Threat Monitoring

IBM Security QRadar Threat Monitoring Content Extension は、脅威イベントと検出に焦点を当てたルール コンテンツとビルディング ブロックを QRadar に追加します。 この拡張機能は、新しい QRadar インストール済み環境を持つ管理者向けに、 QRadar の基本ルール・セットを拡張します。

このコンテンツ拡張には、 QRadar Threat Intelligence アプリケーション (https://exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:ThreatIntelligence) が必要です。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

このコンテンツ拡張には、1 つ以上の Pulse ダッシュボードが組み込まれています。 Pulse ダッシュボードについて詳しくは、 QRadar Pulse アプリケーションを参照してください。

IBM Security QRadar Threat Monitoring コンテンツ拡張

IBM セキュリティ QRadar 脅威監視コンテンツ拡張機能 3.1.0

次の表は、 IBM Security QRadar Threat Monitoring Content Extension 3.1.0 で更新されるルールを示しています。

表 1. IBM Security QRadar Threat Monitoring Content Extension で更新されたルール 3.1.0
タイプ 名前 説明
ルール Chromeloaderの拡張機能が判明 このルールは、 ChromeLoader と矛盾しないロジックで警告を発する。 Chromeへの拡張機能のロードを伴う符号化されたコマンド引数がログで確認された。 このルールのソースは、Red Canary、脅威検出レポート、 ChromeLoader。
ルール Chromeloader NW.js ランタイムアプリのインストールパス このルールは、 NW.js アプリケーションのインスタンスが署名されておらず、かつ、 ChromeLoader から実行されているかをチェックすることにより、 を検出する%AppData/Roaming%.この動作は ChromeLoader, 固有のものではなく、正規のアプリケーションを検出しないようにするためには、いくつかのチューニングが必要かもしれません。 このルールには、 NW.js runtime アプリのインストールパスなど、一般的な ChromeLoader の一部リストが含まれており、シグナルとノイズを区別するのに役立ちます。
ルール PromptLock 活動の可能性 PromptLock は新しいランサムウェアの亜種で、悪意のあるGolangファイルを使用して、この攻撃を実行するための悪意のあるカスタムLUAファイルを生成します。

( 上に戻る )

IBM Security QRadar Threat Monitoring Content Extension 3.0.0

次の表は、 IBM Security QRadar Threat Monitoring Content Extension 3.0.0 で更新されるルールを示しています。

表 2. IBM Security QRadar Threat Monitoring Content Extension で更新されたルール 3.0.0
タイプ 名前 説明
ルール 既知の悪質なユーザーエージェント このルールは、多くの既知の悪意のあるユーザーエージェントを検出するように設計されています。
ルール HTTP 空のユーザーエージェントでのリクエスト このルールは、空のユーザーエージェントを持つ HTTP リクエストを検出する。
ルール 疑わしいユーザーエージェント このルールは、さらなる調査が必要な疑わしいユーザーエージェントを検出するように設計されている。
ルール SocGholish_Malware_WScript_Reconnaissance このルールは、 wscript.exe を使用して JavaScript を実行することにより、 SocGholish の脅威が環境内で初期アクセス活動を行うことを検知する。
ルール SocGholish_Malware_Whoami_Reconnaissance このルールは、攻撃者がコマンドを実行し、その内容を出力しようとする偵察活動を検知する。

攻撃対象領域管理パルス・ダッシュボードの 「新しい高リスク・ターゲット」 ウィジェットと 「高リスク・ターゲット-円」 ウィジェットが更新されました。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.6.0

次の表は、 IBM Security QRadar Threat Monitoring Content Extension 2.6.0 で更新されるルールを示しています。

表 3. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.6.0 で更新されたルール
タイプ 名前 説明
ルール 新しい高優先度ターゲットが検出されました 新しい高優先度ターゲットが検出されたときにトリガーされます。

攻撃対象領域管理パルス・ダッシュボードの 「新しい高リスク・ターゲット」 ウィジェットと 「高リスク・ターゲット-円」 ウィジェットが更新されました。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.6

