Sysmon

La IBM Security QRadar Sysmon Content Extension rileva le minacce avanzate sugli endpoint Windows utilizzando i registri Sysmon.

Il servizio Sysmon Sysinternals aggiunge diversi ID evento ai sistemi Windows. Questi nuovi ID evento vengono utilizzati dagli amministratori di sistema per monitorare i processi di sistema, l'attività di rete e i file. Sysmon fornisce una vista più dettagliata rispetto ai log di sicurezza di Windows. Per ulteriori informazioni su Sysmon, consultare Secure Your Endpoints with QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).

Questa estensione del contenuto fornisce diversi casi di utilizzo per rilevare minacce avanzate, come l'abuso di PowerShell , i processi nascosti di Windows, gli attacchi di memoria senza file, l'offuscamento del codice e molti altri. Questa estensione del contenuto include nuove regole di offensive, blocchi di creazione, serie di riferimento e funzioni personalizzate che consentono di individuare tali minacce.

Nota: aggiornare Microsoft Windows DSM all'ultima versione prima di installare IBM QRadar Sysmon Content Extension.

Per ulteriori informazioni sui casi di utilizzo coperti da questa estensione del contenuto, consultare i seguenti video:

Questo pacchetto su Fix Central include solo < MONTH> < YEAR> aggiornamenti di sicurezza del dispositivo virtuale e pacchetti facoltativi, l'installazione di questa release non aggiornerà l'host app e la versione dell'host app non cambierà. Utilizzare l'host app < VERSION> per l'installazione o gli aggiornamenti dell'host app.

Titolo video	Collegamento video
Caso di utilizzo 1 Sysmon PowerShell	https://youtu.be/PWiw-RpLIbw
Caso di utilizzo 2 Sysmon PowerShell	https://youtu.be/_eaMMo8sPtA
Caso di utilizzo 3 Sysmon PowerShell	https://youtu.be/sZUAuYpSe7Q
Processi Windows del caso di utilizzo Sysmon 4 Bogus	https://youtu.be/gAS-B9gb3RY
Caso di utilizzo Sysmon 5 - Rilevazione di altre librerie	https://youtu.be/omWnyACNEcM
Sysmon Use Case 6 Nasty Injection & Encoded Attacchi	https://youtu.be/kC2hIJxqF8Q
Caso d'uso di rilevamento escalation dei privilegi QRadar 7	https://www.youtube.com/watch?v=yitGRL-WJCM
Caso d'uso continuato di escalation dei privilegi QRadar 8	https://www.youtube.com/watch?v=8u6G6SEw3kE
Caso di utilizzo Sysmon 9 - Più rilevamento escalation dei privilegi	https://www.youtube.com/watch?v=0Wy59Otr_Ag
Caso di utilizzo Sysmon 10 - Creazione di un account admin	https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon sta rilevando l'impersonificazione di Name Pipe	https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon sta rilevando Mimikatz	https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar Rilevamento movimento laterale, Esempio 1	https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar Esempio 2 di rilevamento movimento laterale	https://www.youtube.com/watch?v=whjpScDYaY4
QRadar Esempio di rilevamento movimento laterale tre (funzioni Windows semplici)	https://www.youtube.com/watch?v=7PXzi3pbmFo

Importante per evitare errori di contenuto in questa estensione di contenuto, tenere aggiornati i DSM associati. I DSM vengono aggiornati come parte degli aggiornamenti automatici. Se gli aggiornamenti automatici non sono abilitati, scaricare la versione più recente dei DSM associati da IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Sicurezza QRadar Sysmon

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.3.2
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.3.1
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.3.0
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.2.1
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.2.0
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.1.3
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.1.2
IBM Sicurezza QRadar Estensione del contenuto 1.1.1
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.1.0
IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.0.0

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.3.2

La tabella seguente mostra le proprietà personalizzate, le regole e i blocchi di costruzione rinominati in IBM Security QRadar Sysmon Content Extension 1.3.2.

Tabella 1. Proprietà personalizzate, regole, blocchi di costruzione, ricerche salvate e dati di riferimento rinominati in IBM Security QRadar Sysmon Content Extension 1.3.2
Nome precedente	Nuovo nome
ServiceFileName	Nome del file di servizio
ParentCommandLine	Comando genitore
TargetImage	Percorso del processo target
Riga comandi processo	Comando
StartModule	Modulo di avvio
RunLevel	Livello di esecuzione
Comando codificato PS	Comando codificato
Nome immagine di destinazione	Nome del processo di destinazione
Guida al processo	GUID del processo
PipeName	Nome pipe
StartFunction	Funzione di avvio

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.3.1

La seguente tabella mostra le proprietà personalizzate aggiornate in IBM Security QRadar Sysmon Content Extension 1.3.1.

Tabella 2. Proprietà personalizzate aggiornate in IBM Security QRadar Sysmon Content Extension 1.3.1
Nome	Descrizione
Image	L'espressione `"\bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s"` è ora `"\bImage:\s.?\\([\\]?)\s(?:FileVersion\|CommandLine):\s"`

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.3.0

La regola personalizzata Rilevata un'attività pianificata su più host ha ricevuto un aggiornamento al suo filtro di regola. Questo aggiornamento è una modifica funzionale per garantire che, se vengono eseguiti più comandi, ognuno ottenga la propria offensiva.

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.2.1

La seguente tabella mostra le proprietà personalizzate aggiornate in IBM Security QRadar Sysmon Content Extension 1.2.1.

Tabella 3. Proprietà personalizzate aggiornate in IBM Security QRadar Sysmon Content Extension 1.2.1
Nome	Descrizione
Image	L'espressione `New Process Name:\s(.?)Token Elevation Type\:` è ora `New Process Name[:\s\\=](.*?)\s+(?:Token Elevation Type)`
ShareName	L'espressione `Share\sName\:\s(?:\\\\\\\)(.)\s\sShare\sPath` è ora `Share\sName\:\s(?:\\\\\\\)(.?)\s+Share\sPath`

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.2.0

La seguente tabella mostra le proprietà personalizzate in IBM Security QRadar Sysmon Content Extension 1.2.0.

