération des données d'identification à partir du gestionnaire de données d'identification Windows avec PowerShell Détecte les adversaires qui recherchent des emplacements de stockage de mots de passe communs pour obtenir les données d'identification de l'utilisateur.
Règle Altérer l'activité de consignation de l'historique des commandes détectée Détecte l'activité de consignation de l'historique des commandes altéré.
Règle Plusieurs échecs de connexion dus à un mot de passe incorrect Détecte un adversaire effectuant une pulvérisation de mot de passe.
Règle Plusieurs échecs de connexion à partir des comptes par défaut Détecte plusieurs échecs de connexion à partir des comptes par défaut.
Règle Tentative de force brute possible Détecte un adversaire effectuant une force brute.
Règle Exfiltration potentielle des données d'identification stockées à partir des navigateurs Détecte l'exfiltration potentielle des données d'identification stockées dans les navigateurs.
Règle PPID Sppofing détecté Détecte l'usurpation de PPID sur le système.
Règle Regsvr32 Connexion réseau sortante Détecte les connexions sortantes initiées par le fichier regsvr32.exe.
Règle RunDLL32 Connexion réseau sortante Détecte les connexions sortantes initiées par le fichier rundll32.exe.
Règle Activité suspecte suivie d'une tâche d'accès initial potentielle Se déclenche lorsque des tâches d'accès initial potentielles sont effectuées, suivies d'une activité suspecte. Les tâches d'accès initiales incluent: la reconnaissance de compte, la désactivation du pare-feu, etc.
Règle Données d'identification stockées à partir de Windows Détecte les données d'identification stockées à partir de Windows.
Règle Injection d'historique SID Détecte les activités d'injection d'historique SID (identificateur de sécurité).
Règle Connexion à des comptes valides suspects Se déclenche lorsqu'une connexion suspecte à partir d'un compte valide est détectée.
Règle Emprunt d'identité de jeton via PowerShell Détecte les adversaires qui exploitent les fonctions d'API Windows liées à l'usurpation d'identité ou au vol de jeton.

Vous trouverez ci-après la liste des nouvelles propriétés personnalisées dans l'extension de contenu IBM Security QRadar Endpoint 2.8.0 .

Nom Descriptif optimisé
Module d'authentification Extraction personnalisée par défaut de la donnée'Package d'authentification'des données utiles du DSM. Oui
Nouvelle valeur d'attribut Extraction personnalisée par défaut de la donnée'Nouvelle valeur d'attribut'des données utiles du DSM. Non
Description Extraction personnalisée par défaut de la donnée'Description'des données utiles du DSM. Non
Initialisé Extraction personnalisée par défaut de la donnée'Initié'des données utiles du DSM. Oui
Niveau d'emprunt d'identité Extraction personnalisée par défaut de la donnée'Niveau d'emprunt d'identité'des données utiles du DSM. Oui
Processus de connexion Extraction personnalisée par défaut de la donnée'Processus de connexion'des données utiles du DSM. Oui
Nom du serveur cible Extraction personnalisée par défaut de la donnée'Nom du serveur cible'des données utiles du DSM. Non

(Haut de la page)

IBM Security QRadar Noeud final 2.7.2

Le tableau suivant présente les nouvelles règles d' IBM Security QRadar Endpoint Content Extension 2.7.2.

Tableau 9. Nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.7.2
Type Nom Descriptif
Règle Détection du répertoire Turla et du nom de fichier IOC dans les événements Se déclenche lorsqu'un indicateur de compromission est reconnu comme une combinaison de répertoire et de nom de fichier Turla.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Règle Détection de l'indicateur de nom de fichier Turla dans les événements Se déclenche lorsqu'un indicateur de compromission est reconnu comme un nom de fichier lié à Turla.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Règle Détection de l'indicateur de compromission Turla Hash dans les événements Se déclenche lorsqu'un indicateur de compromission est reconnu comme un hachage Turla.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Règle Détection de l'indicateur de compromission IP Turla dans les événements Se déclenche lorsqu'un indicateur de compromission est reconnu comme une adresse IP de Turla connue.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Règle Détection de l'indicateur de compromission du registre Turla dans les événements Se déclenche lorsqu'un indicateur de compromission est reconnu en tant que valeur de registre Turla.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Règle Détection de Turla URL Host IOC dans les événements Se déclenche lorsqu'un CIO est reconnu comme un hôte URL Turla connu.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Règle Détection de l' URL Turla IOC dans les événements Se déclenche lorsqu'un COI est reconnu comme un URL Turla connu.
Remarque: Les règles Malware as a Service Hash IOC in Events, Ransomware: Ryuk IOC in Events ont été exclues de cette règle pour éviter les répétitions, leur but étant d'avoir une réponse de règle dédiée.
Vous trouverez ci-après la liste des nouveaux ensembles de référence dans l'extension de contenu IBM Security QRadar Endpoint 2.7.2 .
  • Hachages Turla SHA
  • Hachages Turla MD5
  • Noms de fichiers Turla connus
  • URL Turla connues
  • Adresses IP Turla connues
  • Noms d'hôte Turla connus

(Haut de la page)

IBM Security QRadar Noeud final 2.7.1

La liste suivante répertorie les blocs de construction qui ont reçu un correctif pour un problème avec des parenthèses dans le filtre de règle AQL.
  • BB:BehaviorDefinition: Processus critique créé
  • BB:BehaviorDefinition: Processus critique créé par un fichier raccourci (lnk)
  • BB:BehaviorDefinition: Nouveau fichier créé dans le répertoire temporaire
  • BB:BehaviorDefinition: Nouveau registre ajouté à HKLM/HKCU (Windows)

La recherche sauvegardée Malware Clean Failed a été supprimée.

Correction des ID de lien de l'ensemble de références qui étaient incorrects.

(Haut de la page)

IBM Security QRadar Noeud final 2.7.0

Le tableau suivant présente les nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.7.0.

Tableau 10. Nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.7.0
Type Nom Descriptif
Règle Vulnérabilité RCEMicrosoft Windows -Modification de fichier

Détecte les vulnérabilités de l'exécution de code à distance dans Microsoft Exchange.

Microsoft a émis "CVE-2022-41040" et "CVE-2022-41082" Exchange Server.
Règle Vulnérabilité RCEMicrosoft Windows -Téléchargement suspect à l'aide de Certutil

Détecte les vulnérabilités de l'exécution de code à distance dans Microsoft Exchange.

Microsoft a émis "CVE-2022-41040" et "CVE-2022-41082" Exchange Server.
Règle Vulnérabilité RCEMicrosoft Windows -Fichiers suspects

Détecte les vulnérabilités de l'exécution de code à distance dans Microsoft Exchange.

Microsoft a émis "CVE-2022-41040" et "CVE-2022-41082" Exchange Server.
Règle Vulnérabilité RCEMicrosoft Windows -Hachages suspects Détecte les hachages SHA256 RCE Windows connus.
Règle Microsoft Windows -Vulnérabilité RCE-IP suspectes

Cette règle détecte les adresses IP RCE Windows connues.

Remarque: Régler en fonction des sources de journal afin de réduire le nombre d'événements correspondant à cette règle.

(Haut de la page)

IBM Security QRadar Noeud final 2.6.0

Le tableau suivant présente les nouveaux blocs de construction et les nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.6.0.

Tableau 11. Nouveaux blocs de construction et nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.6.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Processus critique créé

Détecte les nouveaux processus critiques créés. Les processus critiques font référence à ceux qui peuvent être utilisés à mauvais escient par des adversaires pour effectuer des activités malveillantes. Les processus courants sont les suivants : PowerShell, cmd, mshta.

Remarque: La règle peut être optimisée par la zone Process CommandLine . Les mots clés Process CommandLine courants qui apparaissent dans les logiciels malveillants sont les suivants: findstr, tmp, temp, vbs, regsvr32, commande, outfile, dllet http.
Bloc de construction BB:BehaviorDefinition: Processus critique créé par un fichier raccourci (lnk) Détecte les nouveaux processus créés à partir de fichiers de raccourcis (lnk). Les processus généralement utilisés par les adversaires, tels que PowerShell, cmd, mshta doivent être surveillés.
Bloc de construction BB:BehaviorDefinition: Modifications excessives de fichiers Détecte un nombre excessif de modifications de fichier dans un court laps de temps.
Bloc de construction BB:BehaviorDefinition: Nouveau fichier créé dans le répertoire temporaire

Détecte les nouveaux fichiers créés dans des répertoires temporaires. Certains répertoires temporaires peuvent être utilisés par des adversaires pour supprimer des fichiers malveillants.

Remarque: Les répertoires surveillés sont les suivants.
  • -- Windows --
  • AppData\Local\Temp
  • AppData\Roaming\
Bloc de construction BB:BehaviorDefinition: Nouveau registre ajouté à HKLM/HKCU (Windows) Détecte un nouveau jeu de clés de registre dans les répertoires HKLM ou HKCU. Bien que cette activité soit uniquement légitime, si des comportements de rançongiciel potentiels sont détectés, il peut s'agir d'une méthode de persistance.
Bloc de construction BB:BehaviorDefinition: Fichier raccourci (lnk) exécutant un processus critique (1)

Détecte les processus critiques créés à partir de fichiers de raccourci (lnk), dans l'ordre des règles QRadar .

Note: Les événements peuvent être reçus dans le mauvais ordre, voir BB:BehaviorDefinition: Fichier raccourci (lnk) Exécution d'un processus critique (2) pour l'ordre inverse.
Bloc de construction BB:BehaviorDefinition: Fichier raccourci (lnk) exécutant un processus critique (2)

Détecte les processus critiques créés à partir de fichiers de raccourci (lnk), dans l'ordre des règles QRadar .