次の表は、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.6で新しく導入されたルールを示しています。

表 4. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.6 の新規ルール
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: Web Servers ローカル・システムによって検出されるイベント、およびイベントが Apache HTTP Server、Microsoft IIS、NGINX HTTP Server、または Amazon AWS Route 53 によって検出されたときに検出されるイベントを定義します。
ルール Website Manipulations via SQL Injection SQL インジェクションなどの異常な動作が検出されたときにトリガーされます。 検出されたイベントが新しいオフェンスを作成し、送信元 IP アドレスによってオフェンスを選択するように強制します。
ルール Microsoft Windows RCE 脆弱性-certutil を使用した疑わしいダウンロード この規則は、Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」Exchange Server を発行しました。 検出されたイベントを強制的に新規オフェンスを作成し、送信元 IP アドレスによってオフェンスを選択します。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5で新しく導入されたルールを示します。

表 5. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.5 の新規ルール
タイプ 名前 説明
ルール Microsoft Windows RCE 脆弱性-ファイル変更 Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」を発行しました。
ルール Microsoft Windows RCE 脆弱性-certutil を使用した疑わしいダウンロード Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」を発行しました。
ルール Microsoft Windows RCE 脆弱性-疑わしいファイル Microsoft Exchange のリモート・コード実行の脆弱性を検出します。 Microsoft は「CVE-2022-41040」および「CVE-2022-41082」を発行しました。
ルール Microsoft Windows RCE 脆弱性-疑わしいハッシュ 既知の Windows RCE SHA256 ハッシュを検出します。
ルール Microsoft Windows RCE 脆弱性-疑わしい IP 既知の Windows RCE IP を検出します。
注: このルールに一致するイベントの数を減らすために、ログ・ソースに基づいてルールをチューニングしてください。

次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5で新しく追加されたカスタム・プロパティーを示します。

表 6. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.5 の新規カスタム・プロパティー
名前 最適化済み 説明
ファイル・ディレクトリー はい DSM ペイロードからのファイル・ディレクトリーのデフォルト・カスタム抽出。
ファイル名 はい DSM ペイロードからのファイル名のデフォルト・カスタム抽出。
プロセス・コマンド行 はい DSM ペイロードからのプロセス・コマンド行のデフォルト・カスタム抽出。
UrlHost はい DSM ペイロードからの UrlHost のデフォルト・カスタム抽出。

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.5の新規リファレンス・セットを示します。

表 7. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.5 の新規リファレンス・セット
名前
Windows RCE IP
Windows RCE SHA256 ハッシュ

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0

次の表は、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0で新しく導入されたルールを示しています。

表 8. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.0 の新規ルール
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: アタック・サーフェス・マネジメント システム上のすべての攻撃面管理デバイスを定義します。
ルール 検出された新規クリティカル・テンプテーション・ターゲット 新しい重要な誘惑のターゲットが検出されたときにトリガーされます。
ルール 新しい高優先度ターゲットが検出されました 新しい高優先度ターゲットが検出されたときにトリガーされます。
ルール 新しい高誘惑のターゲットが検出されました 新しい高誘惑のターゲットが検出されたときにトリガーされます。
ルール Critical Temptation Target Changed to Lower Temptation (重要な誘惑のターゲットが下位の温度に変更された) 重要な誘惑のターゲットが中または低の誘惑に減少したときにトリガーされます。
ルール 高優先順位ターゲットが低優先順位に変更されました 高優先度ターゲットの優先度の値が減少したときにトリガーされます。
ルール High Temptation Target Changed to Lower Temptation (高い誘惑のターゲットが下位温度に変更されました) 高誘惑のターゲットが中または低誘惑に低下したときにトリガーされます。

次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0で新しく導入されたカスタム・プロパティーを示します。

表 9. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.0 の新規カスタム・プロパティー
名前 説明
優先順位 DSM ペイロードからの優先度のデフォルト・カスタム抽出。
ターゲット ID DSM ペイロードからのターゲット ID のデフォルト・カスタム抽出。
誘惑 (Temptation) DSM ペイロードからの一時データのデフォルト・カスタム抽出。

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.5.0で新しく導入されたリファレンス・セットを示します。

表 10. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.5.0 の新規リファレンス・セット
名前 説明
クリティカル・テンプテーション・ターゲット 重要な誘惑ターゲットのリストを管理する。
高優先度ターゲット 優先順位の高いターゲットのリストを維持します。
ハイ・テンプテーション・ターゲット 誘惑の多いターゲットのリストを管理する。

新しい Pulse ダッシュボード「 Attack Surface Management Devices Overview」が追加されました。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.1