Tabella 4. Proprietà personalizzate in IBM Security QRadar Sysmon Content Extension 1.2.0
Nome	Descrizione
Image	L'espressione SourceImage\:\s(.)\sTargetProcessGuid è ora SourceImage\:\s(.?)\sTargetProcessGuid L'espressione Image:\s(.)\sUser\: è ora Image:\s(.?)\sUser\: L'espressione Image:\s(.?)\s(FileVersion\|CommandLine): è ora \bImage:\s(.?)\s(?:FileVersion\|CommandLine): L'espressione New\sProcess\sName:\s(.)\s{2}Token\sElevation\sType\: è ora New Process Name:\s(.?)Token Elevation Type\: L'espressione SourceImage\:\s(.)\sTargetProcessG è ora SourceImage\:\s.?\([^\\]?)\sTargetProcessG Le seguenti espressioni sono disabilitate: Immagine:\s(.)\sImageLoaded Immagine:\s(.)\sTargetFilename\: Immagine \:\s (. ) Immagine:\\s(.)\sDevice: Immagine:\\s(.)\sTargetObject Process\sName\:\s(.?)\sAccess\sRequest
ImageName	L'espressione Image:\s(?:.\\\)?(.?)\s(?:FileVersion\|CommandLine):\s è ora \bImage:\s.?\([^\]?)(?:FileVersion\|CommandLine):\s L'espressione Image:\s(?:.)?(.)\sImageLoaded è ora Image:.?\\\([^\\]?)\sImageLoaded L'espressione Image:\s(?:.)?(.)\sTargetFilename\: è ora Image:.?\\([^\\]?)\sTargetFilename L'espressione Image:\s(?:.)?(.)\sUser\: è ora Image:\s.?\\\([^\\]?)\sUser\: L'espressione Image\:\s(?:.\\\)?(.)\sTargetObject è ora Image\:\s.?\\([^\\]?)\sTargetObject L'espressione SourceImage\:\s(?:.\\\)?(.)\sTargetProcessGuid ora è SourceImage\:\s.?\([^\\]?)\sTargetProcessGuid L'espressione New\sProcess\sName:\s(?:.\\)?(.)\s{2}Token\sElevation\sType\: è ora New Process Name:\s.?\\([^\]?)Token Elevation Type\: Le seguenti espressioni sono disabilitate: Immagine: \s (?:. \\) ?(. ) Immagine \:\s (?:. \\) ?(. ) Image\:\s(?:.)?(.)\sTargetObject Image\:\s(?:.)(.)\sDevice: Process\sName\:\s(?:.\\)?(.?)\sAccess\sRequest SourceImage\:\s(?:.\\)?(.*)\sTargetProcessG
Riga comandi processo	L'espressione Linea di comando del processo:\s(.)\sToken Tipo di elevazione è ora Linea di comando del processo[:\s\=]+(.?)\s*(?:Tipo di elevazione Token)
ServiceName	L'espressione Nome del servizio\:\s(.)\sService\sFile è ora (?i)Nome del servizio[\:\s=\\\](.?)\s+(?:Nome del file del servizio:\|&&)
SourceImage	Questa proprietà personalizzata viene rimossa dall'estensione del contenuto.

La seguente tabella mostra le regole aggiornate in IBM Security QRadar Sysmon Content Extension 1.2.0.

Tabella 5. Regole aggiornate in IBM Security QRadar Sysmon Content Extension 1.2.0
Nome	Descrizione
Creazione di thread da un processo avviato da una cartella condivisa	Ora utilizza la proprietà personalizzata Immagine invece della proprietà personalizzata SourceImage .

Le regole e i blocchi di costruzione seguenti vengono rimossi in IBM Security QRadar Sysmon Content Extension 1.2.0 perché sono duplicati delle regole dell'estensione IBM Security QRadar Endpoint content.

BB:BehaviorDefinition: Quota amministrativa accessibile
Dump delle credenziali utilizzando la chiave di registro SAM
Utilizzo non nocivo del comando codificato in un ambiente di programmazione
Ignora UAC senza file utilizzando Fodhelper
Ignora UAC senza file utilizzando sdclt
Ignora UAC senza file mediante Visualizzatore eventi di Windows
Processo avviato da un processo insolito
Ambiente di programmazione avviato con un account privilegiato
Servizio configurato per utilizzare Powershell
Utilizzo del modulo PSExec sospetto rilevato

La regola Utilizzo del modulo PSExec sospetto rilevato veniva chiamata Utilizzo del modulo PSExec Metasploit.

La regola Rilevato utilizzo dannoso Powershell è stata rimossa e sostituita da Decodifica file o download seguito da attività sospette nel pacchetto di contenuto dell'endpoint.

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.1.3

La seguente tabella mostra le proprietà personalizzate in IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabella 6. Proprietà personalizzate in IBM Security QRadar Sysmon Content Extension 1.1.3
Nome	Ottimizzato	Gruppo di cattura	Regex
Nome servizio	Sì	1	Nome del servizio: \s(.)\sService\sFile
ServiceFileName	Sì	1	Service\sFile\sName\:\s(.)\sService\sType

La seguente tabella mostra le regole e i blocchi di creazione in IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabella 7. Regole e blocchi di creazione in IBM Security QRadar Sysmon Content Extension 1.1.3
Tipo	Nome	Descrizione
Regola	Download tramite comando codificato avviato	Questa regola viene attivata quando un download di uno script PowerShell viene avviato da un tipo di ambiente di programmazione cmd o Powershell.
Regola	Servizio dannoso installato	Questa regola viene attivata quando è stato installato un servizio classificato come nocivo.
Regola	Utilizzo modulo Metasploit PSExec	Questa regola viene attivata quando viene rilevato un utilizzo del modulo PSExec.
Regola	Processo PSExec osservato su un host promesso	Questa regola viene attivata quando è stato rilevato un processo PsExec su un host compromesso.
Regola	Servizio di gestione remota connesso al pipe lsass	Questa regola si attiva quando un servizio di gestione remoto è connesso al pipe lsass.
Regola	Servizio binario ubicato in una cartella condivisa	Questa regola viene attivata quando un binario di servizio si trova in una cartella condivisa.
Regola	Servizio configurato per utilizzare un pipe	Questa regola si attiva quando un servizio è configurato per utilizzare una pipe.
Regola	Servizio configurato per utilizzare Powershell	Questa regola viene attivata quando un servizio è configurato per utilizzare Powershell.
Regola	Servizio installato su host promesso	Questa regola viene attivata quando un servizio è stato creato su un host compromesso.