Note: Les événements peuvent être reçus dans le mauvais ordre, voir BB:BehaviorDefinition: Fichier raccourci (lnk) Exécution d'un processus critique (1) pour l'ordre inverse.
Règle Comportement potentiel de Mailto Ransomware (Windows) Se déclenche lorsqu'un comportement potentiel de mailto ransomware est détecté. Un ransomware mailto effectue généralement les étapes suivantes (il peut y avoir de légères modifications en fonction de la variante):
  1. Modifications du registre pour créer des clés (pour la persistance).
  2. Supprime le répertoire temporaire de l'ion exécutable.
  3. Supprime les copies miroir.
  4. Chiffrement (modification de fichier).
Règle Utilisation potentielle de Windows via MSDT

Se déclenche lorsqu'une éventuelle exploitation de vulnérabilité Microsoft Support Diagnostic Tool (MSDT) est détectée.

Microsoft a émis "CVE-2022-30190" pour la vulnérabilité sur MSDT. L'adversaire peut exécuter du code à distance à l'aide de MSDT pour exécuter du code arbitraire.
Règle Commandes d'exécution de fichier (lnk) de raccourci (Windows) Se déclenche lorsqu'un fichier de raccourci (lnk) a créé des processus qui peuvent exécuter des commandes. Plusieurs logiciels malveillants tels que Emotet utilisent des fichiers de raccourci qui, lorsqu'ils sont ouverts, exécutent des commandes malveillantes.

Des règles supplémentaires sont ajoutées dans le filtre de règles pour le bloc de construction BB:BehaviorDefinition: Suspicious Endpoint Activities.

Le filtre de règle est mis à jour pour la règle Ransomware Encrypted File Extension .

(Haut de la page)

IBM Security QRadar Noeud final 2.5.0

Le tableau suivant présente les nouveaux blocs de construction et les nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.5.0.

Tableau 12. Nouveaux blocs de construction et nouvelles règles dans IBM Security QRadar Endpoint Content Extension 2.5.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Communication avec un hôte potentiellement hostile (ensembles de références)

Définit la communication avec un hôte hostile potentiel, classé par ensembles de référence.

Les ensembles de référence commençant par les préfixes "XFE ATPF" sont automatiquement gérés par l'application Threat Intelligence et nécessitent un abonnement payant. Les autres ensembles de référence sont fournis par l'application Threat Intelligence et peuvent être utilisés pour inclure des flux Threat Intelligence tiers.
Bloc de construction BB:BehaviorDefinition: Communication avec un hôte potentiellement hostile (catégorisation X-force) Se déclenche lorsque la communication avec un hôte hostile potentiel est détectée. Catégorisé par X-force.
Bloc de construction BB:BehaviorDefinition: Communication avec une adresse IP potentiellement hostile (ensembles de références)

Définit la communication avec une adresse IP potentiellement hostile, classée par ensembles de référence.

Les ensembles de référence commençant par les préfixes "XFE ATPF" sont automatiquement gérés par l'application Threat Intelligence et nécessitent un abonnement payant. Les autres ensembles de référence sont fournis par l'application Threat Intelligence et peuvent être utilisés pour inclure des flux Threat Intelligence tiers.
Bloc de construction BB:BehaviorDefinition: Communication avec une adresse IP potentiellement hostile (catégorisation X-force) Se déclenche lorsque la communication avec une adresse IP potentiellement hostile est détectée. Catégorisé par X-force.
Règle BB:BehaviorDefinition:Modification critique de fichier Détecte les modifications, y compris la création ou la suppression, de fichiers ou de répertoires critiques.
Règle Fichier critique modifié suivi d'une activité suspecte Se déclenche lorsqu'un fichier ou un répertoire critique est modifié, suivi d'une activité suspecte. Cela peut indiquer qu'un agresseur est en train de modifier des fichiers et de supprimer des fichiers exécutables pour accéder à l'hôte.
Règle Nombre excessif d'échecs de connexion via la connexion RDP Se déclenche lorsque plusieurs événements d'authentification ayant échoué sur la même machine dans RDP à partir d'une adresse IP source unique sont détectés.
Le bloc de construction BB:CategoryDefinition: Fichiers avec des permissions sensibles est renommé BB:CategoryDefinition: Fichiers et répertoires critiques pour le point de terminaison. Par conséquent, deux règles ont reçu une mise à jour de leur description pour refléter le bloc de construction renommé.
  • Fichier critique supprimé
  • Droits d'accès aux fichiers critiques modifiés

Vous trouverez ci-après la liste des blocs de construction et des règles qui ont reçu une mise à jour de leurs remarques sur les règles dans IBM Security QRadarEndpoint Content Extension 2.5.0.

  • Communication avec un hôte d'hôte potentiel
  • Communication avec une adresse IP d'hôte potentielle
  • Nombre excessif d'échecs de connexion via la connexion réseau

Le filtre de règle est mis à jour pour les blocs de construction Communication avec un hôte d'hôte potentiel et Communication avec une adresse IP d'hôte potentielle .

Vous trouverez ci-après la liste des nouveaux ensembles de référence dans IBM Security QRadarEndpoint Content Extension 2.5.0.

  • XFE ATPF-anonsvcs_ipv4
  • XFE ATPF-anonsvcs_ipv6
  • XFE ATPF-anonsvcs_url
  • XFE ATPF-bots_ipv4
  • XFE ATPF-bots_ipv6
  • XFE ATPF-c2server_ipv4
  • XFE ATPF-c2server_ipv6
  • XFE ATPF-c2server_url
  • XFE ATPF-cryptomining_ipv4
  • XFE ATPF-cryptomining_ipv6
  • URL de chiffrement XFE ATPF-cryptomining_url
  • XFE ATPF-ew_url
  • XFE ATPF-mw_ipv4
  • XFE ATPF-mw_ipv6
  • URL XFE ATPF-mw_url
  • XFE URL_phishing_ATPF
  • XFE ATPF-scanning_ipv4
  • XFE ATPF-scanning_ipv6

Vous trouverez ci-après la liste des ensembles de référence dans lesquels le type d'élément est mis à jour sur "Alphanumérique Ignore Case" dans IBM Security QRadarEndpoint Content Extension 2.5.0.

  • Hachage_fichier_type
  • Nom_fichier_type
  • Liste autorisée de cales
  • WCry_FileHash
  • WCry_FileName
  • WCry_HostName

(Haut de la page)

IBM Security QRadar Noeud final 2.4.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Endpoint Content Extension 2.4.0.

Tableau 13. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.4.0
Nom optimisé Trouvé dans
Niveau d'intégrité Oui Microsoft Windows
ParentCommandLine Oui Microsoft Windows
ID du processus Oui Microsoft Windows
Nom de la valeur de registre Oui Microsoft Windows
Signé Oui Microsoft Windows

Les identifiants d'expression sont fixés dans les propriétés personnalisées Argument codé, Adresse de départ et Nom du processus terminé.

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Endpoint 2.4.0.

Tableau 14. Règles et blocs de construction dans IBM Security QRadar Endpoint 2.4.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Image chargée depuis le répertoire du système fictif Se déclenche lorsqu'un exécutable ou une DLL est chargé à partir d'un répertoire se faisant passer pour le répertoire système.
Bloc de construction BB:BehaviorDefinition:Activités suspectes des points finaux Ajout de l'option Ignorer le contrôle de compte utilisateur potentiel à la liste des activités suspectes
Bloc de construction BB:BehaviorDefinition: Contournement UAC - Détournement de DLL (Répertoire non-Système) Déclencheurs lorsque des fichiers spécifiques sont déposés dans des emplacements spécifiques où ils peuvent être chargés et exécutés sans UAC à l'aide de véritables exécutables Windows.
Bloc de construction BB:BehaviorDefinition: Contournement UAC - Détournement de DLL (Répertoire système) Se déclenche lorsqu'un processus privilégié charge une DLL non signée à partir du répertoire système.
Bloc de construction BB:BehaviorDefinition: Contournement de l'UAC - Objet COM élevé Se déclenche lorsque des interfaces COM pouvant contourner l'UAC sont hébergées par le fichier dllhost.exe et génèrent un processus privilégié.
Bloc de construction BB:BehaviorDefinition: Contournement de l'UAC - Installation d'un module complémentaire IE Se déclenche lorsque le programme d'installation du module complémentaire Internet Explorer génère un processus privilégié lorsqu'il est démarré à partir d'une interface COM.
Bloc de construction BB:BehaviorDefinition: Contournement UAC - Répertoire système fictif (image) Se déclenche lorsqu'un processus privilégié charge un exécutable ou une DLL à partir d'un répertoire se faisant passer pour le répertoire système.
Bloc de construction BB:BehaviorDefinition: Contournement UAC - Répertoire système fictif (processus) Se déclenche lorsqu'un processus privilégié démarre à partir d'un répertoire se faisant passer pour le répertoire système.
Bloc de construction BB:BehaviorDefinition: DLL non signée chargée depuis le répertoire système Se déclenche lorsqu'une DLL non signée est chargée à partir du répertoire système.
Bloc de construction BB:CategoryDefinition: Processus élevé (Windows) Identifie les processus élevés.
Bloc de construction BB:CategoryDefinition: Clé de registre UAC Bypass Identifie les clés de registre connues pour faciliter le contournement UAC.
Règle Contournement du contrôle de compte utilisateur potentiel Se déclenche lorsque le comportement associé au contournement du contrôle de compte utilisateur Windows est détecté.

(Haut de la page)

IBM Security QRadar Noeud final 2.3.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Endpoint Content Extension 2.3.0.

Tableau 15. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.3.0
Nom optimisé Trouvé dans
Argument codé Oui Microsoft Windows

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Endpoint 2.3.0.

