Threat Monitoring
IBM Security QRadar Threat Monitoring Content Extension は、脅威イベントと検出に焦点を当てたルール コンテンツとビルディング ブロックを QRadar に追加します。 この拡張機能は、新しい QRadar インストール済み環境を持つ管理者向けに、 QRadar の基本ルール・セットを拡張します。
このコンテンツ拡張には、 QRadar Threat Intelligence アプリケーション (https://exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:ThreatIntelligence) が必要です。
このコンテンツ拡張には、1 つ以上の Pulse ダッシュボードが組み込まれています。 Pulse ダッシュボードについて詳しくは、 QRadar Pulse アプリケーションを参照してください。
IBM Security QRadar Threat Monitoring コンテンツ拡張
- IBM セキュリティ QRadar 脅威監視コンテンツ拡張機能 3.1.0
- IBM Security Threat Monitoring Content Extension QRadar 3.0.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.6.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.6
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.1
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.1
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.1
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.1
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.1
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.3
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.2
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.1
- IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.0
IBM セキュリティ QRadar 脅威監視コンテンツ拡張機能 3.1.0
次の表は、 IBM Security QRadar Threat Monitoring Content Extension 3.1.0 で更新されるルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Chromeloaderの拡張機能が判明 | このルールは、 ChromeLoader と矛盾しないロジックで警告を発する。 Chromeへの拡張機能のロードを伴う符号化されたコマンド引数がログで確認された。 このルールのソースは、Red Canary、脅威検出レポート、 ChromeLoader。 |
| ルール | Chromeloader NW.js ランタイムアプリのインストールパス | このルールは、 NW.js アプリケーションのインスタンスが署名されておらず、かつ、 ChromeLoader から実行されているかをチェックすることにより、 を検出する%AppData/Roaming%.この動作は ChromeLoader, 固有のものではなく、正規のアプリケーションを検出しないようにするためには、いくつかのチューニングが必要かもしれません。 このルールには、 NW.js runtime アプリのインストールパスなど、一般的な ChromeLoader の一部リストが含まれており、シグナルとノイズを区別するのに役立ちます。 |
| ルール | PromptLock 活動の可能性 | PromptLock は新しいランサムウェアの亜種で、悪意のあるGolangファイルを使用して、この攻撃を実行するための悪意のあるカスタムLUAファイルを生成します。 |
IBM Security QRadar Threat Monitoring Content Extension 3.0.0
次の表は、 IBM Security QRadar Threat Monitoring Content Extension 3.0.0 で更新されるルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | 既知の悪質なユーザーエージェント | このルールは、多くの既知の悪意のあるユーザーエージェントを検出するように設計されています。 |
| ルール | HTTP 空のユーザーエージェントでのリクエスト | このルールは、空のユーザーエージェントを持つ HTTP リクエストを検出する。 |
| ルール | 疑わしいユーザーエージェント | このルールは、さらなる調査が必要な疑わしいユーザーエージェントを検出するように設計されている。 |
| ルール | SocGholish_Malware_WScript_Reconnaissance | このルールは、 wscript.exe を使用して JavaScript を実行することにより、 SocGholish の脅威が環境内で初期アクセス活動を行うことを検知する。 |
| ルール | SocGholish_Malware_Whoami_Reconnaissance | このルールは、攻撃者がコマンドを実行し、その内容を出力しようとする偵察活動を検知する。 |
攻撃対象領域管理パルス・ダッシュボードの 「新しい高リスク・ターゲット」 ウィジェットと 「高リスク・ターゲット-円」 ウィジェットが更新されました。
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.6.0
次の表は、 IBM Security QRadar Threat Monitoring Content Extension 2.6.0 で更新されるルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | 新しい高優先度ターゲットが検出されました | 新しい高優先度ターゲットが検出されたときにトリガーされます。 |
攻撃対象領域管理パルス・ダッシュボードの 「新しい高リスク・ターゲット」 ウィジェットと 「高リスク・ターゲット-円」 ウィジェットが更新されました。
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.6
次の表は、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.6で新しく導入されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: Web Servers | ローカル・システムによって検出されるイベント、およびイベントが Apache HTTP Server、Microsoft IIS、NGINX HTTP Server、または Amazon AWS Route 53 によって検出されたときに検出されるイベントを定義します。 |
| ルール | Website Manipulations via SQL Injection | SQL インジェクションなどの異常な動作が検出されたときにトリガーされます。 検出されたイベントが新しいオフェンスを作成し、送信元 IP アドレスによってオフェンスを選択するように強制します。 |
| ルール | Microsoft Windows RCE 脆弱性-certutil を使用した疑わしいダウンロード | この規則は、Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」Exchange Server を発行しました。 検出されたイベントを強制的に新規オフェンスを作成し、送信元 IP アドレスによってオフェンスを選択します。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5で新しく導入されたルールを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Microsoft Windows RCE 脆弱性-ファイル変更 | Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」を発行しました。 |
| ルール | Microsoft Windows RCE 脆弱性-certutil を使用した疑わしいダウンロード | Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」を発行しました。 |
| ルール | Microsoft Windows RCE 脆弱性-疑わしいファイル | Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」を発行しました。 |
| ルール | Microsoft Windows RCE 脆弱性-疑わしいハッシュ | 既知の Windows RCE SHA256 ハッシュを検出します。 |
| ルール | Microsoft Windows RCE 脆弱性-疑わしい IP | 既知の Windows RCE IP を検出します。 注: このルールに一致するイベントの数を減らすために、ログ・ソースに基づいてルールをチューニングしてください。
|
次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5で新しく追加されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | 説明 |
|---|---|---|
| ファイル・ディレクトリー | はい | DSM ペイロードからのファイル・ディレクトリーのデフォルト・カスタム抽出。 |
| ファイル名 | はい | DSM ペイロードからのファイル名のデフォルト・カスタム抽出。 |
| プロセス・コマンド行 | はい | DSM ペイロードからのプロセス・コマンド行のデフォルト・カスタム抽出。 |
| UrlHost | はい | DSM ペイロードからの UrlHost のデフォルト・カスタム抽出。 |
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5の新規リファレンス・セットを示します。
| 名前 |
|---|
| Windows RCE IP |
| Windows RCE SHA256 ハッシュ |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0
次の表は、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0で新しく導入されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: アタック・サーフェス・マネジメント | システム上のすべての攻撃面管理デバイスを定義します。 |
| ルール | 検出された新規クリティカル・テンプテーション・ターゲット | 新しい重要な誘惑のターゲットが検出されたときにトリガーされます。 |
| ルール | 新しい高優先度ターゲットが検出されました | 新しい高優先度ターゲットが検出されたときにトリガーされます。 |
| ルール | 新しい高誘惑のターゲットが検出されました | 新しい高誘惑のターゲットが検出されたときにトリガーされます。 |
| ルール | Critical Temptation Target Changed to Lower Temptation (重要な誘惑のターゲットが下位の温度に変更された) | 重要な誘惑のターゲットが中または低の誘惑に減少したときにトリガーされます。 |