La seguente tabella mostra le proprietà personalizzate, le regole e i blocchi di creazione ridenominati in IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabella 8. Proprietà personalizzate, regole, blocchi di generazione, ricerche salvate e dati di riferimento ridenominati in IBM Security QRadar Sysmon Content Extension 1.1.3
Nome precedente	Nuovo nome
È stata aggiunta una condivisione di rete nascosta	Condivisione di rete nascosta aggiunta
Un servizio dannoso è stato installato in un sistema	Servizio dannoso installato
È stato eseguito l'accesso a una condivisione di rete da un host promesso	Accesso alla condivisione di rete da un host promesso
Una condivisione di rete è stata aggiunta in un host promesso	Condivisione di rete aggiunta a un host promesso
È stata creata una pipe seguita da un aggiornamento del percorso binario del servizio per la connessione alla pipe creata	Pipe creata seguita dall'aggiornamento del percorso binario del servizio
Un servizio remoto ha creato un file script Powershell	Script Powershell creato da un servizio di gestione remota
È stata creata un'attività pianificata in un host di promessa	Attività pianificata creata su un host promesso
Un Servizio è stato installato in un Host Compromesso	Servizio installato su host promesso
Elemento principale anomalo per un processo di sistema	Parent insolito per un processo di sistema
È stato eseguito l'accesso ad una condivisione amministrativa	Condivisione amministrativa a cui è stato eseguito l'accesso
A una condivisione amministrativa è stato eseguito l'accesso da una macchina compromessa	Condivisione amministrativa a cui si accede da un host promesso
BB: è stata creata un'attività pianificata	BB:CategoryDefinition: Creazione attività pianificata
BB: è stato eseguito l'accesso ad una condivisione amministrativa	BB:BehaviorDefinition: Quota amministrativa accessibile
BB: CreateRemoteThread Rilevato	BB:CategoryDefinition: Creazione di thread remoti
BB: CreateRemoteThread casi esclusi	BB:BehaviorDefinition: Creazione di thread remoti falsi-positivi
BB: rilevato un processo Powershell	BB:CategoryDefinition: Ambiente di programmazione
BB: rilevata un'attività pianificata basata sull'evento di creazione del processo parte 2	BB:CategoryDefinition:Creazione attività pianificata da un processo
BB: processi Windows normali a cui è stato eseguito l'accesso lsass.exe	BB:CategoryDefinition: Processi autorizzati ad accedere a lsass
BB: il pipe è stato creato	BB:CategoryDefinition: Creazione del tubo
BB: il processo ha creato una connessione di rete	BB:CategoryDefinition: Connessione di rete
BB: PsExec rilevato	BB:BehaviorDefinition: PsExec Processo osservato
BB: il percorso binario del servizio è stato impostato o aggiornato	BB:BehaviorDefinition: Impostazione o aggiornamento del percorso binario del servizio
Processo senza figli avviato / generato un processo	Processo avviato da un processo insolito
Shell dei comandi avviata con privilegi di sistema	Ambiente di programmazione avviato con un account privilegiato
Rilevato un bypass UAC senza file utilizzando Fodhelper	Ignora UAC senza file utilizzando Fodhelper
È stato rilevato un bypass UAC senza file utilizzando sdclt	Ignora UAC senza file utilizzando sdclt
Rilevato un bypass UAC senza file utilizzando il visualizzatore eventi di Windows	Ignora UAC senza file mediante Visualizzatore eventi di Windows
È stato rilevato un processo noto avviato con un nuovo hash non visualizzato	Processo noto avviato con un hash diverso
È stato rilevato un valore lungo nel registro Windows	Dimensione valore inusuale nel registro Windows
È stato rilevato un accesso dannoso al processo lsass	Accesso sospetto al processo lsass
È stato rilevato un accesso nocivo al processo lsass dalla traccia di chiamata sconosciuta	Accesso sospetto al processo lsass dalla traccia chiamata sconosciuta
È stato rilevato un nuovo processo non visto avviato con privilegi utente di sistema	Nuovo processo avviato con un account privilegiato
È stato rilevato un possibile strumento di dump delle credenziali	È stato rilevato un potenziale strumento di dump delle credenziali
È stato rilevato un possibile keylogger	Registratore di tasti potenziale rilevato
Rilevato un processo eseguito in remoto su più host	Esecuzione processo remoto su più host
È stato rilevato un servizio di rimozione connesso al tubo Lsass	Servizio di gestione remota connesso al pipe lsass
Rilevata un'attività pianificata su più host	Attività pianificata creata su più host
È stato rilevato un percorso binario del servizio modificato seguito da un utente o un gruppo aggiunto	Aggiornamento percorso binario del servizio seguito da modifica utente o gruppo
Rilevato un servizio configurato per utilizzare un pipe	Servizio configurato per utilizzare un pipe
Rilevato un servizio configurato per utilizzare Powershell	Servizio configurato per utilizzare Powershell
Rilevato un servizio con un file binario eseguibile ubicato in una cartella condivisa	Servizio binario ubicato in una cartella condivisa
È stato rilevato un processo Svchost sospetto	Processo Svchost sospetto
Elemento principale anomalo rilevato per un processo	Elemento principale insolito per un processo
È stato rilevato un processo sconosciuto / non visto (basato sull'hash del processo)	Hash processo sconosciuto osservato
È stato rilevato un processo sconosciuto / non visto (basato sul nome processo)	Nome processo sconosciuto osservato
È stata rilevata un'esecuzione eccessiva del comando SC	Utilizzo eccessivo del comando SC
Utilizzo eccessivo degli strumenti di sistema rilevato da una singola macchina	Utilizzo eccessivo degli strumenti di sistema da un singolo host
Mimikatz rilevato basato sull'hash IMP	Hash IMMP Mimikatz osservato
Rilevato PsExec con nome processo diverso	PsExec Mascheramento processo
Numero eccessivo di tentativi non riusciti di accesso a una risorsa condivisa di rete da un host condiviso	Errori eccessivi di accesso alla condivisione di rete da un host promesso
Numero eccessivo di tentativi non riusciti di accedere a una condivisione amministrativa da una singola origine	Numero eccessivo di errori di accesso alla condivisione di gestione dallo stesso host
Processo Lsass connesso a un tubo	Processo Lsass connesso a un tubo
Il modulo Metasploit PSExec è stato rilevato	Utilizzo modulo Metasploit PSExec
Possibile Locky Ransomware rilevato basato su rundll32 con argomento qwerty	Rundll32 con utilizzo argomento qwerty
bypass UAC possibile - un'attività pianificata è stata configurata per essere eseguita con i privilegi più elevati	Ignora UAC - Attività pianificata configurata per essere eseguita con privilegi più elevati
Powershell è stato avviato	Processo Powershell osservato
Powershell è stato avviato in un host promesso	Processo Powershell osservato su un host promesso
Utilizzo dannoso Powershell rilevato con comando codificato	Utilizzo non nocivo del comando codificato in un ambiente di programmazione
Powershell Script scaricato con EncodedCommand	Download tramite comando codificato avviato
Baselining processo: hash processo	Baselining processo: hash processo
Baseline processo: Nome processo	Baseline processo: Nome processo
Baselining processo: nome processo da hash	Baselining processo: nome processo da hash
Baselining processo: nome processo per processo parent	Baselining processo: nome processo per processo parent
Baselining processo: processo avviato con privilegi utente di sistema	Baselining processo: processo avviato con privilegi utente di sistema
Il processo ha creato un thread da un processo avviato da una directory temporanea	Creazione di thread da un processo avviato da una directory temporanea
Processo creato un thread in un altro processo	Creazione thread in un processo diverso da quello iniziale
Processo creato un thread nel processo lsass	Creazione di thread nel processo lsass
Processo creato un thread nel processo del sistema	Creazione di thread in un processo di sistema
Processo avviato da una cartella condivisa	Processo avviato da una cartella condivisa
Processo avviato da una cartella condivisa e thread creato in un altro processo	Creazione di thread da un processo avviato da una cartella condivisa
Processo avviato dalla directory temporanea	Processo avviato da una directory temporanea
Eseguibile caricato del processo dalla directory temporanea	Eseguibile caricato dalla directory temporanea
Processo avviato da directory insolite (Recycle.bin, ..)	Processo avviato da directory insolita
PsExec è stato rilevato	ProcessoPsExec osservato
PsExec è stato avviato da un host promesso	PsExec Processo osservato su host promesso
Chiave di registro SAM - Enumera chiavi secondarie (utenti)	Dump delle credenziali utilizzando la chiave di registro SAM
Il percorso binario del servizio è stato aggiornato seguito da un CreateRemoteThread rilevato dallo stesso processo	Aggiornamento del percorso binario del servizio seguito dalla creazione del thread remoto
Il percorso binario del servizio è stato aggiornato seguito da una connessione di rete dallo stesso processo	Aggiornamento percorso binario servizio seguito da connessione di rete
Eliminazione copie shadow rilevata	Eliminazione copie shadow
Processo di sistema avviato da directory insolita	Processo di sistema avviato da directory insolita
Il driver non firmato è stato caricato nel kernel Windows	Driver senza firma caricato nel kernel di Windows
Eseguibile non firmato caricato in lsass.exe	Eseguibile non firmato caricato in lsass
Eseguibile non firmato caricato nel processo di sistema sensibile	Eseguibile non firmato caricato nel processo di sistema sensibile
Il comando Whoami /groups è stato eseguito	Rilevamento gruppo o account