Tableau 16. Règles et blocs de construction dans IBM Security QRadar Endpoint 2.3.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Accès au bureau à distance à partir d'un hôte distant Identifie les flux dans lesquels une application de bureau distante est accessible à partir d'un hôte distant
Bloc de construction BB:BehaviorDefinition: Part administrative accédée Se déclenche lors de l'accès à un partage d'administration.
Bloc de construction BB:BehaviorDefinition: Trafic entrant de la grève du cobalt Identifie les flux qui affichent un hôte envoyant du courrier à des hôtes distants.
Bloc de construction BB:BehaviorDefinition: Trafic entrant de la grève du cobalt Se déclenche lorsqu'une empreinte digitale TLS connue comme étant une communication à partir d'un serveur Cobalt Strike est détectée.
Bloc de construction BB:BehaviorDefinition: Trafic sortant de la grève de Cobalt Se déclenche lorsqu'une empreinte digitale TLS connue comme étant une communication d'un client Cobalt Strike est détectée.
Bloc de construction BB:BehaviorDefinition: Trafic potentiel de grève du cobalt Se déclenche lorsqu'une empreinte digitale TLS associée à Cobalt Strike est observée. Cobalt Strike est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, les acteurs malveillants utilisent souvent des versions de cette application obtenues illégalement pour les utiliser dans leurs propres attaques. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Bloc de construction BB:BehaviorDefinition:Environnement de programmation démarré avec un compte privilégié Se déclenche lorsqu'un environnement de programmation a été démarré avec un compte privilégié.
Bloc de construction BB:BehaviorDefinition: Administration régulière des points finaux Définit une activité d'administration régulière, telle que la gestion des utilisateurs, le téléchargement de fichiers en ligne de commande ou l'exécution avec des privilèges élevés.
Bloc de construction BB:BehaviorDefinition:Activités suspectes des points finaux Définit les activités de noeud final suspectes.
Bloc de construction BB:BehaviorDefinition: Activité VNC à partir d'un hôte distant Identifie les flux dans lesquels un service VNC est accessible à partir d'un hôte distant.
Règle Comportement d'attaque Cobalt détecté Se déclenche lorsque le comportement appartenant potentiellement à Cobalt Strike est détecté. Cobalt Strike est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, les acteurs malveillants utilisent souvent des versions de cette application obtenues illégalement pour les utiliser dans leurs propres attaques.
Règle Communication avec un hôte d'hôte potentiel Se déclenche lorsque la communication avec un hôte hostile potentiel, catégorisé par X-force ou dans la collection de l'ensemble de référence, est détectée.
Règle Utilisation malveillante des commandes codées dans un environnement de programmation Se déclenche lorsqu'une commande codée est utilisée dans un environnement de programmation de type cmd ou PowerShell.
Règle Logiciels malveillants: trafic Dridex potentiel Se déclenche lorsqu'une empreinte digitale TLS associée au cheval de Troie Dridex est observée. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Logiciel malveillant: trafic Emotet potentiel Se déclenche lorsqu'une empreinte digitale JA3 associée au cheval de Troie Emotet est observée. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Logiciel malveillant: trafic Empire potentiel Se déclenche lorsqu'une empreinte digitale TLS connue pour être liée au serveur de téléchargement Empire est observée. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Logiciel malveillant: Trafic potentiel de bots de contrôle Se déclenche lorsqu'une empreinte digitale TLS connue pour être liée au cheval de Troie Trickbot est observée. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Trafic Metasploit potentiel Se déclenche lorsqu'une empreinte digitale TLS connue pour être liée au Metasploit est observée. Metasploit est un outil de test de pénétration couramment utilisé par les équipes rouges. Cependant, les acteurs malveillants l'utilisent souvent dans leurs propres attaques. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Trafic Tor potentiel Se déclenche lorsqu'une empreinte digitale TLS connue pour être liée au projet Tor est observée. Tor est un service d'anonymisation non malveillant qui peut être utilisé pour contourner les règles et effectuer des activités malveillantes. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Ransomware: Trafic potentiel Ryuk Se déclenche lorsqu'une empreinte digitale TLS connue pour être liée au ransomware Ryuk est observée. La règle cherche à faire correspondre les empreintes digitales du client et du serveur afin de réduire le risque de faux positifs.
Règle Distant: Remote Desktop Access à partir d'Internet Se déclenche lorsque le protocole Microsoft Remote Desktop Protocol est détecté depuis Internet sur un hôte local. La plupart des entreprises considèrent qu'il s'agit d'une violation de la politique d'entreprise. Si cette activité est normale sur votre réseau, vous devez désactiver cette règle.
Règle Distant: Accès VNC à partir d'Internet Se déclenche lorsque VNC (une application d'accès de bureau à distance) est détectée à partir d'Internet vers un hôte local. Un grand nombre de sociétés considère qu'il s'agit d'un problème de politique qui doit être résolu. Si cette activité est normale sur votre réseau, désactivez cette règle.
Règle Service configuré pour utiliser PowerShell Se déclenche lorsqu'un service est configuré pour utiliser PowerShell.
Règle Parent suspect pour un processus Se déclenche lorsqu'un service est configuré pour utiliser PowerShell.
Règle Utilisation du module PSExec suspecte détectée Se déclenche lorsqu'une utilisation du module PSExec est détectée.

Le tableau suivant présente les ensembles de référence mis à jour dans IBM Security QRadar Endpoint 2.3.0

Tableau 17. Ensembles de référence mis à jour dans IBM Security QRadar Endpoint 2.3.0
Nom Descriptif
Nom de processus et répertoires de processus par défaut Répertorie les processus sensibles et leurs répertoires.

Une erreur de synchronisation a été corrigée dans le tableau de bord Pulse Endpoint Overview .

(Haut de la page)

IBM Security QRadar Noeud final 2.2.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Endpoint Content Extension 2.2.0.

Tableau 18. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.2.0
Nom optimisé Trouvé dans
ServiceFileName Oui Microsoft Windows

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Endpoint 2.2.0.

Tableau 19. Règles et blocs de construction dans IBM Security QRadar Endpoint 2.2.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Malware as a Service Path IOC (logiciel malveillant en tant que service)

Se déclenche lorsqu'un indicateur de chemin de fichier de compromis (IoC) lié à un logiciel malveillant en tant que service (MaaS), tel qu'un cheval de Troie Emotet et un cheval de Troie Trickbot, est observé.

Les indicateurs de compromission suivent le modèle dans les répertoires personnalisés suivants:

  • %APPDATA%\roaming\winapp\client_id
  • %APPDATA%\roaming\winapp\group_tag
  • %APPDATA%\system32\Tasks\services update
  • %APPDATA%\system32\Tasks\MsSysToken
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
  • C:\WINDOWS\SYSWOW64\RandomNumber.EXE
  • C:\WINDOWS\SYSWOW64\RandomNumber.EXE
  • C:\WINDOWS\TEMP\RandomNumber.TMP

L'ensemble de références Malware as a Service_Path est prérempli. Optimisez cet ensemble de référence avec l'indicateur de compromission approprié.
Règle Injection de code mémoire potentielle Se déclenche lorsque la balise de frappe Cobalt génère un processus Windows. La balise de frappe Cobalt génère un binaire Windows natif et manipule son espace mémoire, ce qui a pour conséquence que les processus générés n'ont pas d'arguments de ligne de commande. spécifié.
Règle Service configuré pour utiliser un canal de communication Se déclenche lorsqu'un service est configuré pour utiliser un canal de communication. Cela peut indiquer qu'un agresseur peut accéder à un système d'utilisateurs via une escalade de privilèges à l'aide de getsystem.

(Haut de la page)

IBM Security QRadar Noeud final 2.1.1

Correction d'une erreur de synchronisation dans les tableaux de bord Endpoint Overview et Ransomware Pulse.

(Haut de la page)

IBM Security QRadar Noeud final 2.1.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Endpoint Content Extension 2.1.0.

Tableau 20. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.1.0
Nom optimisé Trouvé dans
Nom du processus Oui
Processus terminé Oui Microsoft Windows

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Endpoint 2.1.0.

Tableau 21. Règles et blocs de construction dans IBM Security QRadar Endpoint 2.1.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Malware as a Service Path IOC (logiciel malveillant en tant que service)

Se déclenche lorsqu'un indicateur de chemin de fichier de compromis (IoC) lié à un logiciel malveillant en tant que service (MaaS), tel qu'un cheval de Troie Emotet et un cheval de Troie Trickbot, est observé.

Les indicateurs de compromission suivent le modèle dans les répertoires personnalisés suivants:

  • %APPDATA%\roaming\winapp\client_id
  • %APPDATA%\roaming\winapp\group_tag
  • %APPDATA%\system32\Tasks\services update
  • %APPDATA%\system32\Tasks\MsSysToken
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
  • C:\WINDOWS\SYSWOW64\RandomNumber.EXE
  • C:\WINDOWS\SYSWOW64\RandomNumber.EXE
  • C:\WINDOWS\TEMP\RandomNumber.TMP

L'ensemble de références Malware as a Service_Path est prérempli. Optimisez cet ensemble de référence avec l'indicateur de compromission approprié.
Bloc de construction BB:DeviceDefinition: Système d'exploitation Définit tous les systèmes d'exploitation du système.
Règle Détection de l'indicateur de compromission malveillant dans les événements

Se déclenche lorsqu'un IoC est catégorisé comme malveillant dans une collection d'ensembles de référence.

Les règles Malware as a Service Hash IOC in Eventset Ransomware: Ryuk IOC in Events sont exclues de cette règle pour éviter les répétitions. Leur but est d'avoir une réponse de règle dédiée.
Règle Détection de l'indicateur de compromission malveillant dans les flux

Se déclenche lorsqu'un IoC est catégorisé comme malveillant dans une collection d'ensembles de référence.

Les éléments Malware as a Service Hash IOC in Flowset Ransomware: Ryuk IOC in Flows sont exclus de cette règle pour éviter les répétitions. Leur but est d'avoir une réponse de règle dédiée.
Règle Nombre excessif d'échecs d'accès au partage d'administration à partir du même hôte Se déclenche lorsque des échecs répétés d'accès à des partages d'administration sont observés à partir du même hôte.

