Sysmon: PowerShell

Sysmon è un servizio di sistema Microsoft Windows e driver di dispositivi che monitora l'attività di sistema e registra gli eventi nel log degli eventi di Windows. È possibile inoltrare i log degli eventi di Windows a QRadar® e analizzarli per rilevare minacce avanzate sugli endpoint Windows.

Il caso di utilizzo Sysmon mostra in che modo QRadar rileva un comportamento sospetto dopo che un utente ha scaricato un file allegato e lo ha eseguito su una workstation Windows.

Quando un utente fa clic sul file scaricato, il file avvia una shell di comandi che esegue uno script di PowerShell per scaricare ed eseguire un file da un'ubicazione esterna, compromettendo il computer di un utente. L'aggressore ora escalation i loro privilegi sulle autorizzazioni di accesso a livello di sistema e scarica gli username e le password per la rete. Accedendo a computer peer, l'aggressore può spostarsi lateralmente ed eseguire script PowerShell per eseguire processi su più computer nella rete.

Per ulteriori QRadar contenuti che supportano il caso d'uso Sysmon: PowerShell , scaricare IBM® QRadar Content Extension for Sysmon. Il pacchetto di contenuto include regole, blocchi di creazione, serie di riferimento e funzioni personalizzate che possono essere utilizzate per rilevare minacce avanzate, come l'abuso di PowerShell , i processi Windows nascosti e gli attacchi di memoria senza file.

Simulazione della minaccia

Per vedere in che modo QRadar rileva l'attacco, guarda il video di simulazione Sysmon: Powershell .

Per eseguire la simulazione in QRadar, attenersi alla seguente procedura:
  1. Nella scheda Attività di registrazione , fare clic su Mostra di Experience Center.
  2. Fare clic su Simulatore di minaccia.
  3. Individuare la simulazione Sysmon: PowerShell e fare clic su Esegui.
Nella scheda Attività di registrazione è possibile visualizzare i seguenti eventi in entrata che vengono utilizzati per simulare il caso di utilizzo:
Tabella 1. Eventi in ingresso per Sysmon: PowerShell use case
Contenuto Descrizione
Eventi Creazione processo

FileCreate

Un servizio è stato installato in un sistema

CreateRemoteThread
Origini log Centro di esperienza: WindowsAuthServer @ EC: <nome_macchina>

Centro di esperienza: WindowsAuthServer @ EC: <nome_utente>

Gli eventi giocano in un loop e lo stesso caso di utilizzo si ripete più volte. Per arrestare la simulazione, fare clic su Stop nella scheda Simulatore di minaccia .

Rilevamento della minaccia: QRadar in azione

Il componente CRE (Custom Rules Engine) di QRadar è responsabile dell'elaborazione di eventi e flussi in entrata. Il CRE confronta gli eventi e i flussi contro una raccolta di test, che sono noti come regole, e le regole creano offensive quando vengono soddisfatte condizioni specifiche. Il CRE traccia i test di regola e l'incidente conta nel tempo.

Ma sapere che un'offesa si è verificata è solo il primo passo. QRadar semplifica l'analisi e l'identificazione di come è accaduto, dove è accaduto e chi lo ha fatto. Indicizzando l'offesa, tutti gli eventi con lo stesso nome di minaccia appaiono come un'unica offesa.

Investigare la minaccia

Per visualizzare l'elenco del contenuto QRadar che contribuisce a questa simulazione, incluse le regole, le ricerche salvate, le offensive e le serie di riferimento, attenersi alla seguente procedura:
  1. Apri l'app IBM QRadar Experience Center .
  2. Nella finestra Simulatore di minaccia , fare clic sul link Read More per la simulazione e selezionare il tipo di contenuto che si desidera rivedere.

    In alternativa, dalla scheda Attività di registrazione è possibile eseguire la ricerca rapida denominata CE: Eventi Sysmon per visualizzare tutti gli eventi associati all'offensiva.