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.1.2

La seguente tabella mostra le proprietà personalizzate in IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabella 9. Proprietà personalizzate in IBM Security QRadar Sysmon Content Extension 1.1.2
Nome	Regex
Image	Image:\s(.*?)\s( FileVersion\|CommandLine ):
ImageName	Image:\s(?:.)?(.?)\s(?:FileVersion\|CommandLine):\s
LoadedImage	ImageLoaded:\s(.*?)\s( FileVersion\|Hashes )\:
LoadedImageName	ImageLoaded\:\s(?:.\\\)(.?)\s*(FileVersion\|Hashes)\:

La seguente tabella mostra le regole e i blocchi di creazione in IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabella 10. Regole in IBM Security QRadar Sysmon Content Extension 1.1.2
Nome	Descrizione
Baselining processo: nome processo da hash	Aggiunta una regola di risposta per popolare l'insieme di riferimento ProcessNametoHashRefMapOfSetKeys.
Baselining processo: nome processo per processo parent	Aggiunta una regola di risposta per popolare la serie di riferimenti ProcesstoParentProcessPathRefMapKeys.
È stato rilevato un processo noto avviato con un nuovo hash non visualizzato	Rileva quando un processo noto inizia con un nuovo hash non visualizzato.
Elemento principale anomalo rilevato per un processo	Rileva un parent anomalo per un processo.
Baselining processo: hash processo	Fornisce una baseline per gli hash del processo.
Baseline processo: Nome processo	Fornisce una baseline per i nomi dei processi, con log standard di Windows o Sysmon.
È stato rilevato un processo sconosciuto / non visto (basato sull'hash del processo)	Rileva eventuali hash di processo insoliti o sconosciuti.
È stato rilevato un processo sconosciuto / non visto (basato sul nome processo)	Rileva eventuali nomi di processi insoliti o sconosciuti.
Processo avviato da una cartella condivisa e thread creato in un altro processo	È stato aggiornato uno dei test della regola.