Cette règle a été renommée de Echec excessif de l'accès à un partage d'administration à partir de la même source
Règle Nombre excessif d'échecs de connexion via la connexion réseau

Se déclenche lorsque plusieurs événements d'authentification ayant échoué sur la même machine à partir d'une seule adresse IP source sont détectés.

Ce comportement indique une tentative brute potentielle d'accès à une machine.

Cette règle a été renommée en Echecs de connexion excessifs via RDP.
Règle Nombre excessif d'échecs de connexion via la connexion réseau à plusieurs machines

Se déclenche lorsque plusieurs événements d'authentification ayant échoué sur des machines différentes à partir d'une seule adresse IP source sont détectés.

Ce comportement indique une tentative brute potentielle d'accès à une machine.

Cette règle a été renommée en Echecs de connexion excessifs via la connexion réseau à plusieurs machines.
Règle DLL malveillante créée par spoolsv Se déclenche lorsqu'un fichier suspect a été créé par spoolsv.exe.
Règle Comportement des logiciels malveillants en tant que service

Se déclenche lorsqu'un comportement de logiciel malveillant en tant que service est observé.

Ces comportements incluent l'utilisation d'un utilitaire de téléchargement sur le noeud final et le chemin de fichier montrant l'indication d'un compromis.
Règle Logiciel malveillant en tant que service Hash IOC in Events

Se déclenche lorsqu'un hash de fichier IoC lié à MaaS, tel que le cheval de Troie Emotet et le cheval de Troie Trickbot, est observé.

Les ensembles de références Malware as a Service_SHA1, Malware as a Service_SHA256et Malware as a Service_MD5 sont préremplis. Optimisez ces ensembles de référence avec IoCapproprié.
Règle Logiciel malveillant en tant que service Hash IOC in Flows

Se déclenche lorsqu'un hash de fichier IoC lié à MaaS, tel que le cheval de Troie Emotet et le cheval de Troie Trickbot, est observé.

Les zones Logiciel malveillant en tant que Service_SHA1, Logiciel malveillant en tant que Service_SHA256et Logiciel malveillant en tant que Service_MD5 sont préremplies. Optimisez ces ensembles de référence avec IoCapproprié.
Règle Environnement de programmation généré par un processus suspect Se déclenche lorsqu'un environnement de programmation est généré par un processus suspect. Cela peut indiquer qu'un agresseur tente d'exécuter un script malveillant.

Cette règle a été mise à jour pour les vulnérabilités Windows.
Règle Instructions de déchiffrement de Ransomware créées Se déclenche lorsqu'un nom de fichier d'instruction de déchiffrement est trouvé sur une machine. Il est typique pour les ransomware de créer un fichier d'instructions de déchiffrement pour fournir aux utilisateurs des instructions sur la façon de payer la rançon pour récupérer leurs fichiers. Ce fichier particulier est souvent nommé avec des termes communs tels que: decrypt, recover, instructionsou how to.

Cette règle a été mise à jour pour le ransomware Ryuk.
Règle Extension de fichier chiffré Ransomware Se déclenche lorsqu'une extension de fichier de rançongiciel connue est détectée. Ransomware chiffre généralement les fichiers et ajoute une extension de fichier spécifique dans le cadre de leur processus.

Cette règle a été mise à jour pour le ransomware Ryuk.
Règle Indicateurs de compromission de rançongiciel détectés sur plusieurs machines Se déclenche lorsqu'un rançongiciel IoC est détecté sur cinq machines différentes ou plus. Cela peut indiquer que le ransomware se propage correctement dans le réseau.

Cette règle a été mise à jour pour toutes les nouvelles règles de détection qui ont été ajoutées dans cette édition.
Règle Ransomware: Ryuk IOC dans les événements

Se déclenche lorsqu'un hachage de fichier IoC lié à Ryuk ransomware est observé.

Les zones Ryuk_SHA256, Ryuk_SHA1et Ryuk_MD5 sont préremplies. Optimisez ces ensembles de référence avec IoCapproprié.
Règle Ransomware : Ryuk IOC dans les flux

Se déclenche lorsqu'un hachage de fichier IoC lié à Ryuk ransomware est observé.

Les zones Ryuk_SHA256, Ryuk_SHA1et Ryuk_MD5 sont préremplies. Optimisez ces ensembles de référence avec IoCapproprié.
Règle Ransomware: Service Ryuk ou résiliation de processus

Se déclenche lorsque Ryuk ransomware arrête d'exécuter des processus après avoir fait une copie de lui-même.

L'ensemble de références Ryuk Service and Process Termination List est prérempli. Optimisez cet ensemble de références avec les services et les processus appropriés.

Le tableau suivant présente les ensembles de référence dans IBM Security QRadar Endpoint 2.1.0.

Tableau 22. Ensembles de référence dans IBM Security QRadar Endpoint 2.1.0
Nom Descriptif
Logiciel malveillant en tant que Service_MD5 Répertorie les hachages de fichier MD5 qui sont des indicateurs pour les logiciels malveillants en tant que service.
Logiciel malveillant en tant que Service_Path Répertorie les chemins de fichier qui sont des indicateurs pour les logiciels malveillants en tant que service.
Logiciel malveillant en tant que Service_SHA1 Répertorie les hachages de fichier SHA1 qui sont des indicateurs pour les logiciels malveillants en tant que service.
Logiciel malveillant en tant que Service_SHA256 Répertorie les hachages de fichier SHA256 qui sont des indicateurs pour les logiciels malveillants en tant que service.
Importations de pulse_importations Tableau de bord Pulse.
Liste des terminaison de service et de processus Ryuk Répertorie les processus ou les services possibles terminés par Ryuk ransomware.
Ryuk_MD5 Répertorie les hachages de fichier MD5 qui sont des indicateurs pour le ransomware Ryuk.
Ryuk_SHA1 Répertorie les hachages de fichier SHA1 qui sont des indicateurs pour le ransomware Ryuk.
Ryuk_SHA256 Répertorie les hachages de fichier SHA256 qui sont des indicateurs pour le ransomware Ryuk.

Le tableau de bord Pulse ajouté dans IBM Security QRadar Endpoint Content Extension 2.1.0 contient huit widgets liés aux rançongiciels:

  • Une avec des statistiques sur le nombre de machines affectées par les règles.
  • Une avec des statistiques sur le nombre d'alertes par machine.
  • Six tableaux qui représentent les six phases d'une attaque.

Les deux premiers widgets incluent toutes les règles de chaque phase:

WHERE (RULENAME(creEventList) IN ('Attempt to Delete Shadow Copies', 'Critical File Deleted (Unix)', 'RDP Hijacking Tool Detected', 'Recovery Disabled in Boot Configuration Data', 'Detection of Malicious File or Process', 'Detection of Malicious IOC', 'File Decode or Download followed by Suspicious Activity', 'Cobalt Strike Behaviour Detected', 'Excessive Failed Access to an Administrative Share from the Same Source', 'Excessive Nslookup Usage', 'Reconnaissance Tool Detected', 'Excessive File Deletion and Creation', 'Suspicious Amount of Files Renamed on the Same Machine (Windows)', 'Suspicious Amount of Files Renamed/Moved on the Same Machine (Unix)', 'Suspicious Amount of Files Deleted on the Same Machine') 
OR RULENAME(creEventList) MATCHES '.*(Ransomware|Maze|Bad Rabbit|Petya|REvil|Ryuk|WCry|Malware as a Service Hash IOC).*?')

Le tableau suivant répertorie les règles incluses pour chaque phase.

Tableau 23. Règles incluses pour chaque phase d'attaque
Phase Règles
Distribution
  • Logiciel malveillant en tant que service Hash IOC dans les événements
  • Logiciel malveillant en tant que service Hash IOC in Flows
Transfert
  • Tentative de suppression de copies miroir
  • Fichier critique supprimé (Unix)
  • Outil de détournement RDP détecté
  • Récupération désactivée dans les données de configuration d'amorçage
  • Ransomware: Service Ryuk ou Résiliation de processus
Infection
  • Détection d'un fichier ou d'un processus malveillant
  • Détection d'un indicateur de compromission malveillant
  • File Decode or Download suivi de Suspicious Activity
  • Ransomware : BadRabbit Le CIO dans l'événementiel
  • Ransomware : BadRabbit IOC in Flows (en anglais)
  • Ransomware: Maze IOC dans les événements
  • Ransomware : Petya / NotPetya Le CIO dans l'événementiel
  • Ransomware : Petya / NotPetya IOC dans les flux
  • Ransomware: REvil IOC dans les événements
  • Ransomware: WCry IOC dans les événements
  • Ransomware: WCry IOC dans les flux
  • Ransomware: WCry Payload dans les flux
  • Indicateurs de compromission de rançongiciel détectés sur plusieurs machines
  • Ransomware: Ryuk IOC dans les événements
  • Ransomware: Ryuk IOC dans Flows
  • Extension de fichier chiffré Ransomware
Reconnaissance
  • Comportement de frappe de cobalt détecté
  • Echec excessif de l'accès à un partage administratif à partir de la même source
  • Utilisation excessive de Nnslookup
  • Outil de reconnaissance détecté
Chiffrement
  • Suppression et création excessives de fichiers
  • Extension de fichier chiffré Ransomware
  • Ransomware : Transfert de fichiers suspects dans le labyrinthe
  • Quantité suspecte de fichiers supprimés sur la même machine
  • Quantité suspecte de fichiers renommés sur la même machine (Windows)
  • Quantité suspecte de fichiers renommés / déstockés sur la même machine (Unix)
Notification de rançon Instructions de déchiffrement de Ransomware créées

(Haut de la page)

IBM Security QRadar Noeud final 2.0.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Endpoint Content Extension 2.0.0.

Tableau 24. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 2.0.0
Nom optimisé Trouvé dans
Type de connexion Oui Microsoft Windows
Nom de partage Oui Microsoft Windows
StartAddress Oui Microsoft Windows

Le tableau suivant présente les règles et les blocs de construction dans IBM Security QRadar Endpoint 2.0.0.