| ルール | 高優先順位ターゲットが低優先順位に変更されました | 高優先度ターゲットの優先度の値が減少したときにトリガーされます。 |
| ルール | High Temptation Target Changed to Lower Temptation (高い誘惑のターゲットが下位温度に変更されました) | 高誘惑のターゲットが中または低誘惑に低下したときにトリガーされます。 |
次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0で新しく導入されたカスタム・プロパティーを示します。
| 名前 | 説明 |
|---|---|
| 優先順位 | DSM ペイロードからの優先度のデフォルト・カスタム抽出。 |
| ターゲット ID | DSM ペイロードからのターゲット ID のデフォルト・カスタム抽出。 |
| 誘惑 (Temptation) | DSM ペイロードからの一時データのデフォルト・カスタム抽出。 |
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0で新しく導入されたリファレンス・セットを示します。
| 名前 | 説明 |
|---|---|
| クリティカル・テンプテーション・ターゲット | 重要な誘惑ターゲットのリストを管理する。 |
| 高優先度ターゲット | 優先順位の高いターゲットのリストを維持します。 |
| ハイ・テンプテーション・ターゲット | 誘惑の多いターゲットのリストを管理する。 |
新しい Pulse ダッシュボード「 Attack Surface Management Devices Overview」が追加されました。
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.1
- 同じホスト上で複数の脅威が検出されました (マシン ID 別)
- 同じホストで同じ脅威が検出されました (マシン ID による)
- 同じネットワーク上で異なるホストで同じ脅威が検出された (マシン ID 別)
- 複数のホストで同じ脅威が検出されました (マシン ID 別)
- 複数のサーバーで同じ脅威が検出されました (マシン ID 別)
- 同じホスト上で複数のクリーンでない脅威が検出されました (マシン ID 別)
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.0
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.0で更新されたルールを示しています。
| タイプ | 名前 | 更新 |
|---|---|---|
| ルール | Multiple Unclean Threats Detected on Same Host | ルール条件が更新されました。 |
| ルール | Multiple Vector Attack Source | ルールが更新され、BB:CategoryDefinition: Virus Detected の代わりに BB:CategoryDefinition: Malware Annoyances が使用されるようになりました。 |
| ルール | Potential HTTP DoS Flooding | ルール条件が更新されました。 |
| ルール | 危殆化されたホストから許可された SMB トラフィック | 誤ったリファレンス・セット・リンクが修正されました。 |
| ルール | 侵害されたホストからの正常なログイン | 誤ったリファレンス・セット・リンクが修正されました。 |
| ルール | Suspicious Web Server Activities | ルール条件が更新されました。 |
- BB:CategoryDefinition: Malware Annoyances
- BB:Policy Violation: Application Policy Violation: NNTP to Internet
- BB:Policy Violation: IRC IM Policy Violation: IM Communications
- BB:Policy Violation: Mail Policy Violation: Outbound Mail Sender
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.1
IBM Security QRadar Threat Monitoring Content Extension 2.3.1 には、 QRadar 7.4.1 以前でインストールが失敗する原因となった問題のフィックスが含まれています。
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0
以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.3.0の新規ビルディング・ブロックを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:BehaviorDefinition: 敵対する可能性のあるホストとのコミュニケーション(フロー・リファレンス・セット) | リファレンス・セット別に分類された潜在的な悪意のあるホストとの通信を定義します。 「XFE ATPF」接頭部で始まるリファレンス・セットは、Threat Intelligence アプリケーションによって自動的に管理され、有料サブスクリプションが必要になります。 Threat Intelligence アプリケーションによって提供されるその他のリファレンス・セットは、サード・パーティーの Threat Intelligence フィードを組み込むために使用できます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: 潜在的な敵対的ホストとの通信 (X-Force の分類によるフロー) | X-Force によってカテゴリー化された潜在的な悪意のあるホストとの通信を定義します。 信頼性係数の範囲は 0 から 100 です。 |
| ビルディング・ブロック | BB:BehaviorDefinition: 敵対する可能性のあるIPアドレスとの通信(フロー・リファレンス・セット) | リファレンス・セット別に分類された潜在的な悪意のある IP アドレスとの通信を定義します。 「XFE ATPF」接頭部で始まるリファレンス・セットは、Threat Intelligence アプリケーションによって自動的に管理され、有料サブスクリプションが必要になります。 Threat Intelligence アプリケーションによって提供されるその他のリファレンス・セットは、サード・パーティーの Threat Intelligence フィードを組み込むために使用できます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: 敵対的な可能性のある IP アドレスとの通信 (X-Force による分類のフロー) | X-Force によってカテゴリー化された潜在的な悪意のある IP アドレスとの通信を定義します。 |
以下のリストは、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0で更新されたルールおよびビルディング・ブロックを示しています。
- BB: 脅威: 疑わしいネットワーク・トラフィック (Threat: Suspicious Network Traffic)
- BB: 脅威: 疑わしい IP ネットワーク・トラフィック
- BB: 脅威: X-Force Premium: ホストへの内部接続 (暗号通貨マイニングに分類される)
- 潜在的な悪意のあるホストとの通信 (フロー)
- 潜在的な悪意のある IP アドレスとの通信 (フロー)
- X-Force: マルウェアに分類されたホストへの内部接続
- X-Force: Anonymizer として分類されたホストとの内部ホスト通信
- X-Force: メール・サーバーが SPAM として分類されたサーバーにメールを送信しています
- X-Force: SPAM に分類されたサーバーにメールを送信する非メール・サーバー
- X-Force: 非サーバーが動的として分類された外部 IP と通信
- X-Force: 動的として分類された外部 IP と通信するサーバー
- X-Force: リモート・プロキシーまたは匿名化サービスからの成功したインバウンド接続
- X-Force: リモート・プロキシーまたは匿名化サービスへの成功したアウトバウンド接続
以下のリストは、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 詳細の更新 |
|---|---|---|
| ビルディング・ブロック | DeviceDefinition:DNS | 追加のログ・ソースが追加されました。 |
| ビルディング・ブロック | DeviceDefinition: ウェブサーバー | 追加のログ・ソースが追加されました。 |
| ルール | Log4Shell Base Pattern in Flows | 削除されたBB:CategoryDefinition 成功したコミュニケーション |
| ルール | Log4Shell Evasion Pattern in Flows | 削除されたBB:CategoryDefinition 成功したコミュニケーション |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.1
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.1で新しく導入された、または更新されたルールを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | 同じホストで複数の脅威が検出されました | 同じホスト上で複数の脅威が検出された場合にトリガーされます。 |
| ルール | 複数のホストで同じ脅威が検出されました | サーバーではない複数のホストで同じ脅威が検出された場合にトリガーされます。これは、ネットワークにマルウェアが拡散していることを示している可能性があります。 |
| ルール | 複数のサーバーで同じ脅威が検出されました | サーバーである複数のホストで同じ脅威が検出された場合にトリガーされます。これは、ネットワーク内で拡散しているマルウェアの存在を示す可能性があります。 |
| ルール | 同じホストで同じ脅威が検出されました | 同じホスト上で同じ脅威が複数回検出された場合にトリガーされます。 この規則は、AV が脅威自体ではなく脅威によって生成されたファイルをクリーニングしていることを示している可能性があります。 AV によって少なくとも 2 サイクルの検査が行われるのに十分な時間枠を設定してください。 |
| ルール | 同じネットワーク上の異なるホストで同じ脅威が検出されました | ネットワーク階層の同じセグメント内の異なるホスト上で同じ脅威が検出された場合にトリガーされます。これは、ネットワーク内で拡散しているマルウェアの存在を示している可能性があります。 |
| ルール | X-Force: リモート・プロキシーまたは匿名化サービスへの成功したアウトバウンド接続 | リモート・プロキシーまたは匿名化サービスとの通信が監視されたときにトリガーされます。 これらのサービスは通常、送信元 IP の発信元アドレスで非表示になります。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0
次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0で新しく導入された、または更新されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | 場所 |
