Endpoint

Rileva l'attacco di spruzzatura della password.

Rileva l'attacco di forza bruta.

Si attiva quando viene rilevata un'applicazione di Virtual Network Computing (VNC) da Internet a un host locale.

Si attiva quando viene rilevato il protocollo Microsoft Remote Desktop Protocol (RDP) da Internet a un host locale.

Si attiva quando viene rilevato un accesso sospetto da un account valido.

Si attiva quando un processo che non dovrebbe avere un figlio avvia un processo.

Si attiva quando un file critico o un file in una directory critica viene eliminato.

Si attiva quando vengono modificati file o directory critici e si verifica un'attività sospetta.

Si attiva quando si verifica una comunicazione con un indirizzo IP potenzialmente ostile. Gli indirizzi IP potenzialmente ostili sono registrati in IBM X-force o nella raccolta di set di riferimento personalizzati.

Si attiva quando viene rilevato un uso del modulo PSExec.

Si attiva quando un servizio è configurato per utilizzare PowerShell.

Si attiva quando un IOC (File Hash) relativo al ransomware Ryuk viene osservato negli eventi.

Si attiva quando nei flussi viene osservato un IOC (File Hash) relativo al ransomware Ryuk.

Rileva un tentativo di ricerca di posizioni comuni per la memorizzazione delle password per ottenere le credenziali dell'utente.

Rileva i tentativi consecutivi di ricerca di posizioni comuni per la memorizzazione delle password per ottenere le credenziali degli utenti.

Rileva un tentativo di utilizzo di funzioni API di Windows relative all'impersonificazione di token o al furto di token.

Rileva le connessioni in uscita avviate dal file regsvr32.exe.

Rileva le connessioni in uscita avviate dal file dllhost.exe.

Rileva le connessioni in uscita avviate dal file rundll32.exe.

Si attiva quando un payload Petya viene osservato nei flussi.

Rileva l'impersonificazione e il furto di token. (Esempio: DuplicateToken(Ex) e ImpersonateLoggedOnUser con il flag LOGON32_LOGON_NEW_CREDENTIALS)

Si attiva quando un IOC viene riconosciuto come valore di registro Turla.

Si attiva quando viene rilevato un comportamento potenzialmente appartenente a X-Force Red StandIn.

Si attiva quando la directory di lavoro corrente (CWD) viene rilevata nelle seguenti directory:

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron* (per esempio /etc/cron.hourly, /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

I seguenti file sono sotto osservazione:

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

Definisce le directory di lavoro correnti sensibili che attivano gli avvisi per gli attacchi di directory traversal.

Definisce una regola che si attiva quando la directory di lavoro corrente (CWD) viene rilevata nelle seguenti directory:

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron* (per esempio /etc/cron.hourly, /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

I seguenti file sono sotto osservazione:

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

Definisce quando il comando PowerShell Get-ChildItem viene usato per scoprire le directory in modo ricorsivo. Questo evento si verifica quando viene specificato il parametro -Recurse o quando il comando viene utilizzato all'interno di un ciclo ForEach.

Si attiva quando viene osservato un processo relativo allo strumento StandIn. StandIn è uno strumento di penetration-testing comunemente utilizzato dai team rossi. Tuttavia, gli attori malintenzionati possono utilizzare questa applicazione per gli attacchi.

Si attiva quando vengono osservati i comandi di persistenza relativi allo strumento StandIn. StandIn è uno strumento di penetration-testing comunemente utilizzato dai team rossi. Tuttavia, gli attori malintenzionati possono utilizzare questa applicazione per gli attacchi.

Si attiva quando vengono osservati i comandi di elusione della difesa relativi allo strumento StandIn. StandIn è uno strumento di penetration-testing comunemente utilizzato dai team rossi. Tuttavia, gli attori malintenzionati possono utilizzare questa applicazione per gli attacchi.

Si attiva quando vengono osservati i comandi di escalation dei privilegi relativi allo strumento StandIn. StandIn è uno strumento di penetration-testing comunemente utilizzato dai team rossi. Tuttavia, gli attori malintenzionati possono utilizzare questa applicazione per gli attacchi.

Si attiva quando vengono osservati i comandi di enumerazione relativi allo strumento StandIn. StandIn è uno strumento di penetration-testing comunemente utilizzato dai team rossi. Tuttavia, gli attori malintenzionati possono utilizzare questa applicazione per gli attacchi.

Si attiva quando un servizio è configurato per utilizzare una pipe. Ciò potrebbe indicare che un aggressore ha accesso al sistema di un utente tramite escalation dei privilegi utilizzando getsystem.

Rileva l'exploit di vulnerabilità del trasferimento MOVEit tramite l'indicatore di compromissione della riga comandi.

Rileva l'exploit di vulnerabilità del trasferimento MOVEit tramite l'indicatore di compromissione del nome file.