Tableau 25. Règles et blocs de construction dans IBM Security QRadar Endpoint 2.0.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Trafic entrant de la grève du cobalt Se déclenche lorsqu'une empreinte digitale TLS connue comme étant une communication à partir d'un serveur Cobalt Strike est détectée.
Bloc de construction BB:BehaviorDefinition: Trafic sortant de la grève de Cobalt Se déclenche lorsqu'une empreinte digitale TLS connue comme étant une communication d'un client Cobalt Strike est détectée.
Bloc de construction BB:BehaviorDefinition: Utilisation du port de grève du cobalt Se déclenche lorsque le trafic TCP sortant sur le port 50050 est détecté. Il s'agit du port par défaut pour la communication avec un serveur Cobalt Strike Server.
Bloc de construction BB:BehaviorDefinition: Adresse du processus de grève du cobalt Se déclenche lorsqu'un thread distant est créé à une adresse de départ se terminant par "0B80". Ce comportement indique qu'une unité d'exécution est créée par Cobalt Strike.
Bloc de construction BB:BehaviorDefinition: Découverte de l'annuaire (Unix) Définit le moment où une commande Unix est exécutée pour reconnaître un grand nombre de répertoires. Les commandes détectées par cette règle sont les suivantes:
  • ls -d
  • find -type d
  • ls -r
Bloc de construction BB:BehaviorDefinition:Découverte de l'annuaire (Windows) Définit le moment d'exécution d'un PowerShell qui reconnaît les répertoires de manière récursive. Cela peut se produire lorsque la fonction Get-ChildItem est exécutée avec l'argument -recurse ou est utilisée à l'intérieur d'une boucle ForEach.
Bloc de construction BB:BehaviorDefinition: Création et suppression de fichiers Détecte les événements de création et de suppression de fichiers dans le même répertoire sur un ordinateur Windows et peut être utilisé dans des règles pour détecter plusieurs modifications de fichiers dans de nombreux répertoires.
Bloc de construction BB:BehaviorDefinition: PowerShell Activité de téléchargement de fichiers Se déclenche lorsque PowerShell est utilisé pour télécharger des fichiers.
Bloc de construction BB:BehaviorDefinition: Usage répété de nslookup Se déclenche lorsque nslookup est utilisé à plusieurs reprises. Le seuil peut toujours être considéré comme un comportement d'administration normal et doit être corrélé à d'autres événements pour être considéré comme anormal.
Bloc de construction BB:CategoryDefinition: Suppressions multiples de fichiers sur le système d'extrémité Déclencheurs lorsque plusieurs fichiers non temporaires sont supprimés sur des systèmes de noeud final.
Bloc de construction BB:BehaviorDefinition:Découverte du nom d'hôte ou du réseau Correspond lorsqu'une action de reconnaissance de nom d'hôte ou de réseau est effectuée.
Bloc de construction BB:BehaviorDefinition: Administration régulière des points finaux Définit une activité d'administration régulière, telle que la gestion des utilisateurs, le téléchargement de fichiers en ligne de commande, l'exécution avec des privilèges élevés.
Bloc de construction BB:BehaviorDefinition:Activités suspectes des points finaux Définit les activités de noeud final suspectes.
Règle Tentative de suppression de copies miroir Se déclenche lorsqu'une commande de suppression de copies de réplication est exécutée. Des programmes malveillants peuvent tenter d'utiliser Windows Management Instrumentation ou Vssadmin pour supprimer des instantanés de fichiers créés par Windows.
Règle Comportement d'attaque Cobalt détecté Se déclenche lorsque le comportement appartenant potentiellement à Cobalt Strike est détecté. Cobalt Strike est un outil de test de pénétration qui est couramment utilisé par les équipes rouges. Cependant, des acteurs malveillants utilisent souvent des versions de cette application obtenues illégalement pour mener des attaques.
Règle Fichier critique supprimé (Unix) Détecte lorsqu'un fichier critique ou un fichier d'un répertoire critique est supprimé. Les fichiers de permutation sont exclus par défaut et toute autre extension de fichier que vous ne souhaitez pas surveiller peut également être exclue.