La seguente tabella mostra i dati di riferimento in IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabella 11. Dati di riferimento in IBM Security QRadar Sysmon Content Extension 1.1.2
Tipo	Nome	Descrizione
Serie di riferimento	Nomi processo con profilo	Memorizza l'elenco di baseline dei nomi processo.
Serie di riferimento	Hash processo con profilo	Memorizza l'elenco di baseline degli hash del processo.
Serie di riferimento	ProcessNametoHashRefMapOfSetKeys	Memorizza le chiavi utilizzate nella mappa delle serie che associa un nome processo al relativo hash.
Serie di riferimento	ProcesstoParentProcessPathRefMapKeys	Memorizza le chiavi utilizzate nella mappa delle serie che associa un nome processo al relativo processo parent.
Mappa di riferimento delle serie	ProcessMaptoProcessParentPath	Il tipo di elemento è stato modificato in maiuscolo / minuscolo alfanumerico.
Mappa di riferimento delle serie	ProcessNametoHash	Il tipo di elemento è stato modificato in maiuscolo / minuscolo alfanumerico.

La seguente tabella mostra le ricerche salvate in IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabella 12. Ricerche salvate in IBM Security QRadar Sysmon Content Extension 1.1.2
Nome	Descrizione
L'hash del processo sconosciuto è stato avviato	Aggiornati i criteri di ricerca.
Elemento principale anomalo per un processo	Aggiornati i criteri di ricerca.
Il nome processo sconosciuto è stato avviato	Questa ricerca mostra i processi sconosciuti basati sul nome del processo.

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto 1.1.1

In 1.1.1, due regole e due funzioni AQL sono state rimosse a causa di possibili problemi di prestazioni:

Regola: Rilevato un processo noto avviato con hash non visto
Regola: Rilevato parent anomalo per un processo
Funzione personalizzata: checkWithMapOfSets
Funzione personalizzata: IsItWhiteListedProcess

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 include nuove regole per stabilire i processi di base e per rilevare le seguenti attività:

Escalation dei privilegi
Escludi controllo account utente senza file (UAC)
Dump delle credenziali
Tecniche di movimento laterale
L'implementazione di Metasploit PSExec
Utilizzo dannoso di PowerShell

Questa versione include anche nuove proprietà personalizzate, ricerche salvate e funzione personalizzata AQL. Viene aggiunta una nuova icona alle impostazioni dell'amministratore di QRadar per configurare un token di autorizzazione per le funzioni personalizzate Sysmon.

La seguente tabella descrive le modifiche incluse in IBM Security QRadar Sysmon Content Extension 1.1.0