Rileva l'exploit di vulnerabilità del trasferimento MOVEit tramite l'indicatore hash di compromissione.

Rileva le vulnerabilità Remote Code Execution in Microsoft Exchange.

Microsoft ha emesso "CVE-2022-41040" e "CVE-2022-41082" Exchange Server.

Rileva le vulnerabilità Remote Code Execution in Microsoft Exchange.

Microsoft ha emesso "CVE-2022-41040" e "CVE-2022-41082" Exchange Server.

Rileva le vulnerabilità Remote Code Execution in Microsoft Exchange.

Microsoft ha emesso "CVE-2022-41040" e "CVE-2022-41082" Exchange Server.

Questa regola rileva gli IP RCE Windows noti.

Rileva i nuovi processi critici creati. I processi critici si riferiscono a quelli che possono essere potenzialmente utilizzati in modo improprio dagli avversari per eseguire attività dannose. I processi comuni includono: PowerShell, cmd, mshta.

Rileva i nuovi file creati nelle directory temporanee. Alcune directory temporanee possono essere utilizzate dagli avversari per eliminare file dannosi.

Rileva i processi critici creati dai file di collegamento, in base alle regole QRadar .

Rileva i processi critici creati dai file di collegamento, in base alle regole QRadar .

1. Modifiche del Registro di sistema per creare le chiavi (per la permanenza).
2. Elimina la directory temporanea dell'eseguibile.
3. Elimina le copie shadow.
4. Codifica (modifica file).

Si attiva quando viene rilevato un potenziale utilizzo di vulnerabilità MSDT (Microsoft Support Diagnostic Tool).

Microsoft ha emesso "CVE-2022-30190" per la vulnerabilità su MSDT. L'aggressore può eseguire l'esecuzione di codice remoto utilizzando MSDT per eseguire codice arbitrario.

Definisce la comunicazione con un host potenzialmente ostile, categorizzato per serie di riferimento.

I set di riferimento che iniziano con i prefissi "XFE ATPF" sono gestiti automaticamente dall'app Threat Intelligence e richiedono un abbonamento a pagamento. Le altre serie di riferimento sono fornite dall'applicazione Threat Intelligence e possono essere utilizzate per includere feed Threat Intelligence di terze parti.

Definisce la comunicazione con un potenziale IP ostile, categorizzato per serie di riferimento.

I set di riferimento che iniziano con i prefissi "XFE ATPF" sono gestiti automaticamente dall'app Threat Intelligence e richiedono un abbonamento a pagamento. Le altre serie di riferimento sono fornite dall'applicazione Threat Intelligence e possono essere utilizzate per includere feed Threat Intelligence di terze parti.

Si attiva quando viene osservato un indicatore di percorso file di compromissione (IoC) relativo a Malware as a Service (MaaS), come Trojan Emotet e Trojan Trickbot.

Gli IOC seguiranno il modello nelle directory personalizzate:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

La serie di riferimento Malware as a Service_Path è prepopolata. Regolare questa serie di riferimento con IOC pertinente.

• Risposta del nerofumo
• Endpoint
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

Si attiva quando viene osservato un indicatore di percorso file di compromissione (IoC) relativo a Malware as a Service (MaaS), come Trojan Emotet e Trojan Trickbot.

Gli IOC seguiranno il modello nelle directory personalizzate:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

La serie di riferimento Malware as a Service_Path è prepopolata. Regolare questa serie di riferimento con IOC pertinente.

Si attiva quando un IoC viene categorizzato come doloso in una raccolta di serie di riferimento.

Le regole Malware as a Service Hash IOC in Eventse Ransomware: Ryuk IOC in Events vengono escluse da questa regola per evitare ripetizioni. Il loro scopo è di avere una risposta di regola dedicata.

Si attiva quando un IoC viene categorizzato come doloso in una raccolta di serie di riferimento.

Malware as a Service Hash IOC in Flowse Ransomware: Ryuk IOC in Flows sono esclusi da questa regola per evitare la ripetizione. Il loro scopo è di avere una risposta di regola dedicata.

Questa regola è stata rinominata da Accesso non riuscito eccessivo ad una condivisione amministrativa dalla stessa origine

Viene attivato quando vengono rilevati più eventi di autenticazione non riusciti sulla stessa macchina da un singolo indirizzo IP di origine.

Questo comportamento indica un potenziale tentativo di forza bruta di accedere a una macchina.

Questa regola è stata ridenominata da Errori di accesso eccessivi tramite RDP.

Viene attivato quando vengono rilevati più eventi di autenticazione non riusciti su macchine differenti da un singolo indirizzo IP di origine.

Questo comportamento indica un potenziale tentativo di forza bruta di accedere a una macchina.