Modifiez le bloc de construction BB:CategoryDefinition: Files with Sensitive Permissions avec les fichiers ou les répertoires à surveiller. Ces emplacements doivent être liés à l'amorçage, à la sauvegarde, à la consignation ou aux données d'identification, qui ont une gravité plus élevée lorsqu'ils sont exploités.
Règle Détection d'un fichier ou d'un processus malveillant Détecte lorsqu'un nom de fichier ou un nom de processus considéré comme faisant partie de l'exécution de logiciel malveillant est observé. Cette règle surveille les noms de fichier ou de processus suivants:
  • Mini-ergate
  • Neshta
  • Echer de couche
  • NLBrute (NL)
  • EternalBlue
  • MimiKatz / MimiPenguin
Règle Echec de l'accès excessif à un partage d'administration à partir de la même source Des déclencheurs sont observés après des tentatives infructueuses consécutives d'accès à un partage d'administration.
Règle Suppression et création excessives de fichiers Se déclenche lorsqu'un grand nombre de fichiers sont créés et supprimés dans plusieurs répertoires. Cela peut indiquer la présence d'un ransomware comme WCry ou Samsam qui crée une copie chiffrée d'un fichier avant de supprimer l'original.
Règle Nombre excessif d'échecs de connexion via RDP Se déclenche lorsque plusieurs événements d'authentification ayant échoué sur la même machine dans RDP à partir d'une adresse IP source unique sont détectés. Ce comportement indique une tentative potentielle de force brute pour accéder à une machine.
Règle Nombre excessif d'échecs de connexion via RDP à plusieurs machines Se déclenche lorsque plusieurs événements d'authentification ayant échoué sur des machines différentes dans RDP à partir d'une adresse IP source unique sont détectés. Ce comportement indique une tentative brute potentielle d'accès à plusieurs machines.
Règle Utilisation excessive de nslookup Se déclenche lorsque la commande nslookup est exécutée un nombre excessif de fois à partir de la même machine. Ce comportement peut indiquer qu'un acteur malveillant tente de collecter des informations sur le réseau à exfiltrer.
Règle Instructions de déchiffrement de Ransomware créées Se déclenche lorsqu'un nom de fichier d'instructions de déchiffrement est trouvé sur une machine. Il est typique pour un ransomware de créer un fichier d'instructions de déchiffrement pour fournir aux utilisateurs des instructions sur la façon de payer une rançon pour récupérer leurs fichiers. Ce fichier particulier est souvent nommé avec des termes communs tels que: déchiffrer, récupérer, instructions, comment, etc.
Règle Extension de fichier chiffré Ransomware Se déclenche lorsqu'une extension de fichier de rançongiciel connue est détectée. Ransomware chiffre généralement les fichiers et ajoute une extension de fichier spécifique dans le cadre de leur processus. La liste complète des extensions est la suivante: aes_ni, 1999, _23-06-2016-20-27-23_$f_tactics@aol.com$.legion, _crypt, $centurion_legion@aol.com$.cbf, 0x0, 34xxx, 3angle@india.com, 73i87a, 8lock8, aaa, abc, acrypt, aes_ni_0day, aes256, alcatraz, arzamass7@163.com, bart.zip, better_call_saul, bloccato, btc, btc-help-you, btcbtcbtc, btcware, bugsecccc, cazzo, ccc, cerber, chifrator@qq_com, clf, code, coverton, crabe, crime, crinf, crjoker, cry, cryp1, crypt, crypted, cryptendblackdc, crypto, cryptobyte, cryptoshield, cryptotorlocker2015!, cryptowall, cryptowin, crysis, ctb2, ctbl, czvxce, darkness, dharma, dll555, don0t0uch7h!$cryptedfile, doomed, duhust, dyatel@qq_com_ryp, ecc, ecovector2@aol.com, ecrypt, enc, encedrsa, enciphered, encrypt, encrypted, encryptedaes, encryptedfile, encryptedrsa, encryptile, enigma, epic, exploit, exx, ezz, flyper, foobar.docx.onyon, frozen, fucked, fun, gdcb, gefickt, globe, good, greg_blood@india.com, gruzin@qq_com, gsupport, gws, ha3, hb15, helpdecrypt@ukr, hnyear, hollycrypt, html, hush, infected, j, johnycryptor@hackermail.com, justbtcwillhelpyou, keybtc@inbox_com, keyh0les, keyz, kimcilware, kimcilware.lechiffre, kkk, korrektor, krab, kraken, kratos, krypted, kyra, lechiffre, lesli, lock, locked, locky, lok, lol!, magic, mecpt, micro, milarepa.lotos@aol.com, mole, monstro, mychemicalromance4ever, nalog@qq_com, no.btc@protonmail.ch, no.btcw@protonmail.ch, no.xop@protonmail.ch, nochance, brouillé, omg ! *, only-we_can-help_you, oor, oplata@qq_com, oshit, p5tkjw, payb, paybtcs, paymds, paymrts, payms, paymst, paymts, payransom, payrms, payrmts, pays, pizda@qq_com, poar2w, porno, pornoransom, purged, pzdc, r16m01d05, r4a, r5a, radamant, raid, razy, rdm, rdmk, relock@qq_com, remind, rmd, rokku, rrk, rscl, saeid, sanction, savepanda@india.com, scl, securecrypted, siri-down@india.com, sport, sql772@aol.com, supercrypt, surprise, systemdown@india.com, szf, theva, tombit@india.com, toxcrypt, troyancoder@qq_com, trun, ttt*, uk-dealer@sigaint.org, unlockit, vault, vegclass@aol.com, versiegelt, vscrypt, vvv, wallet, xdata, xort, xrnt, xrtn, xtbl, xxx, xyz, zendr, zendrz, zepto, zzz, 암호화됨
Règle Indicateurs de compromission de rançongiciel détectés sur plusieurs machines Se déclenche lorsqu'un indicateur de compromission de rançongiciel est détecté sur au moins cinq machines différentes. Cela signifie que le ransomware est en train de se propager dans le réseau.
Règle Ransomware : BadRabbit Le CIO dans l'événementiel Se déclenche lorsqu'un indicateur de compromission (nom de fichier, hachage de fichier, nom d'hôte, adresse IP) lié à BadRabbit Ransomware est observé.
Règle Ransomware : BadRabbit IOC in Flows (en anglais) Se déclenche lorsqu'un indicateur de compromission (nom de fichier, hachage de fichier, nom d'hôte, adresse IP) lié à BadRabbit Ransomware est observé.
Règle Ransomware : Maze IOC dans le domaine de l'événementiel Se déclenche lorsqu'un indicateur de compromission (nom de fichier) lié à Maze Ransomware est observé.
Règle Ransomware : Transfert de fichiers suspects dans le labyrinthe Se déclenche lorsqu'un transfert de fichiers associé à l'exfiltration de données Maze ransomware est détecté.
Règle Ransomware : Petya / NotPetya Le CIO dans l'événementiel Se déclenche lorsqu'un indicateur de compromission (nom de fichier, hachage de fichier, nom d'hôte, adresse IP) lié à Petya Ransomware est observé.
Règle Ransomware : Petya / NotPetya IOC dans les flux Se déclenche lorsqu'un indicateur de compromission (nom de fichier, hachage de fichier, nom d'hôte, adresse IP) lié à Petya Ransomware est observé.
Règle Ransomware: Petya / NotPetya Charge utile dans les flux Se déclenche lorsqu'un contenu Petya est observé dans des flux.
Règle Ransomware: REvil IOC dans les événements Se déclenche lorsqu'un IOC (nom de fichier) lié à REvil Ransomware, également connu sous les noms de Sodinokibi et Sodin, est observé.
Règle Ransomware: WCry IOC dans les événements Se déclenche lorsqu'un indicateur de compromission (nom de fichier, hachage de fichier, nom d'hôte, adresse IP) lié à WCry Ransomware est observé.
Règle Ransomware: WCry IOC dans les flux Se déclenche lorsqu'un indicateur de compromission (nom de fichier, hachage de fichier, nom d'hôte, adresse IP) lié à WCry Ransomware est observé.
Règle Ransomware : Charge utile WCry dans les flux Se déclenche lorsqu'une charge WCry est observée dans les flux.
Règle Outil de détournement RDP détecté Se déclenche lorsqu'un processus qui peut contourner la sécurité RDP est créé. Les outils surveillés sont les suivants:
  • ngrok, qui peut être utilisé pour ouvrir des connexions qui contournent un pare-feu
  • tscon, un outil Windows natif qui peut être utilisé pour pirater une autre session RDP active
Règle Processus de l'outil de reconnaissance détecté Déclencheurs lorsque des outils de reconnaissance couramment utilisés avant le déploiement de rançongiciels sont détectés. Ces outils peuvent également être utilisés par les équipes rouges et ne sont pas intrinsèquement dangereux, mais les acteurs malveillants peuvent les utiliser pour étudier un environnement avant de l'attaquer. La règle a été préremplie avec les outils suivants:
  • BloodHound, et son outil d'analyse des données SharpHound, est une application utilisée pour cartographier les relations cachées et involontaires au sein d'un environnement Active Directory. Les agresseurs peuvent utiliser ces outils pour identifier facilement les chemins d'attaque.
  • PingCastle est un outil couramment utilisé par les entreprises pour évaluer la sécurité de leur Active Directory. Les acteurs malveillants peuvent utiliser cet outil pour détecter les vulnérabilités au sein de l'environnement.
  • Advanced IP Scanner est un scanner réseau qui peut être utilisé pour contrôler à distance des périphériques dans un environnement. Cet outil peut être utilisé lors d'une attaque de ransomware pour activer le mouvement latéral.
  • AdFind est un outil de requête de ligne de commande Active Directory . Il peut être utilisé pour identifier rapidement les points faibles dans une configuration Active Directory .
  • Tout (ou ES) est un utilitaire de recherche qui permet de trouver des fichiers et des dossiers plus rapidement. Cette fonctionnalité peut activer le ransomware pour collecter des informations sur tous les fichiers et dossiers pour un chiffrement ultérieur.
  • Masscan est un outil de numérisation de port. Il est fréquemment utilisé par les attaquants pour répertorier les ports potentiellement vulnérables. Ces outils peuvent également être utilisés par les équipes rouges et ne sont pas intrinsèquement dangereux, mais les acteurs malveillants peuvent les utiliser pour étudier un environnement avant de l'attaquer.
Règle Récupération désactivée dans les données de configuration d'amorçage Déclencheurs lorsque les options de reprise sont désactivées dans les données de configuration d'amorçage. Cela peut indiquer qu'un acteur malveillant tente de désactiver la possibilité de récupérer des fichiers à partir d'une attaque de rançongiciel.
Règle Recherche de fichiers de mot de passe à l'aide de findstr (Windows) Se déclenche lorsqu'une recherche est effectuée pour la chaîne password à l'aide de la commande findstr . Ce comportement peut indiquer qu'un acteur malveillant recherche des fichiers contenant des mots de passe.
Règle Recherche de fichiers de mot de passe à l'aide de grep ou de find (Unix) Se déclenche lorsqu'une recherche est effectuée pour la chaîne password à l'aide des commandes grep ou find . Ce comportement peut indiquer qu'un acteur malveillant recherche des fichiers contenant des mots de passe sur un système Unix.
Règle Recherche de fichiers de mot de passe à l'aide de la chaîne de sélection (Windows) Se déclenche lorsqu'une recherche est effectuée sur la chaîne password à l'aide de la commande Select-String PowerShell . Ce comportement peut indiquer qu'un acteur malveillant recherche des fichiers contenant des mots de passe.
Règle SharpHound PowerShell détecté Se déclenche lorsqu'un script SharpHound PowerShell est exécuté. La fonction principale utilisée dans le script s'appelle invoke-BloodHound.
Règle Quantité suspecte de fichiers supprimés sur la même machine Se déclenche lorsqu'un nombre suspect de fichiers est supprimé d'un grand nombre de dossiers différents. Cela peut indiquer une tentative d'interruption des services ou de masquage des traces d'une attaque.
Règle Quantité suspecte de fichiers renommés sur la même machine (Windows) Se déclenche lorsqu'un nombre suspect de fichiers sont renommés à partir de PowerShell. Cela peut indiquer la présence d'un ransomware, qui chiffre et renomme généralement les fichiers dans le cadre de leur processus.
Règle Quantité suspecte de fichiers renommés / déstockés sur la même machine (Unix) Se déclenche lorsqu'un nombre suspect de fichiers est renommé à l'aide de la commande mv . Cela peut indiquer la présence d'un ransomware, qui chiffre et renomme généralement les fichiers dans le cadre de leur processus.

Le tableau suivant présente les données de référence dans IBM Security QRadar Endpoint

Tableau 26. Données de référence dans IBM Security QRadar Endpoint
Type Nom Descriptif
Ensemble de référence BadRabbit_FileHash Répertorie les hachages de fichier associés au rançongiciel BadRabbit .
Ensemble de référence BadRabbit_FileName Répertorie les noms de fichier associés au ransomware BadRabbit .
Ensemble de référence BadRabbit_Hostname Répertorie les noms d'hôte associés au ransomware BadRabbit .
Ensemble de référence BadRabbit_IP Répertorie les adresses IP associées au ransomware BadRabbit .
Ensemble de référence Nom_fichier_type Liste des noms de fichiers associés au ransomware Petya/NotPetya.
Ensemble de référence Petya_FileHash Liste des hachages de fichiers associés au ransomware Petya/NotPetya.
Ensemble de référence Petya_HostName Liste des noms d'hôtes associés au ransomware Petya/NotPetya.
Ensemble de référence Petya_IP Liste des adresses IP associées au ransomware Petya/NotPetya.
Ensemble de référence WCry_FileHash Répertorie les hachages de fichier associés au ransomware WannaCry .
Ensemble de référence WCry_FileName Répertorie les noms de fichier associés au ransomware WannaCry .
Ensemble de référence WCry_HostName Répertorie les noms d'hôte associés au ransomware WannaCry .
Ensemble de référence WCry_IP Répertorie les adresses IP associées au ransomware WannaCry .

Le tableau suivant présente les recherches sauvegardées dans IBM Security QRadar Endpoint

Tableau 27. Recherches sauvegardées dans IBM Security QRadar Endpoint
Nom Descriptif
BadRabbit Événement "DestinationIP" 24 dernières heures Affiche les événements avec une adresse IP de destination BadRabbit connue.
BadRabbit Événement "FileHash" 24 dernières heures Affiche les événements avec un hachage de fichier BadRabbit connu.
BadRabbit Evénement "Nom d'hôte" Dernières 24 heures Affiche les événements avec un nom d'hôte BadRabbit connu.
BadRabbit Événement "SourceIP"Dernières 24 heures Affiche les événements avec une adresse IP source BadRabbit connue.
BadRabbit Flux "DestinationIP" 24 dernières heures Affiche les flux avec une adresse IP de destination BadRabbit connue.
BadRabbit Flux "SourceIP" 24 dernières heures Affiche les flux avec une adresse IP source BadRabbit connue.
Trafic UDP sortant Affiche les flux sortants qui utilisent UDP.
Petya/NotPetya Événement "DestinationIP"Dernières 24 heures Affiche les événements dont l'adresse IP de destination Petya/NotPetya est connue.
Petya/NotPetya Événement "Fichier Hash" 24 dernières heures Affiche les événements dont le hachage du fichier Petya/NotPetya est connu.
Petya/NotPetya Événement "SourceIP"Dernières 24 heures Affiche les événements dont l'adresse IP source Petya/NotPetya est connue.
Petya/NotPetya Flux "DestinationIP" 24 dernières heures Affiche les flux dont l'adresse IP de destination Petya/NotPetya est connue.
Petya/NotPetya Flux "SourceIP" 24 dernières heures Affiche les flux dont l'adresse IP source Petya/NotPetya est connue.
Petya/NotPetya Flux des dernières 24 heures Affiche les flux associés à Petya/NotPetya.
Ransomware potentiel (activité suspecte, Petya possible, NotPetya) Affiche les flux avec des contenus suspects qui sont associés à Ransomware.
WannaCry Events "Nom d'hôte de destination" Last 24 Hours Affiche les événements avec un nom d'hôte de destination WannaCry connu.
WannaCry Événements "DestinationIP"Dernières 24 heures Affiche les événements avec une adresse IP de destination WannaCry connue.
WannaCry Evénements "Hachage de fichier" au cours des dernières 24 heures Affiche les événements avec un hachage de fichier WannaCry connu.
WannaCry Evénements "Nom d'hôte" Dernières 24 heures Affiche les événements avec un nom d'hôte WannaCry connu
WannaCry Events "Source Host Name" Les dernières 24 heures Affiche les événements avec un nom d'hôte de source WannaCry connu.
WannaCry Événements "SourceIP"Dernières 24 heures Affiche les événements avec une adresse IP source WannaCry connue.
Événements WannaCryURL " des dernières 24 heures Affiche les événements dont l' URL WannaCry est connue.
WannaCry Flux des dernières 24 heures Affiche les flux associés à WannaCry.

