Sysmon: PowerShell

Sysmon est un service système Microsoft Windows et un pilote de périphérique qui surveille l'activité du système et consigne les événements dans le journal des événements Windows. Vous pouvez transmettre les journaux des événements Windows à QRadar® et les analyser pour détecter les menaces avancées sur les noeuds finaux Windows.

Le scénario d'utilisation Sysmon montre comment QRadar détecte les comportements suspects lorsqu'un utilisateur télécharge un fichier joint et l'exécute sur un poste de travail Windows.

Lorsqu'un utilisateur clique sur le fichier téléchargé, le fichier démarre un interpréteur de commandes qui exécute un script PowerShell téléchargeant et exécutant un fichier à partir d'un emplacement externe, ce qui compromet l'ordinateur de l'utilisateur. L'attaquant fait en sorte que ses privilèges deviennent des droits d'accès de niveau système puis télécharge les noms d'utilisateur et les mots de passe du réseau. En se connectant à des ordinateurs homologues, l'attaquant peut se déplacer latéralement et exécuter des scripts PowerShell afin de lancer des processus sur plusieurs ordinateurs du réseau.

Pour plus de contenu QRadar prenant en charge le cas d'utilisation Sysmon: PowerShell , téléchargez IBM® QRadar Content Extension for Sysmon. Le pack de contenu inclut des règles, des blocs de construction, des ensembles de référence et des fonctions personnalisées qui peuvent être utilisées pour détecter les menaces avancées, telles que les abus PowerShell , les processus Windows masqués et les attaques de mémoire sans fichier.

Simulation de la menace

Pour exécuter la simulation dans QRadar, procédez comme suit:
  1. Dans l'onglet Activité du journal , cliquez sur Afficher Experience Center.
  2. Cliquez sur Simulateur de menaces.
  3. Localisez la simulation Sysmon: PowerShell et cliquez sur Exécuter.
Dans l'onglet Activité du journal , vous pouvez voir les événements entrants suivants qui sont utilisés pour simuler le cas d'utilisation:
Tableau 1. Evénements entrants pour le cas d'utilisation Sysmon: PowerShell
Contenu Descriptif
Evénements Création de processus

FileCreate

Un service a été installé dans un système

CreateRemoteThread
Sources de journal Experience Center : WindowsAuthServer @ EC : <machine_name>

Experience Center : WindowsAuthServer @ EC : <user_name>

Les événements s'exécutent dans une boucle et le même cas d'utilisation se répète plusieurs fois. Pour arrêter la simulation, cliquez sur Arrêter dans l'onglet Simulateur de menaces .

Détection de la menace : QRadar en action

Le composant CRE (Custom Rules Engine) d' QRadar est responsable du traitement des événements et des flux entrants. Il compare les événements et les flux par rapport à un ensemble de tests, également appelés règles. Les règles créent des infractions lorsque certaines conditions sont détectées. Il effectue également le suivi des tests de règle et du nombre d'incidents.

Cependant, savoir qu'une infraction s'est produite n'est que la première étape. QRadar vous permet d'effectuer plus facilement une analyse approfondie et d'identifier comment cela s'est produit, où cela s'est produit et qui l'a fait. Lorsque l'infraction est indexée, tous les événements ayant le même nom de menace s'affichent sous la forme d'une seule infraction.

Examen de la menace

Pour afficher la liste du contenu QRadar qui contribue à cette simulation, y compris les règles, les recherches sauvegardées, les infractions et les ensembles de référence, procédez comme suit:
  1. Ouvrez l'application IBM QRadar Experience Center .
  2. Dans la fenêtre Threat simulator, cliquez sur le lien Read More pour la simulation puis sélectionnez le type de contenu à examiner.

    Vous pouvez également, à partir de l'onglet Activité du journal , exécuter la recherche rapide appelée Evénements EC: Sysmon pour afficher tous les événements associés à l'infraction.