Tipo	Nome	Descrizione delle modifiche
Regola	Processo insolito (ad esempio: word, iexplore, AcroRd..) ha avviato una shell di comando	Rileva se un processo insolito, come MS Word, Internet Explorer, Acrobat Reader, avvia una shell di comandi o PowerShell.
Regola	Rilevato un processo eseguito in remoto su più host	Rileva qualsiasi processo eseguito in remoto che utilizza PowerShell, wmi o PSExec come note tecniche di movimento laterale.
Regola	Rilevata un'attività pianificata su più host	Rileva un'attività pianificata su più host.
Regola	Il modulo Metasploit PSExec è stato rilevato	Rileva l'implementazione Metasploit dello strumento PSExec.
Regola	PSExec è stato avviato da un host promesso	Rileva se PSExec sta per essere avviato da un host contrassegnato come un host compromesso.
Regola	PSExec rilevato	Rileva se un host avvia PSExec.
Regola	PSExec rilevato con un nome processo diverso	Rileva se PSExec è caricato con un nome diverso.
Regola	Shell dei comandi avviata con privilegi di sistema	Rileva se una shell di comandi è stata avviata con privilegi sottoposti a escalation. Ad esempio, se un utente regolare avvia la shell di comandi come utente del sistema Windows.
Regola	Baselining processo: processo avviato con privilegi utente di sistema	Fornisce una baseline per cui i processi di solito iniziano con un privilegio di sistema. Questa baseline viene utilizzata da altre regole per rilevare se un nuovo processo inizia con un privilegio di sistema. Questa baseline può indicare se qualcuno tenta di eseguire un'escalation di privilegi.
Regola	È stato rilevato un nuovo processo non visto avviato con privilegi utente di sistema	Rileva se un processo nuovo o insolito inizia con un privilegio di sistema. Per impostazione predefinita questa regola è disabilitata. Come parte della propria routine di manutenzione, eseguire le regole della baseline del processo per una settimana prima di abilitare questa regola.
Regola	Baselining processo: nome processo per processo parent	Fornisce una baseline per identificare i processi parent per ciascun processo. Questa baseline può aiutare a rilevare processi insoliti.
Regola	Baselining processo: nome processo da hash	Fornisce una baseline per i nomi processo e i relativi hash corrispondenti. Questa baseline può essere utile per rilevare se viene avviato un processo sconosciuto o se un processo inizia con un nuovo hash. Queste informazioni possono essere utilizzate anche per integrare i log Sysmon con altri log.
Regola	Utilizzo eccessivo degli strumenti di sistema rilevato da una singola macchina	Rileva l'utilizzo in eccesso da una sola macchina di diversi strumenti di sistema, quali: lcacl.exe procdump.exe vssadmin.exe accesschk.exe netsh.exe arp.exe systeminfo.exe whoami.exe
Regola	È stato rilevato un servizio configurato per utilizzare PowerShell	Rileva se un servizio è configurato per utilizzare PowerShell.
Regola	È stato rilevato un valore lungo nel registro Windows	Rileva se un aggressore ha tentato di aggiungere o impostare una chiave di registro utilizzando un valore lungo, ad esempio un comando codificato PowerShell .
Regola	Rilevato un servizio con un file binario eseguibile ubicato in una cartella condivisa	Rileva se un servizio è configurato per avviare un file binario eseguibile da una cartella condivisa.
Regola	Rilevato un servizio configurato per utilizzare un pipe	Rileva se un servizio è configurato per connettersi a una pipe.
Regola	È stata creata una pipe seguita da un aggiornamento del percorso binario del servizio per la connessione alla pipe creata	Rileva un'impersonificazione named pipe, che è una tecnica per l'escalation dei privilegi.
Regola	È stato rilevato un percorso binario del servizio modificato seguito da un utente o un gruppo aggiunto	Rileva se un utente o un gruppo viene aggiunto dopo la modifica di un percorso binario del servizio.
Regola	Il percorso binario del servizio è stato aggiornato seguito da una connessione di rete dallo stesso processo	Rileva se un processo tenta di configurare o aggiungere un servizio e rileva se lo stesso processo crea una connessione in uscita.
Regola	È stata rilevata un'esecuzione eccessiva del comando SC	Rileva se il comando del controller del servizio viene utilizzato in modo eccessivo.
Regola	È stato rilevato un percorso binario del servizio senza virgolette con spazi	Rileva se un percorso binario del servizio senza virgolette contiene spazi. Un percorso file che non è racchiuso tra virgolette e che contiene spazi nel percorso può essere utilizzato. Ad esempio, C:\Program Files (x86)\.
Regola	bypass UAC possibile - un'attività pianificata è stata configurata per essere eseguita con i privilegi più elevati	Rileva se un'attività pianificata viene creata per essere eseguita utilizzando i privilegi più elevati.
Regola	Il percorso binario del servizio è stato aggiornato seguito da un CreateRemoteThread rilevato dallo stesso processo	Rileva se un processo tenta di configurare o aggiungere un servizio e rileva se lo stesso processo crea un thread in altri processi.
Regola	Processo avviato da una cartella condivisa	Rileva se un processo inizia da una cartella condivisa.
Regola	Processo avviato da una cartella condivisa e thread creato in un altro processo	Rileva se un processo inizia da una cartella condivisa e crea un thread in un altro processo.
Regola	Un servizio remoto ha creato un file di script PowerShell	Rileva se un servizio remoto, ad esempio `wsmprovhost`, `psexesvc`o `wmiprvse`, crea un file di script PowerShell .
Regola	Processo LSASS connesso a un pipe	Rileva se un pipe si connette a un'attività avviata dal processo LSASS (Local Security Authority Subsystem Service), che può causare il dump delle credenziali.
Regola	È stato rilevato un servizio remoto connesso al pipe LSASS	Rileva se un servizio remoto, ad esempio `wsmprovhost`, `psexesvc`o `wmiprvse`, tenta di connettersi a una pipe denominata LSASS.
Regola	È stato rilevato un bypass UAC senza file utilizzando sdclt	Rileva un tentativo di bypass UAC (User Account Control) che usa sdclt.exe, il processo Windows che consente agli utenti di eseguire operazioni di backup e ripristino. Per impostazione predefinita, sdclt.exe viene eseguito con un livello di integrità elevato. Una volta avviato il processo, cerca chiavi specifiche nel Registro di sistema. Se le chiavi esistono, vengono eseguite.
Regola	Rilevato un bypass UAC senza file utilizzando Fodhelper	Rileva se il processo Fodhelper viene utilizzato per ignorare UAC in Windows 10 dirottando una chiave speciale nel registro.
Regola	Rilevato un bypass UAC senza file utilizzando il visualizzatore eventi di Windows	Rileva se il visualizzatore eventi di Windows viene utilizzato per ignorare UAC.
Regola	Il driver non firmato è stato caricato nel kernel Windows	Rileva qualsiasi tentativo di caricare un driver non firmato nel kernel di Windows.
Regola	Un Servizio è stato installato in un Host Compromesso	Rileva qualsiasi installazione del servizio su un host contrassegnato come un host compromesso.
Regola	È stata creata un'attività pianificata in un host di promessa	Rileva qualsiasi tentativo di creare un'attività pianificata su un host contrassegnato come un host compromesso.
Regola	Traffico SMB negato in eccesso da un host promesso	Rileva un traffico SMB eccessivo negato da un host compromesso.
Regola	Numero eccessivo di tentativi non riusciti di accedere a una condivisione amministrativa da una singola origine	Rileva un numero eccessivo di tentativi non riusciti di accedere alle condivisioni amministrative da un singolo host di origine.
Regola	Numero eccessivo di tentativi non riusciti di accesso a una risorsa condivisa di rete da un host condiviso	Rileva un numero eccessivo di tentativi non riusciti di accedere a cartelle condivise su più host nella rete da un host compromesso.