以下は、 「ソース・アドレス」ではなく 「マシン ID」 に基づくようになったルールのリストです。
  • 同じホスト上で複数の脅威が検出されました (マシン ID 別)
  • 同じホストで同じ脅威が検出されました (マシン ID による)
  • 同じネットワーク上で異なるホストで同じ脅威が検出された (マシン ID 別)
  • 複数のホストで同じ脅威が検出されました (マシン ID 別)
  • 複数のサーバーで同じ脅威が検出されました (マシン ID 別)
  • 同じホスト上で複数のクリーンでない脅威が検出されました (マシン ID 別)

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.0

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.4.0で更新されたルールを示しています。

表 11. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.4.0 で更新されたルール
タイプ 名前 更新
ルール Multiple Unclean Threats Detected on Same Host ルール条件が更新されました。
ルール Multiple Vector Attack Source ルールが更新され、BB:CategoryDefinition: Virus Detected の代わりに BB:CategoryDefinition: Malware Annoyances が使用されるようになりました。
ルール Potential HTTP DoS Flooding ルール条件が更新されました。
ルール 危殆化されたホストから許可された SMB トラフィック 誤ったリファレンス・セット・リンクが修正されました。
ルール 侵害されたホストからの正常なログイン 誤ったリファレンス・セット・リンクが修正されました。
ルール Suspicious Web Server Activities ルール条件が更新されました。
以下は、削除されたビルディング・ブロックのリストです。
  • BB:CategoryDefinition: Malware Annoyances
  • BB:Policy Violation: Application Policy Violation: NNTP to Internet
  • BB:Policy Violation: IRC IM Policy Violation: IM Communications
  • BB:Policy Violation: Mail Policy Violation: Outbound Mail Sender

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.1

IBM Security QRadar Threat Monitoring Content Extension 2.3.1 には、 QRadar 7.4.1 以前でインストールが失敗する原因となった問題のフィックスが含まれています。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0

以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.3.0の新規ビルディング・ブロックを示します。

表 12. IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0
タイプ 名前 説明
ビルディング・ブロック BB:BehaviorDefinition: 敵対する可能性のあるホストとのコミュニケーション(フロー・リファレンス・セット)

リファレンス・セット別に分類された潜在的な悪意のあるホストとの通信を定義します。

「XFE ATPF」接頭部で始まるリファレンス・セットは、Threat Intelligence アプリケーションによって自動的に管理され、有料サブスクリプションが必要になります。 Threat Intelligence アプリケーションによって提供されるその他のリファレンス・セットは、サード・パーティーの Threat Intelligence フィードを組み込むために使用できます。

ビルディング・ブロック BB:BehaviorDefinition: 潜在的な敵対的ホストとの通信 (X-Force の分類によるフロー)

X-Force によってカテゴリー化された潜在的な悪意のあるホストとの通信を定義します。

信頼性係数の範囲は 0 から 100 です。

ビルディング・ブロック BB:BehaviorDefinition: 敵対する可能性のあるIPアドレスとの通信(フロー・リファレンス・セット)

リファレンス・セット別に分類された潜在的な悪意のある IP アドレスとの通信を定義します。

「XFE ATPF」接頭部で始まるリファレンス・セットは、Threat Intelligence アプリケーションによって自動的に管理され、有料サブスクリプションが必要になります。 Threat Intelligence アプリケーションによって提供されるその他のリファレンス・セットは、サード・パーティーの Threat Intelligence フィードを組み込むために使用できます。

ビルディング・ブロック BB:BehaviorDefinition: 敵対的な可能性のある IP アドレスとの通信 (X-Force による分類のフロー) X-Force によってカテゴリー化された潜在的な悪意のある IP アドレスとの通信を定義します。

以下のリストは、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0で更新されたルールおよびビルディング・ブロックを示しています。