|---|---|---|
| File Hash | はい | |
| HTTP コンテンツ・タイプ | はい | ベースライン保守 |
| HTTP GET 要求 | はい | ベースライン保守 |
| HTTP ホスト | はい | ベースライン保守 |
| HTTP リファラー | はい | ベースライン保守 |
| HTTP Server | はい | ベースライン保守 |
| HTTP User-Agent | はい | ベースライン保守 |
以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.2.0の新機能を示します。
| 名前 | 説明 |
|---|---|
| Log4j Detected | log4j 難読化手法を検出します。 |
次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0で新しく導入されたルールまたは更新されたルールを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition: Database Access Denied | アクセス拒否と考えられるデータベース・イベントを識別します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Malware Annoyances | スパイウェア感染イベントを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Virus Detected | ウィルス検出イベントを定義します。 |
| ビルディング・ブロック | BB:FalseNegative: Events That Indicate Successful Compromise | 危殆化成功イベントを定義します。 |
| ビルディング・ブロック | BB:NetworkDefinition: Undefined IP Space | 有効なホストが含まれないネットワークの領域を定義します。 |
| ビルディング・ブロック | BB:NetworkDefinition: Watch List Addresses | 監視リストに含めるネットワークを定義します。 |
| ルール | Exploit Followed by Suspicious Host Activity | エクスプロイト・イベントまたは攻撃イベントの後に続いて、疑わしいアクティビティー・イベントが発生した場合にトリガーされます。これは、攻撃が成功したことを示している可能性があります。 |
| ルール | Exploit: Exploits Followed by Firewall Accepts | エクスプロイト・イベントまたは攻撃イベントの後に続いてファイアウォール許可イベントが発生した場合にトリガーされます。これは、攻撃が成功したことを示している可能性があります。 |
| ルール | Exploit/Malware Events Across Multiple Destinations | エクスプロイト・イベントまたはマルウェア・イベントが複数の宛先ホストで検出された場合にトリガーされます。 これは、悪意のあるソフトウェアまたは攻撃者が、ネットワーク上の脆弱なホストを悪用していることを示している可能性があります。 |
| ルール | Log4Shell Base Pattern in Flows | Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。 |
| ルール | Log4Shell Evasion Pattern in Flows | Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。 |
| ルール | Log4Shell Hash in Events | ファイル・ハッシュがルール条件に追加されました |
| ルール | Multiple Unclean Threats Detected on Same Host | 同じホストで複数の脅威が検出され、クリーンアップでも検疫でもないアンチウィルス・アクションが実行された場合にトリガーされます。 注: このルールは、許容されるアンチウィルス・アクションを反映するようにチューニングする必要があります。
|
| ルール | Multiple Vector Attack Source | 1 台の送信元ホストが複数の攻撃ベクトルを試行した場合にトリガーされます。 これは、ある資産を送信元ホストが特にターゲットとして定めていることを示している可能性があります。 |
| ルール | Potential DoS Attack via Web Server Response Time | QID と一致するようにルールが更新されました。 |
| ルール | Potential Log4Shell Activity | Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。 |
| ルール | Potential Log4Shell Activity (Flows) | Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。 |
| ルール | Source Vulnerable to any Exploit | 脆弱性が 1 つ以上あるソースでローカル・ホストが攻撃された場合にトリガーされます。 これは、このホストが過去のエクスプロイトでターゲットにされていたことを示している可能性があります。 |
| ルール | Source Vulnerable to this Exploit | ローカル・ホストが攻撃され、送信元ホストが、使用されている攻撃に対して脆弱である場合にトリガーされます。 これは、このホストが過去のエクスプロイトまたは脆弱性でターゲットにされていたことを示している可能性があります。 |
| ルール | Successful Signature Compromise | ホストの署名の危殆化に成功した場合にトリガーされます。 |
| ルール | Website Manipulation via SQL Injection | AQL フィルターが更新されました。 |
- BB:CategoryDefinition: Any Flow
- BB:CategoryDefinition: Authentication Success
- BB:CategoryDefinition: Exploits Backdoors and Trojans
- BB:CategoryDefinition: Firewall or ACL Accept
- BB:CategoryDefinition: Firewall or ACL Denies
- BB:CategoryDefinition: IRC Detected based on Application
- BB:CategoryDefinition: IRC Detected based on Event Category
- BB:CategoryDefinition: IRC Detection based on Firewall Events
- BB:CategoryDefinition: Mail Policy Violation
- BB:CategoryDefinition: Post Exploit Account Activity
- BB:CategoryDefinition: Recon Event Categories
- BB:CategoryDefinition: Recon Events
- BB:CategoryDefinition: Recon Flows
- BB:CategoryDefinition: Successful Communication
- BB:CategoryDefinition: Suspicious Event Categories
- BB:CategoryDefinition: Suspicious Events
- BB:CategoryDefinition: Suspicious Flows
- BB:CategoryDefinition: Unidirectional Flow
- BB:CategoryDefinition: Unidirectional Flow DST
- BB:CategoryDefinition: Unidirectional Flow SRC
- BB:DeviceDefinition: AV/AM
- BB:DeviceDefinition: FW / Router / Switch
- BB:DeviceDefinition: IDS / IPS
- BB:DeviceDefinition: Proxy
- BB:Flowshape: Inbound Only
- BB:Flowshape: Outbound Only
- BB:HostDefinition: Database Servers
- BB:HostDefinition: DHCP Servers
- BB:HostDefinition: DNS Servers
- BB:HostDefinition: FTP Servers
- BB:HostDefinition: LDAP Servers
- BB:HostDefinition: Mail Servers
- BB:HostDefinition: Network Management Servers
- BB:HostDefinition: Proxy Servers
- BB:HostDefinition: RPC Servers
- BB:HostDefinition: Servers
- BB:HostDefinition: SNMP Sender or Receiver
- BB:HostDefinition: SSH Servers
- BB:HostDefinition: Virus Definition and Other Update Servers
- BB:HostDefinition: Web Servers
- BB:HostDefinition: Windows Servers
- BB:HostReference: Database Servers
- BB:HostReference: DHCP Servers
- BB:HostReference: DNS Servers
- BB:HostReference: FTP Servers
- BB:HostReference: LDAP Servers
- BB:HostReference: Mail Servers
- BB:HostReference: Proxy Servers
- BB:HostReference: SSH Servers
- BB:HostReference: Web Servers
- BB:HostReference: Windows Servers
- BB:NetworkDefinition: Honeypot like Addresses
- BB:PortDefinition: Common Worm Ports
- BB:PortDefinition: Database Ports
- BB:PortDefinition: DHCP Ports
- BB:PortDefinition: DNS Ports
- BB:PortDefinition: FTP Ports
- BB:PortDefinition: IRC Ports
- BB:PortDefinition: LDAP Ports
- BB:PortDefinition: Mail Ports
- BB:PortDefinition: Proxy Ports
- BB:PortDefinition: RPC Ports
- BB:PortDefinition: SNMP Ports
- BB:PortDefinition: SSH Ports
- BB:PortDefinition: Web Ports
- BB:PortDefinition: Windows Ports