Regola	È stato eseguito l'accesso a una condivisione di rete da un host promesso	Rileva se un host compromesso ha eseguito correttamente l'accesso a una cartella condivisa.
Regola	Una condivisione di rete è stata aggiunta in un host promesso	Rileva se un host compromesso aggiunge una cartella o un file condiviso.
Regola	Rilevato traffico SMB da un host compromesso ad altri host	Rileva il traffico SMB in entrata da un host compromesso ad altri host.
Regola	È stato rilevato un login riuscito da un host compromesso ad altri host	Rileva gli accessi riusciti da un host compromesso ad altri host.
Regola	È stato eseguito l'accesso ad una condivisione amministrativa	Rileva se si accede a una condivisione amministrativa.
Regola	È stata aggiunta una condivisione di rete nascosta	Rileva la creazione di un file condiviso nascosto.
Regola	PowerShell è stato avviato	Rileva se un host avvia PowerShell.
Regola	PowerShell è stato avviato in un host di promessa	Rileva se un host compromesso avvia PowerShell.
Regola	Un servizio dannoso è stato installato in un sistema	Rileva se nel sistema è installato un servizio dannoso noto.
Regola	Processo senza figli avviato / generato un processo	Rileva se un processo senza figli avvia un processo secondario.
Regola	Eliminazione copie shadow rilevata	Rileva se le copie shadow vengono eliminate.
Regola	È stato rilevato un processo Svchost sospetto	Rileva un processo svchost dannoso.
Regola	Mimikatz rilevato basato sull'hash IMP	Rileva lo strumento di post - utilizzo Mimikatz in base all'utilizzo dell'hash IMP (Invoke Mimikatz PowerShell ).
Regola	Una shell di comandi o una Powershell è stata avviata da un sistema remoto	Rileva se un servizio remoto, come `wsmprovhost`, `psexesvc`o `wmiprvse`, avvia una shell di comandi o PowerShell su un sistema remoto.
Regola	Il comando Whoami /groups è stato eseguito	Rileva se il comando `whoami` o il comando di gruppo viene utilizzato prima di qualsiasi tecnica di escalation dei privilegi.
Regola	Chiave di registro SAM - Enumera chiavi secondarie (utenti)	Rileva eventuali tentativi di enumerazione della chiave di registro SAM.
Regola	Rilevato un dump di registro per SAM o chiave di sistema	Rileva qualsiasi tentativo di eseguire il dump del registro SAM.
Regola	È stato eseguito l'accesso alla chiave di registro SAM - utilizzando regedit	Rileva qualsiasi tentativo di accesso alla chiave di registro SAM
Regola	Processo creato un thread nel processo LSASS	Rileva eventuali tentativi di creazione di un thread nel processo LSASS.
Regola	Eseguibile non firmato caricato in LSASS.exe	Rileva qualsiasi tentativo di caricare un file eseguibile non firmato nel processo LSASS.
Regola	È stato rilevato un accesso doloso al processo LSASS	Rileva qualsiasi accesso dannoso al processo LSASS.
Regola	È stato rilevato un accesso dannoso al processo LSASS da una traccia di chiamata sconosciuta	Rileva tutti i tentativi senza file di accedere al processo LSASS.
Regola	Processo avviato da directory insolite (Recycle.bin, ..)	Rileva se un processo inizia da una directory insolita, ad esempio il cestino.
Regola	È stato rilevato un possibile strumento di dump delle credenziali	Utilizzato come contrassegno supplementare se una delle seguenti regole corrisponde: È stato rilevato un accesso doloso al processo LSASS È stato rilevato un accesso dannoso al processo LSASS da una traccia di chiamata sconosciuta Rilevato un dump di registro per SAM o chiave di sistema Processo creato un thread nel processo LSASS Chiave di registro SAM - Enumera chiavi secondarie (utenti) È stato eseguito l'accesso alla chiave di registro SAM - utilizzando regedit Mimikatz rilevato basato sull'hash IMP È stato rilevato un servizio remoto connesso al pipe LSASS Processo LSASS connesso a un pipe
Regola	È stato rilevato un possibile keylogger	Rileva se una macchina è infetta da un keylogger.
Regola	Possibile Locky Ransomware rilevato basato su rundll32 con argomento qwerty	Rileva una firma nota per Locky ransomware.
Regola	PowerShell Utilizzo dannoso rilevato con comando codificato	Aggiornato per rilevare ulteriori utilizzi dannosi di PowerShell.
Regola	PowerShell Rilevato utilizzo dannoso	Aggiornato per rilevare ulteriori utilizzi dannosi di PowerShell.
Blocco di generazione	BB: PSExec rilevato	Utilizzato nelle regole PSExec.
Blocco di generazione	BB: il processo ha creato una connessione di rete	Utilizzato nelle regole che correlano le connessioni di rete con altre attività.
Blocco di generazione	BB: è stato eseguito l'accesso ad una condivisione amministrativa	Utilizzato nelle regole che rilevano eventuali attività dannose con cartelle condivise.
Blocco di generazione	BB: CreateRemoteThread Rilevato	Utilizzato in regole che rilevano la creazione di thread remoti.
Blocco di generazione	BB: accesso ai processi Windows normali LSASS.exe	Utilizzato in regole che rilevano il processo LSASS.
Blocco di generazione	BB: rilevato un processo PowerShell	Utilizzato nelle regole che rilevano i processi PowerShell .
Blocco di generazione	BB: è stata creata un'attività pianificata	Utilizzato in regole che rilevano attività pianificate.
Blocco di generazione	BB: rilevata un'attività pianificata basata sull'evento di creazione del processo parte 1	Utilizzato in regole che rilevano attività pianificate in base alla creazione di eventi del processo.
Blocco di generazione	BB: il pipe è stato creato	Utilizzato nelle regole che rilevano la creazione di pipe.
Blocco di generazione	BB: rilevata un'attività pianificata basata sull'evento di creazione del processo parte 2	Utilizzato in regole che rilevano attività pianificate in base alla creazione di eventi del processo.
Blocco di generazione	BB: il percorso binario del servizio è stato impostato o aggiornato	Utilizzato nelle regole che rilevano se un percorso di servizio binario è impostato o aggiornato.
Blocco di generazione	BB: CreateRemoteThread casi esclusi	Utilizzato in regole che rilevano la creazione di thread remoti.
Ricerca salvata	Elemento principale anomalo per un processo	Questa ricerca mostra qualsiasi processo con un elemento parent insolito, basato sui dati con baseline
Ricerca salvata	Connessione di rete rilevata da processi sensibili Windows	Questa ricerca mostra tutte le connessioni avviate da un processo sensibile a Windows.
Ricerca salvata	Accesso del processo a LSASS	Questa ricerca mostra qualsiasi processo che ha eseguito l'accesso a LSASS.
Ricerca salvata	Gli eseguibili avviati in remoto tramite WMI o PowerShell	Questa ricerca mostra i processi eseguiti in remoto.
Ricerca salvata	Il percorso binario del servizio è stato impostato o aggiornato	Questa ricerca mostra qualsiasi nuovo servizio o se l'ubicazione del file binario del servizio cambia.
Ricerca salvata	L'hash del processo sconosciuto è stato avviato	Questa ricerca mostra tutti gli hash del processo non visualizzati.
Ricerca salvata	Eseguibile non firmato caricato nel processo di sistema sensibile	Questa ricerca mostra qualsiasi tentativo di caricare un file eseguibile non firmato in processi di sistema sensibili.
Ricerca salvata	Riga comandi molto lunga rilevata	Questa ricerca mostra il testo della riga comandi lunga.
Serie di riferimento	Hash inseriti nella whitelist	Contiene un elenco di hash inseriti nella whitelist.
Serie di riferimento	Sistema	Contiene un elenco di strumenti utilizzati dagli amministratori di sistema.
Serie di riferimento	Processi hash avviati come utente di sistema	Contiene un elenco di hash del processo che possono iniziare con privilegi a livello di sistema.
Serie di riferimento	Host compromessi	Contiene un elenco popolato con eventuali host compromessi.
Serie di riferimento	Nome processo da hash	Contiene un elenco di nomi processo associati ai relativi hash.
Serie di riferimento	IOCs - Nomi servizio nocivi	Contiene un elenco di nomi di servizi dannosi noti.