Questa regola è stata ridenominata da Errori di accesso eccessivi tramite connessione di rete a più macchine.

Si attiva quando viene osservato un comportamento di Malware as a service.

Questi comportamenti includono l'uso di un programma di utilità di download sull'endpoint e il percorso file che mostra l'indicazione di compromesso.

Si attiva quando viene osservato un file hash IoC relativo a MaaS, come Emotet Trojan e Trickbot Trojan.

Le serie di riferimento Malware as a Service_SHA1, Malware as a Service_SHA256e Malware as a Service_MD5 sono prepopolate. Ottimizzare queste serie di riferimento con IoCpertinenti.

Si attiva quando viene osservato un file hash IoC relativo a MaaS, come Emotet Trojan e Trickbot Trojan.

Il campo Malware come Service_SHA1, Malware come Service_SHA256e Malware come Service_MD5 sono prepopolati. Ottimizzare queste serie di riferimento con IoCpertinenti.

Questa regola è stata aggiornata per le vulnerabilità Windows.

Questa regola è stata aggiornata per Ryuk ransomware.

Questa regola è stata aggiornata per Ryuk ransomware.

Questa regola è stata aggiornata per tutte le nuove regole di rilevamento aggiunte in questa release.

Si attiva quando viene osservato un file hash IoC relativo a Ryuk ransomware.

Ryuk_SHA256, Ryuk_SHA1e Ryuk_MD5 sono prepopolati. Ottimizzare queste serie di riferimento con IoCpertinenti.

Si attiva quando viene osservato un file hash IoC relativo a Ryuk ransomware.

Ryuk_SHA256, Ryuk_SHA1e Ryuk_MD5 sono prepopolati. Ottimizzare queste serie di riferimento con IoCpertinenti.

Si attiva quando Ryuk ransomware termina i processi in esecuzione dopo aver effettuato una copia di se stesso.

La serie di riferimento Ryuk Service and Process Termination List è prepopolata. Ottimizzare questa serie di riferimento con i processi e i servizi pertinenti.

• Malware as a Service Hash IOC in Eventi
• Malware as a Service Hash IOC nei flussi

• Tentativo di eliminare copie shadow
• File importante cancellato ( Unix )
• Strumento di dirottamento RDP rilevato
• Ripristino disabilitato nei dati della configurazione di avvio
• Ransomware: Servizio Ryuk o risoluzione del processo

• Rilevamento di file o processi dannosi
• Rilevamento di IOC dannoso
• Decodifica file o download seguito da attività sospette
• Ransomware: BadRabbit IOC negli eventi
• Ransomware: IOC BadRabbit in Flows
• Ransomware: Maze IOC negli eventi
• Ransomware: Petya / NotPetya CIO negli eventi
• Ransomware: Petya / NotPetya IOC nei flussi
• Ransomware: REvil IOC negli eventi
• Ransomware: WCry IOC negli eventi
• Ransomware: WCry IOC nei flussi
• Ransomware: WCry Payload nei flussi
• IOCs ransomware rilevati su più macchine
• Ransomware: Ryuk IOC negli eventi
• Ransomware: Ryuk IOC nei flussi
• Estensione file crittografato ransomware

• Rilevato comportamento di sciopero cobalto
• Accesso non riuscito eccessivo a una condivisione amministrativa dalla stessa origine
• Utilizzo eccessivo di Nslookup
• Strumento di ricognizione rilevato

• Eliminazione e creazione di file eccessivi
• Estensione file crittografato ransomware
• Ransomware: Labirinto Trasferimento di file sospetto
• Quantità sospetta di file eliminati sulla stessa macchina
• Quantità sospetta di file rinominati sulla stessa macchina (Windows)
• Numero sospetto di file rinominati/spostati sullo stesso computer ( Unix )

• ls -d
• find -type d
• ls -r

Modificare il blocco BB:CategoryDefinition: Files with Sensitive Permissions con i file o le directory da monitorare. Queste ubicazioni devono essere correlate all'avvio, al backup, alla registrazione o alle credenziali, che hanno una severità più elevata quando vengono utilizzate.

• Minergato
• Neshta
• Leecher Slayer
• NLBrute (NL)
• EternalBlue
• MimiKatz / MimiPenguin

• ngrok, che può essere utilizzato per aprire le connessioni che ignorano un firewall
• tscon, uno strumento nativo di Windows che può essere utilizzato per dirottare un'altra sessione RDP attiva