- BB:ProtocolDefinition: Windows Protocols
- ローカル: 非標準ポートで FTP が検出されました
- Local: SSH or Telnet Detected on Non-Standard Port
- 可能なローカル IRC サーバー
- Potential Honeypot Access
- リモート: 非標準ポートで FTP が検出されました
- Remote: Local P2P Client Connected to more than 100 Servers
- Remote: Local P2P Client Detected
- Remote: Local P2P Server Detected
- Remote: SMTP Mail Sender
- Remote: SSH or Telnet Detected on Non-Standard Port
- リモート: 疑わしい量の IM/Chat トラフィック (Remote: Suspicious Amount of IM/Chat Traffic)
- Remote: Usenet Usage
以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.2.0で新しく導入された、または更新された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| Potential Log4Shell Detected | イベントに含まれている Log4j アクティビティーを検出するための検索を実行します。 |
| Potential Log4Shell Detected (Flows) | フローに含まれている Log4j アクティビティーを検出するための検索を実行します。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.1
いくつかのルールおよび保存済み検索で使用されている HOMOGLYPH::DETECTED カスタム関数のエラー処理が更新されました。
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.1で新しく導入された、または更新されたリファレンス・データを示します。
| 名前 | 説明 |
|---|---|
| Malicious URLs | 識別された悪意のある URL をリストします。 |
| Malware URLs | 識別されたマルウェア URL をリストします。 |
| フィッシング URL | 識別されたフィッシング URL をリストします。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0
次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | 場所 |
|---|---|---|
| API パス | いいえ | Amazon AWS |
| MD5 ハッシュ | いいえ | Cisco AMP |
| 親 MD5 ハッシュ (Parent MD5 Hash) | いいえ | Cisco AMP |
| 親 SHA1 ハッシュ (Parent SHA1 Hash) | いいえ | Cisco AMP |
| 親 SHA256 ハッシュ (Parent SHA256 Hash) | いいえ | Cisco AMP |
| 参照者 URL (Referrer URL) | はい | |
| 要求 URI | いいえ | Amazon AWS |
| SHA1 ハッシュ | いいえ | Cisco AMP |
| SHA256 ハッシュ | いいえ | Cisco AMP |
| URL | はい | |
| URL パス | いいえ | Cisco AMP |
| UrlHost | はい | |
| ユーザー・エージェント | いいえ |
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたルールを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Log4Shell Base Pattern | Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。 |
| ルール | Log4Shell Evasion Pattern | Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。 |
| ルール | Log4Shell Hash in Events | Log4Shell エクスプロイト (CVE-2021-44228) に関連する IOC (ファイル・ハッシュ) がイベントで検出された場合にトリガーされます。 注: Log4Shell MD5、 Log4Shell SHA1、および Log4Shell SHA256 リファレンス・セットが事前に取り込まれています。 適切な IoC を指定して、これらのリファレンス・セットを調整してください。
|
| ルール | Log4Shell Hash in Flows | Log4Shell エクスプロイト (CVE-2021-44228) に関連する IOC (ファイル・ハッシュ) がフローで検出された場合にトリガーされます。 注: Log4Shell MD5、 Log4Shell SHA1、および Log4Shell SHA256 リファレンス・セットが事前に取り込まれています。 適切な IoC を指定して、これらのリファレンス・セットを調整してください。
|
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたリファレンス・データを示します。
| 名前 | 説明 |
|---|---|
| Log4Shell MD5 | このリファレンス・セットには、Log4Shell (CVE-2021-44228) に関連する MD5 ハッシュがリストされています。 |
| Log4Shell SHA1 | このリファレンス・セットには、Log4Shell (CVE-2021-44228) に関連する SHA1 ハッシュがリストされています。 |
| Log4Shell SHA256 | このリファレンス・セットには、Log4Shell (CVE-2021-44228) に関連する SHA256 ハッシュがリストされています。 |
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| Historical Instances of Log4Shell - Events | イベントに含まれている Log4j アクティビティーを検出するための検索を実行します。 |
| Historical Instances of Log4Shell - Flows | フローに含まれている Log4j アクティビティーを検出するための検索を実行します。 |
| Log4Shell Base Pattern | Log4j アクティビティーを検出するための検索を実行します。 |
| Log4Shell Evasion Pattern | Log4j アクティビティーを検出するための検索を実行します。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0
次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0で新しく導入された、または更新されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | 場所 |
|---|---|---|
| BytesReceived | はい | |
| BytesSent | はい | |
| Method | いいえ | |
| 参照者 URL (Referrer URL) | はい | |
| 応答コード | いいえ | |
| Server Response Time | はい | Apache |
| URLエリ文字列 | いいえ |
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0で新しく導入された、または更新されたルールおよびビルディング・ブロックを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: Web Servers | システム上の DNS デバイスを定義します。 |
| ビルディング・ブロック | BB:Threats: HTTP Client Status | 誤った形式の Web サーバー・クライアント要求を検出します。 |
| ビルディング・ブロック | BB:Threats: HTTP Server Status | 誤った形式の Web サーバー要求を検出します。 |
| ビルディング・ブロック | BB:Threats: HTTP Service Unavailable | Web サーバー・サービスが使用できない状態にあることを検出します。 |
| ビルディング・ブロック | BB:Threats: Potential DoS Attack | Web サーバーがサービス妨害攻撃を受けている可能性があることを検出します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Network Traffic | 悪意のある IP アドレスとして X-Force によって分類された IP アドレスからの疑わしいネットワーク・トラフィックを Web サーバー上で検出します。 |
| ビルディング・ブロック | BB:Threats: Suspicious Network Traffic | 悪意のある IP アドレスとして X-Force によって分類された IP アドレスからの疑わしいネットワーク・トラフィックを Web サーバー上で検出します。 |
| ビルディング・ブロック | BB:Threats: Unsafe HTTP Methods | Web サーバーの HTTP メソッドが安全でないことを検出します。 |
| ルール | トロイの木馬である可能性があるコードを配信していることが知られている Web サイトとの通信 | ルールの応答を更新しました。 |
| ルール | Potential Continued Risky Web Server Activity | 安全でない HTTP メソッドが連続して検出された場合にトリガーされます。 これは、悪意のある攻撃者が Web アプリケーション・コンテンツを更新していることを示している可能性があります。 |
| ルール | Potential DoS Attack on a Web Server | 単一の送信元 IP アドレスからサービス妨害攻撃を受けている可能性があることが検出された場合にトリガーされます。 |
| ルール | Potential DoS Attack via Web Server Response Time | ある IP アドレスからのトラフィックが多すぎるためにサーバー応答時間が指数関数的に増加した場合にトリガーされます。 これは、不正なユーザー、不正なボット、およびサービス妨害攻撃の可能性があることを示している場合があります。 |
| ルール | Potential HTTP DoS Flooding | Web サーバーで HTTP 要求のフラッディングが発生した場合にトリガーされます。 これは、悪意のある攻撃者が、Web サーバーに対して一連の HTTP 要求を開始することにより、処理できる以上の HTTP 要求を送信して、Web サーバーでフラッディングを発生させたことを示している可能性があります。 |
| ルール | Potential Malicious Activity Identified by Referrer URL | 悪意のあるアクティビティーによるものと考えられるリファラー URL が検出された場合にトリガーされます。 |