(Haut de la page)

IBM Security QRadar Noeud final 1.0.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar Endpoint Content Extension 1.0.0.

Tableau 28. Propriétés personnalisées dans IBM Security QRadar Endpoint Content Extension 1.0.0
Nom optimisé Trouvé dans
Application Oui Linux
Architecture Oui Linux
ID contrôle Oui Linux
Type d'appel Oui Linux
Arguments de commande Oui Linux
Répertoire des fichiers codés Oui Linux
Nom de fichier codé Oui Linux
Répertoire de fichiers Oui
Extension de fichier Oui
Autorisations d'accès aux fichiers Oui
filename Oui
Nom de groupe Oui
ID de machine Oui
Hachage MD5 Non
Nom du processus parent Oui
Ligne de commande du processus Oui
Nom du processus Oui
Chemin d'accès au processus Oui
Numéro d'enregistrement Non Linux
Clé de registre Oui Microsoft Windows
Données de valeur de registre Oui Microsoft Windows
Nom de la règle Oui Microsoft Windows
Hachage SHA256 Oui
Nom d'utilisateur cible Oui
Type d'élévation de jeton Oui Microsoft Windows
UrlHost Oui
ID utilisateur Oui

Le tableau suivant présente les règles et les blocs de construction d' IBM Security QRadar Endpoint 1.0.0.

Tableau 29. Règles et blocs de construction dans IBM Security QRadar Endpoint 1.0.0
Type Nom Descriptif
Bloc de construction BB:BehaviorDefinition: Ajout de privilèges d'administrateur (Unix) Détecte les privilèges d'administrateur ajoutés aux utilisateurs standard. Un adversaire peut augmenter ses privilèges pour d'autres attaques.
Bloc de construction BB:BehaviorDefinition: Privilèges d'administrateur ajoutés (Windows) Détecte les privilèges d'administrateur ajoutés aux utilisateurs standard. Un adversaire peut augmenter ses privilèges pour d'autres attaques.
Bloc de construction BB:BehaviorDefinition: Privilèges d'administrateur supprimés (Windows) Détecte les droits supprimés d'un groupe de superutilisateurs. Un adversaire peut supprimer des privilèges élevés pour empêcher les actions d'atténuation des administrateurs.
Bloc de construction BB:BehaviorDefinition: Détournement du modèle de l'objet composant Détecte les activités de détournement de modèle d'objet de composant (COM). Surveille les détails du registre qui peuvent être modifiés pour charger un processus différent. Par exemple, l'invite de commande a été modifiée pour exécuter un fichier .exe malveillant à la place, suivi d'une création de processus.
Bloc de construction BB:BehaviorDefinition: Règles de détournement du modèle d'objet composant Détecte l'activité de détournement de modèle d'objet de composant (COM) en surveillant les modifications de registre sur le gestionnaire d'infobulle Windows, les clés qui contiennent l'application pour établir une conversation DDE (Dynamic Data Exchange) et les clés qui contiennent le chemin d'une bibliothèque DLL (Dynamic Link Library).
Bloc de construction BB:BehaviorDefinition:Informations sur le processus des outils de sécurité critiques Détecte lorsqu'un message d'audit enregistre des informations sur un outil de sécurité critique en réponse à un PID ciblé par un autre signal.
Bloc de construction BB:BehaviorDefinition: Télécharger les utilitaires dans Événements Détecte lorsqu'un utilitaire de téléchargement est utilisé sur un noeud final, tel que ftp, sftp, curl, cuteftp, wget, certutil, bits ou nc.
Bloc de construction BB:BehaviorDefinition: Découverte du groupe ou du compte Correspond lorsqu'une action de reconnaissance de groupe ou de compte est effectuée.
Bloc de construction BB:BehaviorDefinition: Fichier ou dossier caché créé Se déclenche lorsqu'un fichier ou dossier masqué est créé. Un fichier ou un dossier masqué peut prendre trois formes:
  • Commencer par un point
  • Commencer par un point et contenir un espace
  • Droits basés sur (par exemple -rwx ------)
Bloc de construction BB:BehaviorDefinition: Découverte de la politique de mot de passe (Unix) Détecte lorsqu'une action de reconnaissance des règles sur les mots de passe est effectuée. Par défaut, ce bloc de construction surveille les fichiers suivants:
  • /etc/login.defs
  • /etc/pam.d/common-password
  • /etc/pam.d/system-auth
  • /etc/security/pwquality.conf
Bloc de construction BB:BehaviorDefinition: Découverte de la politique des mots de passe (Windows) Détecte lorsqu'une action de reconnaissance des règles sur les mots de passe est effectuée.
Bloc de construction BB:BehaviorDefinition: PowerShell Activité de téléchargement de fichiers Détecte si PowerShell est utilisé pour télécharger des fichiers.
Bloc de construction BB:BehaviorDefinition: Processus tué Se déclenche lorsqu'un processus Linux est arrêté à l'aide de l'appel système kill .
Bloc de construction BB:BehaviorDefinition: Administration régulière des points finaux Définit une activité d'administration régulière, telle que la gestion des utilisateurs, le téléchargement de fichiers en ligne de commande, l'exécution avec des privilèges élevés.
Bloc de construction BB:BehaviorDefinition: Exécuter en tant que superutilisateur ou autre utilisateur (Unix) Détecte les programmes exécutés en tant que superutilisateur ou autre utilisateur.
Bloc de construction BB:BehaviorDefinition: Exécuter en tant que superutilisateur ou autre utilisateur (Windows) Détecte les programmes exécutés en tant qu'administrateur ou par un autre utilisateur.
Bloc de construction BB:BehaviorDefinition:Activités suspectes des points finaux Définit les activités de noeud final suspectes.
Bloc de construction BB:BehaviorDefinition: Compte d'utilisateur ajouté (Unix) Détecte la création d'un compte utilisateur.
Bloc de construction BB:BehaviorDefinition: Compte d'utilisateur ajouté (Windows) Détecte lorsqu'un compte d'utilisateur ou de groupe est créé.
Bloc de construction BB:BehaviorDefinition: Compte d'utilisateur supprimé (Unix) Détecte lorsqu'un compte utilisateur est supprimé.
Bloc de construction BB:BehaviorDefinition: Compte d'utilisateur supprimé (Windows) Détecte lorsqu'un compte d'utilisateur ou de groupe est supprimé.
Bloc de construction BB:CategoryDefinition: Décodage de fichiers par un utilitaire Détecte lorsqu'un utilitaire est utilisé pour décoder des fichiers.
Bloc de construction BB:CategoryDefinition: Permission de fichier modifiée Détecte lorsqu'une commande a été exécutée pour modifier les droits affectés à un fichier.
Bloc de construction BB:CategoryDefinition: Fichiers avec permissions sensibles Définit les fichiers pour lesquels les droits ne doivent pas être modifiés. Cela peut révéler le comportement d'un agresseur informatique qui tente d'empêcher un fonctionnement normal. Par défaut, ce bloc de construction surveille les fichiers suivants:
  • /boot/
  • /etc/pam.d/
  • /etc/shadow
  • /etc/passwd
  • /etc/rsyslog/
  • /etc/openldap/
  • /etc/sysconfig/syslog
  • /etc/syslog.conf
  • /etc/sysconfig/network-scripts/
  • /etc/default/ufw
  • /etc/sudoers
Bloc de construction BB:DeviceDefinition: Système d'exploitation Définit tous les systèmes d'exploitation du système.
Règle Communication avec un hôte d'hôte potentiel Détecte la communication avec un hôte potentiellement hostile, catégorisé par X-force ou dans la collection de l'ensemble de référence.
Règle Communication avec une adresse IP d'hôte potentielle Détecte la communication avec une adresse IP potentiellement hostile, catégorisée par X-force ou dans la collection de l'ensemble de référence.
Règle Activités de vidage des données d'identification découvertes Se déclenche lorsque des activités de vidage des données d'identification sont détectées dans le registre Windows. Les adversaires peuvent interroger le registre à la recherche de données d'identification et de mots de passe qui ont été stockés pour être utilisés par d'autres programmes ou services et exploiter ces données d'identification. Les activités de vidage des données d'identification comprennent, sans s'y limiter:
  • Recherche dans le registre des mots de passe pouvant être utilisés par le système ou d'autres programmes
  • Vidage de hachage à l'aide du gestionnaire de comptes de sécurité (SAM)
  • modifier le registre WDigest pour permettre le stockage des mots de passe en texte en clair.