_{(Torna all'inizio)}

IBM Sicurezza QRadar Estensione del contenuto di Sysmon 1.0.0

La seguente tabella descrive le modifiche incluse in IBM Security QRadar Sysmon Content Extension 1.0.0

Tipo	Nome	Descrizione delle modifiche
Regola	DLL o eseguibile non firmato caricato dalla directory temporanea	Rileva quando l'eseguibile non assegnato o la DLL viene caricata da una directory temporanea.
Regola	Processo avviato dalla directory temporanea	Rileva quando un processo viene avviato da una directory temporanea.
Regola	DLL o eseguibile non firmato caricato nel processo di sistema sensibile	Rileva quando un eseguibile non assegnato o una DLL viene caricata in un altro processo di sistema sensibile.
Regola	Processo creato un thread nel processo del sistema	Rileva quando un processo crea un thread in un processo di sistema.
Regola	Il processo ha creato un thread da un processo avviato da un direttore temporaneo	Rileva quando un processo crea un thread da un processo avviato da una directory temporanea.
Regola	Processo creato un thread in un altro processo	Rileva quando un processo crea un thread in un'altro processo.
Regola	PowerShell Rilevato utilizzo dannoso	Rileva l'utilizzo dannoso di PowerShell .
Regola	PowerShell Utilizzo dannoso rilevato con comando codificato	Rileva l'utilizzo doloso di PowerShell con un comando codificato.
Regola	Lo script PowerShell è stato scaricato	Rileva quando viene scaricato uno script PowerShell .
Regola	Processo di sistema avviato dalla directory insolita	Rileva quando un processo di sistema inizia da una directory insolita.
Regola	Elemento principale anomalo per un processo di sistema	Rileva quando è presente un parent anomalo per un processo di sistema.
Regola	Processo svchost sospetto rilevato	Rileva i processi svchost sospetti.
Regola	Eliminazione copie shadow rilevata	Rileva quando un file di copia shadow viene eliminato.
Blocco di generazione	BB: eseguibile non firmato o DLL caricato nel processo di sistema sensibile parte 1	Utilizzato dalla regola Unsigned Executable o DLL Loaded Into Sensitive System Process.
Blocco di generazione	BB: è stato rilevato uno script PowerShell scaricato	Utilizzato dallo script PowerShell è stato scaricato la regola.
Blocco di generazione	BB: rilevato uno script PowerShell scaricato con EncodedCommand	Utilizzato dalla regola PowerShell Utilizzo nocivo rilevato con comando codificato.
Proprietà personalizzata	Image	`Image:\s(.*)\sImageLoaded`
Proprietà personalizzata	ImageName	`Image:\s(?:.\\)(.)\sImageLoaded`
Proprietà personalizzata	Firmato	`Signed:\s(true\|false)`
Proprietà personalizzata	Firma	`Signature:\s(.*)\sSignatureStatus`
Proprietà personalizzata	SignatureStatus	`SignatureStatus:\s(Valid)`
Proprietà personalizzata	LoadedImage	`ImageLoaded:\s(.*)\sHashes`
Proprietà personalizzata	Image	`Image:\s(.*)\sCommandLine`
Proprietà personalizzata	ImageName	`Image:\s(?:.\\)(.)\sCommandLine`
Proprietà personalizzata	ParentImage	`ParentImage:\s(.*)\sParentCommandLine`
Proprietà personalizzata	ParentImageName	`ParentImage:\s(?:.\\)(.)\sParentCommandLine`
Proprietà personalizzata	Nome immagine di destinazione	`TargetImage:\s(?:.\\)(.)\sNewThreadId`
Proprietà personalizzata	SourceImage	`SourceImage:\s(.*)\sTargetProcessGuid`
Proprietà personalizzata	TargetImage	`TargetImage:\s(.*)\sNewThreadId`
Proprietà personalizzata	Comando codificato PS	`[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)`
Proprietà personalizzata	Riga comandi processo	`CommandLine:\s(.*)\sCurrentDirectory`
Proprietà personalizzata	SourceImageTempPath	`SourceImage:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Proprietà personalizzata	ImageTempPath	`Image:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Proprietà personalizzata	ImageLoadedTempPath	`ImageLoaded:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Proprietà personalizzata	Riga comandi processo	`Process Command Line:\s(.)\s*Token Elevation Type`
Proprietà personalizzata	Comando codificato PS	`Process Command Line:\spowershell.[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^][\s^]+(\S+)\sToken Elevation Type`
Proprietà personalizzata	ImageName	`New Process Name:\s(?:.\\)(\S)\sToken\sElevation\sType\:`
Proprietà personalizzata	SHA1 Hash	`SHA1=(\w+)`
Proprietà personalizzata	Hash MD5	`MD5=(\w*)`
Proprietà personalizzata	Hash SHA256	`SHA256=(\w*)`
Proprietà personalizzata	Hash IMP	`IMPHASH=(\w*)`
Proprietà personalizzata	Image	`New Process Name:\s(\S)\s*Token\sElevation\sType\:`
Funzione Personalizzato	base64Decode	Decodifica il testo base64 dal comando codificato PowerShell in una normale stringa leggibile.
Funzione Personalizzato	PScmdFilter	Filtra la riga comandi del processo dagli eventi Sysmon.
Ricerca salvata	Riga comandi molto lunga rilevata	Si tratta di una ricerca di eventi da mettere in corrispondenza su lunghe righe di comando di processo da eventi Sysmon.
Serie di riferimento	TempFilePath	Contiene un elenco di percorsi file della directory temporanea.
Serie di riferimento	Processi Windows sensibili	Contiene un elenco di tutti i processi sensibili a Windows.
Serie di riferimento	ProcessMaptoProcessPath	Contiene un elenco di nomi processo e i percorsi di tali processi.
Serie di riferimento	ProcessMaptoProcessParentPath	Contiene un elenco di nomi di processi e i percorsi dei processi parent.

_{(Torna all'inizio)}