| ルール | Potential Website Content Update | Web アプリケーションに対して変更または更新が行われた場合にトリガーされます。 これは、悪意のある攻撃者が、Web ページのコンテンツを更新して改ざんしていることを示している可能性があります。 |
| ルール | 同じホストで同じ脅威が検出されました | IP アドレスを含むように更新されました。 |
| ルール | 疑わしい DNS 照会の長さ | ルール条件が更新されました。 |
| ルール | Suspicious Network Traffic to Internal Web Server | 悪意のある既知の IP アドレスとして X-Force によって分類されたものと一致する IP アドレスが同じ URL を複数回スキャンした場合にトリガーされます。 |
| ルール | Suspicious Web Server Activities | Web サーバー・クライアント・エラーまたはサーバー・エラーのどちらかが検出された場合にトリガーされます。 これは疑わしいアクティビティーを示している可能性があります。 |
| ルール | Website Manipulations via SQL Injection | SQL インジェクションなどの異常な動作が検出された場合にトリガーされます。 |
以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0で新しく導入された、または更新されたリファレンス・データを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | Malware URLs | このリファレンス・セットは、識別されたマルウェア URL をリストします。 |
| リファレンス・セット | XFE ATPF-mw_url | このリファレンス・セットは、識別されたマルウェア URL をリストします。 |
以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.0.0で新しく導入された、または更新された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| Response Time By Server | この検索では、平均要求時間がサーバー別に示されます。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.1
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.1のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| 脅威名 | はい | 1 | emailThreats=([^\s]+) EVC_EV_VIRUS_NAME=([^¥s]+) malware_signature=([^¥t]+) Spyware¥/Grayware: ([^¥s]+) threatName=([^\s]+) virus_name: "(.*?)" Virus¥/Malware: ([^¥s]+) VirusName=([^\t]+) |
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| DNS 要求タイプ | いいえ | 1 1 2 |
cat=([^_]+) Question Type=([^¥s]+) query:¥s([^¥s]+)¥s¥w+¥s(¥w+) |
| サブタイプ(subtype) | いいえ | 1 | Send/Receive indicator=([^¥s]+) |
次の表は、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0 で使用される、他のコンテンツ拡張に含まれるカスタム・プロパティーを示しています。
| カスタム・プロパティー | 最適化済み | 場所 |
|---|---|---|
| エラー・コード | はい | |
| プロセス名 | はい | |
| UrlHost | はい |
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: DNS | システム上の DNS デバイスを定義します。 |
| ルール | 潜在的な悪意のあるホストとの通信 (フロー) | フロー・コンテンツに含まれているホストが、既知の悪意のあるホスト (X-force によって分類されたかまたはリファレンス・セット・コレクションに含まれているホスト) と一致するときにトリガーされます。 注: 「悪意のある URL」、 「マルウェア URL」、および 「フィッシング URL」 リファレンス・セットにデータを取り込む必要があります。 Threat Intelligence アプリケーションを使用して、これらのリファレンス・セットに脅威インテリジェンス・フィードをインポートできます。
|
| ルール | 潜在的な悪意のある IP アドレスとの通信 (フロー) | フロー・コンテンツに含まれている IP が、既知の悪意のある IP アドレス (X-force によって分類されたかまたはリファレンス・セット・コレクションに含まれている IP アドレス) と一致するときにトリガーされます。 注: 「Malware IPs」、「Botnet IPs」、「Botnet C&C IPs」、「Phishing IPs」、「Anonymizer IPs」の各リファレンス・セットに、データを設定しておく必要があります。 Threat Intelligence アプリケーションを使用して、これらのリファレンス・セットに脅威インテリジェンス・フィードをインポートできます。 |
| ルール | 危殆化されたホストからの過度の拒否された SMB トラフィック | セキュリティーの危険があるホストとして分類されたホストからの過剰な SMB 接続の試みが実行されたときにトリガーされます。 |
| ルール | Potential Homoglyph Usage | ドメイン名にホモグリフ文字 (同一または非常によく似た形をした文字) が含まれているときにトリガーされます。このような文字があると、ドメイン名が一見するとトラステッド・ドメインと同じ名前に見えるため、悪意のあるホストにリダイレクトされる可能性があります。 カスタム関数 HOMOGLYPH::DETECTED には、1792 個のホモグリフ文字項目が事前に設定されています。このカスタム関数は、ストリングを受け入れ、そのストリングにホモグリフ文字が含まれている場合は true を返します。 注: このルールをトリガーする可能性があるイベントを表示するには、 「Potential Homoglyph Usage」 検索を使用します。 ルールおよびオフェンス作成を有効にする前に、有効な文字を指定して、ルールを調整します。
|
| ルール | Potential Homoglyph Usage (Flows) | ドメイン名にホモグリフ文字 (同一または非常によく似た形をした文字) が含まれているときにトリガーされます。このような文字があると、ドメイン名が一見するとトラステッド・ドメインと同じ名前に見えるため、悪意のあるホストにリダイレクトされる可能性があります。 カスタム関数 HOMOGLYPH::DETECTED には、1792 個のホモグリフ文字項目が事前に設定されています。このカスタム関数は、ストリングを受け入れ、そのストリングにホモグリフ文字が含まれている場合は true を返します。 注: このルールをトリガーする可能性があるフローを表示するには、 「Potential Homoglyph Usage (Flows)」 検索を使用します。 ルールおよびオフェンス作成を有効にする前に、有効な文字を指定して、ルールを調整します。
|
| ルール | 危殆化されたホストから許可された SMB トラフィック | セキュリティーの危険があるホストとして分類されたホストからの SMB トラフィックが許可されたときにトリガーされます。 |
| ルール | 侵害されたホストからの正常なログイン | セキュリティーの危険があるホストとして分類されたホスト上で成功した認証が実行されたときにトリガーされます。 |
| ルール | 疑わしい DNS 照会の長さ | DNS が異常に長いときにトリガーされます。これは、DGA ドメインおよび Onion ドメインを示している可能性があります。 |
| ルール | DNS 照会を開始する疑わしいプログラム (ウィンドウ) | 正当なプログラムとして参照されていないプログラムが DNS 照会を開始しているときにトリガーされます。 注: 「DNS Application Whitelist」 リファレンス・セットには、DNS 照会の生成を許可されたアプリケーションを取り込む必要があります。
|
重大度、信頼性、関連性、および応答リミッターは、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0で更新されています。
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0で名前変更されたルールを示しています。
| 古い名前 | 新しい名前 |
|---|---|
| Local: Hidden FTP Server | ローカル: 非標準ポートで FTP が検出されました |
| Remote: IM/Chat | リモート: 疑わしい量の IM/Chat トラフィック (Remote: Suspicious Amount of IM/Chat Traffic) |
| X-Force プレミアム: マルウェアに分類されたホストへの内部接続 | X-Force: マルウェアに分類されたホストへの内部接続 |
| X-Force プレミアム:ボットネットURL と通信する内部ホスト | X-Force: ボットネットURL と通信中の内部ホスト |
| X-Force プレミアム:マルウェアによる内部ホスト通信 URL | X-Force:マルウェアによる内部ホスト通信 URL |
| X-Force Premium: 匿名化に分類されたホストと通信する内部ホスト | X-Force: 匿名化に分類されたホストとの内部ホスト通信 |
| X-Force プレミアム: SPAM に分類されたサーバーにメールを送信するメール・サーバー | X-Force: メール・サーバーが SPAM に分類されたサーバーにメールを送信する |
| X-Force Premium: SPAM に分類されるサーバーにメールを送信する非メール・サーバー | X-Force: SPAM に分類されたサーバーにメールを送信する非メール・サーバー |
| X-Force Premium: Non-Servers Communicating with External IP Classified as Dynamic (X-Force Premium: 非サーバーが動的として分類された外部 IP と通信) | X-Force: 非サーバーが動的として分類された外部 IP と通信 (X-Force: Non-Servers Communicating with External IP Classified as Dynamic) |
| X-Force プレミアム: 動的として分類された外部 IP と通信するサーバー | X-Force: 動的として分類された外部 IP と通信するサーバー |
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0 では、ソース IP ではなくソース・アドレスを使用するように以下のルールが更新されました。
- 悪意のある Web サイトへの通信の失敗
- 同じホスト上で複数の脅威が検出されました
- 複数のホストでの同じ脅威の検出 (Same Threat Detected on Multiple Hosts)
- 複数のサーバーで同じ脅威が検出されました
- 同じホストで同じ脅威が検出されました
- 同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Hosts)