Les conditions de filtre AQL ci-dessous indiquent trois méthodes de vidage des données d'identification qui sont implémentées dans cette règle. Chaque méthode peut être implémentée séparément à l'aide de ces filtres AQL à des fins d'optimisation.

  1. Un adversaire peut rechercher des ruches de registre en recherchant des valeurs de mot de passe : lorsque l'événement correspond à LOWER("Process CommandLine") MATCHES 'reg\s+query.*password.*' Requête de filtre AQL.
  2. Les ruches du registre peuvent être vidées et exfiltrées par un adversaire à des fins malveillantes. Il s'agit d'une indication de vidage d'informations d'identification via le gestionnaire de comptes de sécurité (SAM) : lorsque l'événement correspond à LOWER("Process CommandLine") MATCHES 'reg.*save.*(sam|system|security)' AQL filter query.
  3. Cette modification de clé de registre force wdigest à stocker les données d'identification en texte en clair la prochaine fois que quelqu'un se connecte à ce système: lorsque l'événement correspond à LOWER (" Process CommandLine) MATCHES'reg\s + (add|query). * uselogoncredential. *' Requête de filtre AQL lorsque l'événement correspond à LOWER ("Registry Key") MATCHES '\\system \\ (controlset001|controlset002|currentcontrolset). * wdigest'Requête de filtre AQL.
Règle Droits d'accès aux fichiers critiques modifiés (Unix) Se déclenche lorsque les droits d'accès aux fichiers ou répertoires critiques sont modifiés. Un agresseur peut modifier les droits d'accès d'un fichier sensible pour devenir le seul utilisateur à pouvoir y accéder et procéder à la dégradation, à la destruction des données ou à la désactivation des outils de sécurité.
Note: Modifiez le BB:CategoryDefinition: Files with Sensitive Permissions avec les fichiers ou les répertoires à surveiller. Ces emplacements doivent être liés à l'amorçage, à la sauvegarde, à la consignation ou aux données d'identification, qui ont une gravité plus élevée lorsqu'ils sont exploités.
Règle Outil de sécurité critique arrêté (Unix) Détecte lorsqu'un processus de sécurité critique a été arrêté. Un adversaire peut désactiver les outils de sécurité pour éviter la détection.
Remarque: les blocs de construction inclus dans cette règle utilisent l'ensemble de référence Critical Security Tool Processes . L'ensemble de références Critical Security Tool Processes a été prérempli avec des noms de processus d'outil de sécurité communs. Optimisez l'ensemble de référence avec n'importe quel outil utilisé par l'organisation.
Règle Outil de sécurité critique arrêté Se déclenche lorsque les droits d'accès aux fichiers ou répertoires critiques sont modifiés. Un agresseur peut modifier les droits d'accès d'un fichier sensible pour devenir le seul utilisateur à pouvoir y accéder et procéder à la dégradation, à la destruction des données ou à la désactivation des outils de sécurité.
Remarque: L'ensemble de références Critical Security Tool Processes a été prérempli avec des noms de processus d'outil de sécurité communs. Optimisez l'ensemble de référence avec n'importe quel outil utilisé par l'organisation.
Règle Détection de l'indicateur de compromission malveillant Détecte lorsqu'un indicateur de compromission est catégorisé comme malveillant dans une collection d'ensembles de référence.
Règle Fichier créé avec remplacement de droite à gauche Se déclenche lorsque le caractère Remplacement de droite à gauche (U+202E) est détecté dans le nom d'un fichier créé. Dans certains systèmes d'exploitation, l'interface graphique traite ce caractère en inversant l'ordre d'affichage des parties du nom de fichier.
Règle Fichier créé avec l'espace après le nom de fichier Se déclenche lorsque le dernier caractère d'un nom de fichier est un espace. Cela force le système d'exploitation à déterminer le type du fichier et à l'exécuter en conséquence, même s'il semble y avoir une extension de fichier valide. Par exemple, un script de shell nommé info.txt s'ouvre en tant que fichier texte, tandis que info.txt (notez l'espace après le nom) s'ouvre avec le programme par défaut qui gère les scripts de shell.
Règle Décodage ou téléchargement de fichier suivi d'une activité suspecte Se déclenche lorsque des utilitaires tels que certutil sont utilisés pour décoder un fichier. Cela peut indiquer qu'un utilisateur malveillant a téléchargé un fichier codé et qu'il a décodé le fichier pour échapper à la sécurité.
Règle Détournement de modèle d'objet de composant potentiel (COM) Détecte les activités de détournement de modèle d'objet de composant (COM) potentiel. Un attaquant peut exécuter du code malveillant en détournant des références COM légitimes.
Règle Détournement potentiel de DLL Se déclenche lorsqu'un fichier de bibliothèque de liens dynamiques (DLL) est créé ou téléchargé et chargé par une application. Cela peut indiquer un détournement d'ordre de recherche DLL.
Remarque: Exclure les processus à surveiller pour réduire les faux positifs.
Règle Erasage d'application malveillante potentielle Détecte l'activité de rasage d'application en surveillant les modifications du registre. Les agresseurs peuvent utiliser des fonctionnalités de rétrocompatibilité pour effectuer une escalade des privilèges, installer des portes dérobées, etc. Les bases de données personnalisées se trouvent aux emplacements suivants:
  • %WINDIR%\AppPatch\Custom
  • %WINDIR%\AppPatch\CustomSDB
  • %WINDIR%\AppPatch\AppPatch64\Custom
Remarque: l'ensemble de références Shims Allowlist est rempli avec les cales par défaut installées par le programme d'installation Windows par défaut. Optimisez cet ensemble de référence avec n'importe quel Shim personnalisé.
Règle Masquage de processus (Unix) Se déclenche lorsqu'un processus s'exécute à partir d'un répertoire à partir duquel il n'est pas censé s'exécuter. Un attaquant peut se faire passer pour un processus légitime afin d'éviter la détection, et ainsi exécuter des commandes malveillantes à partir du processus non légitime.
Remarque: Optimisez cette règle pour inclure ou exclure n'importe quel répertoire.
Règle Masquage de processus (Windows) Se déclenche lorsqu'un processus sensible s'exécute à partir d'un répertoire non légitime. Un attaquant peut se faire passer pour un processus légitime afin d'éviter la détection, et ainsi exécuter des commandes malveillantes à partir du processus non légitime.
Remarque: l'ensemble de références Noms de processus sensibles est rempli avec des processus sensibles connus. Optimisez cet ensemble de références avec les processus à surveiller. Le groupe de mappes de référence Noms de processus et répertoires de processus par défaut a été prérempli avec des noms de processus et des répertoires sensibles. Optimisez ces données de référence avec l'emplacement par défaut des processus sensibles.
Règle Environnement de programmation généré par un processus suspect Se déclenche lorsqu'un environnement de programmation est généré par un processus suspect. Cela peut indiquer qu'un agresseur tente d'exécuter un script malveillant.
Règle Le processus bloqué recommandé est en cours d'exécution Détecte un processus de bloc recommandé en cours d'exécution dans le système. Microsoft Windows liste les règles de blocage recommandées pour désactiver les applications qui peuvent potentiellement être exploitées par un attaquant et contourner le contrôle des applications de Windows Defender.
Remarque: L'ensemble de références Processus bloqués recommandés est prérempli avec les applications couramment exploitées de Microsoft. Optimisez l'ensemble de référence avec n'importe quel processus de noeud final pour répondre aux besoins de l'entreprise.
Règle Activité suspecte suivie d'une tâche d'administration de noeud final Détecte que des tâches d'administration normales (téléchargement d'un fichier, mise à jour des droits d'utilisateur, exécution en tant qu'un autre utilisateur, etc.) sont effectuées après la détection d'une activité suspecte sur la même machine.
Règle Création de compte utilisateur suivie de la suppression de compte Se déclenche lorsqu'un utilisateur est créé et supprimé dans un bref délai. Cela peut indiquer qu'un agresseur ou un logiciel malveillant tente de masquer ou d'échapper à la détection en utilisant des comptes utilisateur différents ou de larguer une bombe sur le système.

Le tableau suivant présente les données de référence dans IBM Security QRadar Endpoint 1.0.0.

Tableau 30. Données de référence dans IBM Security QRadar Endpoint 1.0.0
Type Nom Descriptif
Mappe de référence d'ensembles Noms de processus et répertoires de processus par défaut Cette mappe de référence des ensembles répertorie les processus sensibles et leurs répertoires.
Données de référence importateurs_impulsion Fait partie du tableau de bord Pulse.
Ensemble de référence Adresses IP de l'anonymiseur Répertorie les adresses IP de l'anonymiseur identifiées.
Ensemble de référence Adresses IP C & C de botnet Répertorie les adresses IP de serveur de contrôle et de commande de botnet identifiées.
Ensemble de référence Adresses IP de réseau de zombies Répertorie les adresses IP de botnet identifiées.
Ensemble de référence Processus critiques de l'outil de sécurité Répertorie les outils de sécurité critiques.
Ensemble de référence URL malveillantes Répertorie les URL malveillantes identifiées.
Ensemble de référence Malware Hashes MD5 Répertorie les hachages de logiciels malveillants md5 identifiés.
Ensemble de référence Malware Hashes SHA Répertorie les hachages de logiciels malveillants sha256 identifiés.
Ensemble de référence Adresses IP de logiciel malveillant Répertorie les adresses IP de logiciel malveillant identifiées.
Ensemble de référence URL de logiciels malveillants Répertorie les URL de logiciels malveillants identifiées.
Ensemble de référence Adresses IP de hameçonnage Répertorie les adresses IP de hameçonnage identifiées.
Ensemble de référence URL de hameçonnage Répertorie les URL de hameçonnage identifiées.
Ensemble de référence Processus bloqués recommandés Répertorie les processus dont le blocage est recommandé.
Ensemble de référence Noms de processus sensibles Répertorie les processus sensibles.
Ensemble de référence Liste autorisée de cales Répertorie le registre d'ébasage des applications.

(Haut de la page)