• BloodHound, e il suo strumento per l'analisi dei dati SharpHound, è un'applicazione utilizzata per mappare le relazioni nascoste e non volute all'interno di un ambiente Active Directory. Gli aggressori possono utilizzare questi strumenti per identificare facilmente i percorsi di attacco.
• PingCastle è uno strumento comunemente utilizzato dalle aziende per valutare la sicurezza di Active Directory. Gli attori malintenzionati possono utilizzare questo strumento per rilevare le vulnerabilità nell'ambiente.
• Advanced IP Scanner è uno scanner di rete che può essere utilizzato per controllare da remoto i dispositivi in un ambiente. Questo strumento può essere utilizzato durante un attacco ransomware per abilitare il movimento laterale.
• AdFind è uno strumento di query Active Directory della riga comandi. Può essere utilizzato per identificare rapidamente i punti deboli all'interno di una configurazione di Active Directory .
• Tutto (o ES) è un programma di utilità di ricerca che consente di trovare file e cartelle più velocemente. Questa funzionalità può consentire al ransomware di raccogliere informazioni su tutti i file e le cartelle per una successiva crittografia.
• Masscan è uno strumento di port - scanning. Viene spesso utilizzato dagli aggressori per elencare le porte potenzialmente vulnerabili. Questi strumenti possono essere utilizzati anche dai team rossi e non sono intrinsecamente pericolosi, tuttavia gli attori malintenzionati possono utilizzarli per esaminare un ambiente prima di attaccarlo.

• Cisco AMP
• Cisco Firepower
• Linux
• Microsoft Office 365
• Microsoft Windows
• osquery
• Microsoft 365 Difensore

• Amazon AWS
• Blue Coat
• Cisco AMP
• Cisco IronPort
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Postfix
• Squid
• Microsoft 365 Difensore

• Linux
• osquery

• Amazon AWS
• Azure
• Bit9 Piattaforma di sicurezza
• Blue Coat
• Protezione dal nerofumo
• Cisco AMP
• Cisco Firepower
• Cisco IronPort
• Endpoint
• FireEye MPS
• Fortinet FortiAnalyzer
• Linux
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Palo Alto PA Series
• Postfix
• Squid
• Sysmon
• VMware
• Microsoft 365 Difensore

• Linux
• Microsoft Windows

• Linux
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Difensore
• Microsoft Windows

• osquery
• Microsoft Windows

• Risposta del nerofumo
• Kubernetes
• Microsoft Windows
• osquery
• Sysmon

• Risposta del nerofumo
• Endpoint
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

• Risposta del nerofumo
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Difensore
• osquery
• Sysmon

• Amazon AWS
• Azure
• Kubernetes
• Microsoft Office 365
• Microsoft Windows
• osquery
• VMware

• Blue Coat
• Cisco IronPort
• IBM App Cloud Discovery per l' QRadar
• McAfee EPO
• Squid
• Microsoft 365 Difensore

• Azure
• Linux
• osquery

• Inizia con un punto
• Inizia con un punto e contiene uno spazio
• Autorizzazioni basate (ad esempio -rwx ------)

• /etc/login.defs
• /etc/pam.d/common-password
• /etc/pam.d/system-auth
• /etc/security/pwquality.conf

• /boot/
• /etc/pam.d/
• /etc/shadow
• /etc/passwd
• /etc/rsyslog/
• /etc/openldap/
• /etc/sysconfig/syslog
• /etc/syslog.conf
• /etc/sysconfig/network-scripts/
• /etc/default/ufw
• /etc/sudoers

• Scansione del registro per le password che possono essere utilizzate dal sistema o da altri programmi
• Dump hash mediante SAM (Security Accounts Manager)
• modifica del registro WDigest per consentire la memorizzazione delle password in testo semplice.

Le condizioni di filtro AQL riportate di seguito indicano tre metodi di dump delle credenziali implementati in questa regola. Ogni metodo può essere implementato separatamente utilizzando questi filtri AQL per scopi di ottimizzazione.

1. Un avversario può cercare negli hives del registro di sistema analizzando i valori delle password: quando l'evento corrisponde a LOWER("Process CommandLine") MATCHES 'reg\s+query.*password.*' Query filtro AQL.
2. Gli alveari del registro possono essere scaricati ed esfiltrati da un avversario per scopi dannosi. Si tratta di un'indicazione del dumping delle credenziali tramite Security Accounts Manager (SAM): quando l'evento corrisponde a LOWER("Process CommandLine") corrisponde alla query di filtro AQL 'reg.*save.*(sam|system|security)'.
3. Questa modifica della chiave di registro forza wdigest a memorizzare le credenziali in testo semplice la volta successiva che qualcuno accede a questo sistema: quando l'evento corrisponde a LOWER (" Process CommandLine) MATCHES 'reg\s + (add|query). * uselogoncredential. *' Query filtro AQL quando l'evento corrisponde a LOWER ("Chiave di registro") MATCHES '\\system \\ (controlset001|controlset002|currentcontrolset). * wdigest ' Query filtro AQL.

• %WINDIR%\AppPatch\Custom
• %WINDIR%\AppPatch\CustomSDB
• %WINDIR%\AppPatch\AppPatch64\Custom