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0 では、宛先 IP ではなく宛先アドレスを使用するように以下のルールが更新されました。
- 危殆化されたホストからの過度の拒否された SMB トラフィック
- 危殆化されたホストから許可された SMB トラフィック
- 侵害されたホストからの正常なログイン
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0のリファレンス・セットを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・データ | pulse_imports | Pulse ダッシュボードの一部。 |
| リファレンス・セット | Anonymizer IPs | このリファレンス・セットは、識別されたアノニマイザー IP アドレスをリストします。 |
| リファレンス・セット | Botnet C&C IPs | このリファレンス・セットは、識別されたボットネット・コマンドおよび制御サーバーの IP アドレスをリストします。 |
| リファレンス・セット | Botnet IPs | このリファレンス・セットは、識別されたボットネット IP アドレスをリストします。 |
| リファレンス・セット | セキュリティーの危険があるホスト | このリファレンス・セットは、識別されたセキュリティーの危険があるホストをリストします。 |
| リファレンス・セット | DNS アプリケーション許可リスト | このリファレンス・セットは、DNS アプリケーション許可リストをリストします。 |
| リファレンス・セット | Malicious URLs | このリファレンス・セットは、識別された悪意のある URL をリストします。 |
| リファレンス・セット | 悪意のある Web カテゴリー | このリファレンス・セットは、識別された悪意のある Web カテゴリーをリストします。 |
| リファレンス・セット | Malware IPs | このリファレンス・セットは、識別されたマルウェア IP アドレスをリストします。 |
| リファレンス・セット | Malware URLs | このリファレンス・セットは、識別されたマルウェア URL をリストします。 |
| リファレンス・セット | Phishing IPs | このリファレンス・セットは、識別されたフィッシング IP アドレスをリストします。 |
| リファレンス・セット | フィッシング URL | このリファレンス・セットは、識別されたフィッシング URL をリストします。 |
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| Potential Homoglyph Usage | ホモグリフ文字の使用を検出します。 |
| Potential Homoglyph Usage (Flows) | フローでのホモグリフ文字の使用を検出します。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0に含まれているカスタム・プロパティーを示しています。
| カスタム・プロパティー | 場所 |
|---|---|
| 脅威名 | |
| URL | |
| Web カテゴリー |
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Illegal TCP Flag Combination | 正しくない TCP フラグの組み合わせが含まれているフローを識別します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Suspicious ICMP Type Code | 疑わしい Internet Control Message Protocol (ICMP) タイプ・コードが使用されている ICMP フローを識別します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: TCP or UDP Port 0 | ポート 0 を使用する疑わしいフローを識別します。 |
| ビルディング・ブロック | BB:HostDefinition:Proxy サーバー | 標準的なプロキシー・サーバーを定義するには、このビルディング・ブロックを編集します。 「BB:False Positive: Proxy Server False Positives Categories」および「BB:FalsePositve: Proxy Server False Positive Events」の各ビルディング・ブロックと共に使用します。 |
| ビルディング・ブロック | BB:CategoryDefinition: FW/ルーター/スイッチデバイスのファイアウォールまたはACLアクセプトイベント | ファイアウォール、ルーター、およびスイッチのデバイスからのファイアウォールまたは ACL の許可イベントを定義します。 |
| ビルディング・ブロック | BB:DeviceDefinition: AV/AM | システム上のすべてのアンチウィルス (AV) およびアンチマルウェア (AM) を定義します。 |
| ビルディング・ブロック | BB:DeviceDefinition: Proxy | システム上のすべてのプロキシー・ソースを定義します。 |
| ビルディング・ブロック | BB:DeviceDefinition: FW / Router / Switch | システムのすべてのファイアウォール、ルーター、およびスイッチを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Worm Events | ワーム・イベントを定義するにはこのビルディング・ブロックを編集します。 このビルディング・ブロックは、カスタム・ルールによっては検出されないイベントのみに適用されます。 |
| ビルディング・ブロック | BB:CategoryDefinition: Unidirectional Flow SRC | |
| ビルディング・ブロック | BB:Flowshape: Outbound Only | アウトバウンドのみのフローの突き合わせを行います。 |
| ビルディング・ブロック | BB:CategoryDefinition: Recon Event Categories | スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Suspicious Event Categories | 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:Threats: Scanning: ICMP Scan Low | 低レベルの ICMP スキャン行為を識別します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Zero Payload Bidirectional Flows | ペイロードを含まない双方向トラフィックを識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: Scan High | 高レベルの潜在的スキャン行為を識別します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Unidirectional Flow | |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Replys | ICMP 応答が要求なしで検出されるトラフィックを識別します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Flows | 単一方向 ICMP フローを識別します。 |
| ビルディング・ブロック | BB:Flowshape: Inbound Only | インバウンドのみのフローの突き合わせを行います。 |
| ビルディング・ブロック | BB:CategoryDefinition: Recon Flows | 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:Threats: Port Scans: UDP Port Scan | UDP ベースのポート・スキャンを識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: ICMP Scan Medium | 中レベルの ICMP スキャン行為を識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: Empty Responsive Flows Low | 送信元パケットのカウントが 500 を超える、スキャン行為である可能性のあるアクティビティーを検出します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Suspicious Flows | 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Suspicious Events | 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Long Duration Outbound Flow | 48 時間を超える期間の間アクティブであるフローを識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: Empty Responsive Flows Medium | 送信元パケットのカウントが 5,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Large ICMP Packets | サイズが異常に大きい ICMP パケットのフローを識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: ICMP Scan High | 高レベルの ICMP スキャン行為を識別します。 |
| ビルディング・ブロック | BB:Threats: Port Scans: Host Scans | フローによってスキャン行為の可能性を識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: Scan Medium | 中レベルの潜在的スキャン行為を識別します。 |
| ビルディング・ブロック | BB:Threats: Scanning: Scan Low | 低レベルの潜在的スキャン行為を識別します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Recon Events | スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:Threats: Scanning: Potential Scan | フローによってスキャン行為の可能性を識別します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Unidirectional Flow DST | |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage:Unidirectional TCP Flows | 単一方向 TCP フローを識別します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Mail Policy Violation | メール・ベースのポリシー違反行為と見なす行為があり、それを含めるには、このビルディング・ブロックを編集します。 例えば、メール・サーバーが発信元ではないポート 25 でのアウトバウンド・トラフィックなどです。 |
| ビルディング・ブロック | BB:Threats: Scanning: Empty Responsive Flows High | 送信元パケットのカウントが 100,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage: Large DNS Packets | サイズが異常に大きい DNS パケットのフローを識別します。 |
| ビルディング・ブロック | BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows | 単一方向 UDP フローや他の各種フローを識別します。 |
| ルール | リモート・プロキシーまたは匿名化サービス (インバウンド) |
|
| ルール | リモート・プロキシーまたは匿名化サービス (アウトバウンド) |
|
| ルール | WormDetection: Successful Connections to the internet on Common Worm Ports | 2 つのビルディング・ブロックを削除して、成功した接続のみに対する検証を行うために新しいビルディング・ブロックを使用するように、ルール・テストが更新されました。
|
| ルール | Successful Inbound Connection from a Known Botnet CandC | イベント/フローを正しくフィルタリングするようにルール条件が更新されました。 |
| ルール | 以前の SQL インジェクションに関与した Web サイトとの通信 | ルールの名前が変更されました (以前は web siteではなく siteでした)。 |
| ルール | 既知のブラックリストにリストされているか、ファスト・フラックスを使用している Web サイトとの通信 | ルールの名前が変更されました (以前は web siteではなく siteでした)。 |
| ルール | チェーニングされたエクスプロイトの後に 3 番目のホストで疑わしいイベントが続く | 元のイベントの 15 分以内に同じ宛先 IP から疑わしいアカウント・アクティビティーが続いて発生した、同じ送信元 IP からのエクスプロイト・アクティビティーまたは攻撃タイプのアクティビティーを送信元 IP が宛先 IP と等しくない場合にレポートします。 このルールは、ソースと宛先の IP が同じイベントを無視する「Chained Exploit Followed by Suspicious Events」ルールの代替として使用されることが意図されているため、デフォルトで無効になっています。 |
| ルール | 同じホスト上で複数の脅威が検出されました | 同じホスト上で複数の脅威が検出されたことを示します。 |
| ルール | 複数のホストでの同じ脅威の検出 (Same Threat Detected on Multiple Hosts) | サーバーではない複数のホストで同じ脅威が検出されたことを示します。 |
| ルール | 複数のサーバーで同じ脅威が検出されました | サーバーである複数のホストで同じ脅威が検出されたことを示します。 |
| ルール | 同じホストで同じ脅威が検出されました | 同じホストで同じ脅威が検出されたことを示します。 これは、脅威によって生成されたファイルを AV がクリーンアップしていて、脅威自体ではないことを示している可能性があります。 AV によって少なくとも 2 サイクルの検査が行われるのに十分な時間枠を設定してください。 |
| ルール | 同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Hosts) | 同じネットワーク階層の異なるホストで同じ脅威が検出されたことを示します。 |
| ルール | 悪意のある Web サイトへの通信の失敗 | 悪意のある Web サイトへの通信が失敗した場合に警告します。 |
| ルール | 悪意のある Web サイトへの通信の成功 | 悪意のある Web サイトへの通信が成功した場合に警告します。 |
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0で更新されたリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | 悪意のある Web カテゴリー | 悪意のある Web カテゴリーを定義します。 7 つの悪意のある Web カテゴリーが事前に定義されています。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.3
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.3で更新されたルールを示しています。
| タイプ | 名前 | 変更の説明 |
|---|---|---|
| ルール | Successful Inbound Connection from a Known Botnet Command and Control | 「any」値を「all」に変更するように、ルール・テストが更新されました。 このルールを変更した管理者は、ルール・テストを確認して all 値が設定されていることを判別する必要があります。
|
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.2
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.2で更新されたビルディング・ブロックを示しています。
| タイプ | 名前 | 変更の説明 |
|---|---|---|
| ビルディング・ブロック | BB:Suspicious: Remote: Unidirectional UDP or Misc Flows | 以下のいずれかのテストを使用するようにリモート・フロー BB の最後のルール・テストを更新しました。
|
| ビルディング・ブロック | BB:Suspicious: Local: Unidirectional UDP or Misc Flows | 以下のいずれかのテストを使用するようにローカル・フロー BB の最後のルール・テストを更新しました。
|
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.1
次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.1で更新されたビルディング・ブロックを示しています。
| タイプ | 説明 | 変更の説明 |
|---|---|---|
| ルール | Botnet: Potential Botnet Connection (DNS) | 次のルール・テストを追加しました。 |
| ルール | WormDetection: Successful Connections to the internet on Common Worm Ports | 次のルール・テストを追加しました。 |
| ルール | Botnet: Successful Inbound Connection from a Known Botnet Command and Control | 次のルール・テストを追加しました。 |
| ビルディング・ブロック | BB:DeviceDefinition: FW / Router / Switch | 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。 |
| ビルディング・ブロック | BB:CategoryDefinition: Pre DMZ Jump | 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。 |
| ビルディング・ブロック | BB:CategoryDefinition: Post DMZ Jump | 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。 |
IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.0
Threat Theme 拡張は、URL を識別するための 2 つのカスタム・イベント・プロパティー、10 のリファレンス・セット、58 の脅威関連ルール、および 56 のビルディング・ブロックを追加します。これにより、 QRadarのコンテンツ・アドオンは合計 126 個になります。 この拡張/コンテンツ・パックは、X-Force Premium IP レピュテーション・フィードが IBM QRadar SIEM アプライアンスで有効になっている管理者に必要です。 このコンテンツをインストールすると、 IBM X-Force Exchangeからのレピュテーション・フィードを処理する、必要な X-Force ルールが追加されます。Threat 拡張で追加されたカスタム・イベント・プロパティー
| 名前 | 正規表現 |
|---|---|
| URL | \(URL=(.*?)\) |
| URL | (?:cs-uri=| )(?:http|ftp|tcp|https):\/\/(.+?)\s |
| 名前 | タイプ |
|---|---|
| DNS サーバー | リファレンス・セット |
| データベース・サーバー | リファレンス・セット |
| DHCP サーバー | リファレンス・セット |
| FTP サーバー | リファレンス・セット |
| LDAP サーバー | リファレンス・セット |
| メール・サーバー | リファレンス・セット |
| プロキシー・サーバー | リファレンス・セット |
| SSH サーバー | リファレンス・セット |
| Web サーバー | リファレンス・セット |
| Windows Server | リファレンス・セット |
| 名前 | カテゴリー |
|---|---|
| X-Force プレミアム:マルウェアによる内部ホスト通信 URL | 脅威 (X-Force) |
| X-Force Premium: マルウェアに分類されたホストへの内部接続 | 脅威 (X-Force) |
| X-Force プレミアム:ボットネットURL と通信する内部ホスト | 脅威 (X-Force) |
| X-Force Premium: 匿名化に分類されたホストと通信する内部ホスト | 脅威 (X-Force) |
| X-Force Premium: 動的として分類された外部 IP と通信するサーバー | 脅威 (X-Force) |
| X-Force Premium: 非サーバーが動的として分類された外部 IP と通信 | 脅威 (X-Force) |
| X-Force Premium: SPAM に分類されたサーバーにメールを送信する非メール・サーバー | 脅威 (X-Force) |
| X-Force Premium: メール・サーバーが SPAM に分類されたサーバーにメールを送信しています | 脅威 (X-Force) |
| Local Mass Mailing Host Detected | 侵入後のアクティビティー |
| Remote: Client Based DNS Activity to the Internet | 侵入後のアクティビティー |
| Possible Local Worm Detected | 侵入後のアクティビティー |
| Local: Hidden FTP Server | 侵入後のアクティビティー |
| Local: SSH or Telnet Detected on Non-Standard Port | 侵入後のアクティビティー |
| Successful Connections to the Internet on Common Worm Ports | 侵入後のアクティビティー |
| Worm Detected (Events) | 侵入後のアクティビティー |
| Local Host Sending Malware | マルウェア |
| Remote: IRC Connections | コンプライアンス |
| Remote: IM/Chat | コンプライアンス |
| Remote: Local P2P Server Detected | コンプライアンス |
| Remote: Usenet Usage | コンプライアンス |
| Remote: SSH or Telnet Detected on Non-Standard Port | コンプライアンス |
| Remote: Local P2P Client Detected | コンプライアンス |
| Remote: Local P2P Client Connected to more than 100 Servers | コンプライアンス |
| Remote: Local P2P Server connected to more than 100 Clients | コンプライアンス |
| Remote: Hidden FTP Server | コンプライアンス |
| ボットネット・アクティビティーに関与していることが分かっている Web サイトとの通信 | 脅威 |
| Local: Hidden FTP Server | 脅威 |
| Local: SSH or Telnet Detected on Non-Standard Port | 脅威 |
| Remote: Local P2P Client Detected | 脅威 |
| Connection to a Remote Proxy or Anonymization Service (Outbound) | 脅威 |
| ロシアのビジネス・ネットワークと関連のあることが知られている Web サイトとの通信 | 脅威 |
| マルウェアの配布を援助していることが分かっている Web サイトとの通信 | 脅威 |
| Potential Botnet Connection (DNS) | 脅威 |
| Remote: IM/Chat | 脅威 |
| Potential Botnet Events Become Offenses | 脅威 |
| Remote: Hidden FTP Server | 脅威 |
| Potential Honeypot Access | 脅威 |
| Successful Inbound Connection from a Known Botnet CandC | 脅威 |
| Remote: Local P2P Server Detected | 脅威 |
| Remote: Local P2P Server connected to more than 100 Clients | 脅威 |
| Remote: SMTP Mail Sender | 脅威 |
| Remote: SSH or Telnet Detected on Non-Standard Port | 脅威 |
| 以前の SQL インジェクションに関係しているサイトとの通信 | 脅威 |
| Potential Connection to a Known Botnet CandC | 脅威 |
| Local host on Botnet CandC List (SRC) | 脅威 |
| Local host on Botnet CandC List (DST) | 脅威 |
| トロイの木馬の可能性があるコードを配信していることが分かっている Web サイトとの通信 | 脅威 |
| フィッシング・サイトまたは不正なサイトであることが分かっている Web サイトとの通信 | 脅威 |
| 既知のブラックリストにリストされているか、もしくはファスト・フラックスが使用されているサイトとの通信 | 脅威 |
| Connection to a Remote Proxy or Anonymization Service (Inbound) | 脅威 |
| Remote: Local P2P Client Connected to more than 100 Servers | 脅威 |
| Remote: IRC Connections | ボットネット |
| Potential Botnet Connection (DNS) | ボットネット |
| Potential Botnet Events Become Offenses | ボットネット |
| Successful Inbound Connection from a Known Botnet CandC | ボットネット |
| Potential Connection to a Known Botnet CandC | ボットネット |
| Local host on Botnet CandC List (SRC) | ボットネット |
| Local host on Botnet CandC List (DST) | ボットネット |
| 名前 | カテゴリー |
|---|---|
| BB:ProtocolDefinition: Windows Protocols | Port¥Protocol Definition |
| BB:PortDefinition: Database Ports | Port¥Protocol Definition |
| BB:PortDefinition: FTP Ports | Port¥Protocol Definition |
| BB:PortDefinition: IRC Ports | Port¥Protocol Definition |
| BB:PortDefinition: Windows Ports | Port¥Protocol Definition |
| BB:PortDefinition: SNMP Ports | Port¥Protocol Definition |
| BB:PortDefinition: RPC Ports | Port¥Protocol Definition |
| BB:PortDefinition: Syslog Ports | Port¥Protocol Definition |
| BB:PortDefinition: SSH Ports | Port¥Protocol Definition |
| BB:PortDefinition: LDAP Ports | Port¥Protocol Definition |
| BB:PortDefinition: Mail Ports | Port¥Protocol Definition |
| BB:PortDefinition: DNS Ports | Port¥Protocol Definition |
| BB:PortDefinition: DHCP Ports | Port¥Protocol Definition |
| BB:PortDefinition: Web Ports | Port¥Protocol Definition |
| BB:PortDefinition: Common Worm Ports | Port¥Protocol Definition |
| BB:HostReference: LDAP Servers | ホスト定義 |
| BB:HostDefinition: Virus Definition and Other Update Servers | ホスト定義 |
| BB:HostDefinition: FTP Servers | ホスト定義 |
| BB:HostDefinition: DMZ Assets | ホスト定義 |
| BB:HostReference: Web Servers | ホスト定義 |
| BB:HostDefinition: Windows Servers | ホスト定義 |
| BB:HostDefinition: Servers | ホスト定義 |
| BB:HostReference: FTP Servers | ホスト定義 |
| BB:HostDefinition: SSH Servers | ホスト定義 |
| BB:HostDefinition: Database Servers | ホスト定義 |
| BB:HostDefinition: LDAP Servers | ホスト定義 |
| BB:HostDefinition: Web Servers | ホスト定義 |
| BB:HostDefinition: Syslog Servers and Senders | ホスト定義 |
| BB:HostDefinition: Mail Servers | ホスト定義 |
| BB:HostDefinition: DNS Servers | ホスト定義 |
| BB:HostReference: Windows Servers | ホスト定義 |
| BB:HostDefinition: VoIP PBX Server | ホスト定義 |
| BB:HostReference: DNS Servers | ホスト定義 |
| BB:HostReference: Database Servers | ホスト定義 |
| BB:HostDefinition: RPC Servers | ホスト定義 |
| BB:HostReference: SSH Servers | ホスト定義 |
| BB:HostReference: Mail Servers | ホスト定義 |
| BB:HostDefinition: Network Management Servers | ホスト定義 |
| BB:HostDefinition: DHCP Servers | ホスト定義 |
| BB:HostDefinition: Proxy Servers | ホスト定義 |
| BB:HostReference: Proxy Servers | ホスト定義 |
| BB:HostDefinition: SNMP Sender or Receiver | ホスト定義 |
| BB:HostReference: DHCP Servers | ホスト定義 |
| BB:Policy Violation: IRC IM Policy Violation: IRC Connection to Internet | ポリシー |
| BB:Policy Violation: Mail Policy Violation: Outbound Mail Sender | ポリシー |
| BB:Policy Violation: IRC IM Policy Violation: IM Communications | ポリシー |
| BB:Policy Violation: Application Policy Violation: NNTP to Internet | ポリシー |
| BB:CategoryDefinition: IRC Detection based on Firewall Events | カテゴリー定義 |
| BB:CategoryDefinition: Firewall or ACL Accept | カテゴリー定義 |
| BB:CategoryDefinition: Any Flow | カテゴリー定義 |
| BB:CategoryDefinition: Successful Communication | カテゴリー定義 |
| BB:CategoryDefinition: IRC Detected based on Event Category | カテゴリー定義 |
| BB:CategoryDefinition: IRC Detected based on Application | カテゴリー定義 |
| BB:CategoryDefinition: Firewall or ACL Denies | カテゴリー定義 |
| BB:Suspicious: Remote: Unidirectional UDP or Misc Flows | カテゴリー定義 |
| BB:Suspicious: Local: Unidirectional UDP or Misc Flows | カテゴリー定義 |
| BB:NetworkDefinition: Honeypot like Addresses | ネットワーク定義 |
| BB:Threats: DoS: Potential Multihost Attack | 脅威 |