以下の信頼性レベルは、高い信頼性レベルを表す 75 に設定されます。
注: これらのルールをチューニングする場合は、50 を転換点と見なす必要があります。 重要度の低いアセットでは、75 を超える信頼性係数でトリガーするように X-Force ルールを設定できます。
  • BB: 脅威: 疑わしいネットワーク・トラフィック (Threat: Suspicious Network Traffic)
  • BB: 脅威: 疑わしい IP ネットワーク・トラフィック
  • BB: 脅威: X-Force Premium: ホストへの内部接続 (暗号通貨マイニングに分類される)
  • 潜在的な悪意のあるホストとの通信 (フロー)
  • 潜在的な悪意のある IP アドレスとの通信 (フロー)
  • X-Force: マルウェアに分類されたホストへの内部接続
  • X-Force: Anonymizer として分類されたホストとの内部ホスト通信
  • X-Force: メール・サーバーが SPAM として分類されたサーバーにメールを送信しています
  • X-Force: SPAM に分類されたサーバーにメールを送信する非メール・サーバー
  • X-Force: 非サーバーが動的として分類された外部 IP と通信
  • X-Force: 動的として分類された外部 IP と通信するサーバー
  • X-Force: リモート・プロキシーまたは匿名化サービスからの成功したインバウンド接続
  • X-Force: リモート・プロキシーまたは匿名化サービスへの成功したアウトバウンド接続

以下のリストは、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.3.0で更新されたルールおよびビルディング・ブロックを示しています。

表 13. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.3.0 のルールおよびビルディング・ブロック
タイプ 名前 詳細の更新
ビルディング・ブロック DeviceDefinition:DNS 追加のログ・ソースが追加されました。
ビルディング・ブロック DeviceDefinition: ウェブサーバー 追加のログ・ソースが追加されました。
ルール Log4Shell Base Pattern in Flows 削除されたBB:CategoryDefinition 成功したコミュニケーション
ルール Log4Shell Evasion Pattern in Flows 削除されたBB:CategoryDefinition 成功したコミュニケーション

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.1

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.1で新しく導入された、または更新されたルールを示します。

表 14. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.2.1 のルール
タイプ 名前 説明
ルール 同じホストで複数の脅威が検出されました 同じホスト上で複数の脅威が検出された場合にトリガーされます。
ルール 複数のホストで同じ脅威が検出されました サーバーではない複数のホストで同じ脅威が検出された場合にトリガーされます。これは、ネットワークにマルウェアが拡散していることを示している可能性があります。
ルール 複数のサーバーで同じ脅威が検出されました サーバーである複数のホストで同じ脅威が検出された場合にトリガーされます。これは、ネットワーク内で拡散しているマルウェアの存在を示す可能性があります。
ルール 同じホストで同じ脅威が検出されました 同じホスト上で同じ脅威が複数回検出された場合にトリガーされます。 この規則は、AV が脅威自体ではなく脅威によって生成されたファイルをクリーニングしていることを示している可能性があります。 AV によって少なくとも 2 サイクルの検査が行われるのに十分な時間枠を設定してください。
ルール 同じネットワーク上の異なるホストで同じ脅威が検出されました ネットワーク階層の同じセグメント内の異なるホスト上で同じ脅威が検出された場合にトリガーされます。これは、ネットワーク内で拡散しているマルウェアの存在を示している可能性があります。
ルール X-Force: リモート・プロキシーまたは匿名化サービスへの成功したアウトバウンド接続 リモート・プロキシーまたは匿名化サービスとの通信が監視されたときにトリガーされます。 これらのサービスは通常、送信元 IP の発信元アドレスで非表示になります。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0

次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 15. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.2.0 のカスタム・プロパティー
名前 最適化済み 場所
File Hash はい
HTTP コンテンツ・タイプ はい ベースライン保守
HTTP GET 要求 はい ベースライン保守
HTTP ホスト はい ベースライン保守
HTTP リファラー はい ベースライン保守
HTTP Server はい ベースライン保守
HTTP User-Agent はい ベースライン保守

以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.2.0の新機能を示します。

表 16. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.2.0 のカスタム関数
名前 説明
Log4j Detected log4j 難読化手法を検出します。

次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.2.0で新しく導入されたルールまたは更新されたルールを示します。

表 17. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.2.0 のルール
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Database Access Denied アクセス拒否と考えられるデータベース・イベントを識別します。
ビルディング・ブロック BB:CategoryDefinition: Malware Annoyances スパイウェア感染イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Virus Detected ウィルス検出イベントを定義します。
ビルディング・ブロック BB:FalseNegative: Events That Indicate Successful Compromise 危殆化成功イベントを定義します。
ビルディング・ブロック BB:NetworkDefinition: Undefined IP Space 有効なホストが含まれないネットワークの領域を定義します。
ビルディング・ブロック BB:NetworkDefinition: Watch List Addresses 監視リストに含めるネットワークを定義します。
ルール Exploit Followed by Suspicious Host Activity エクスプロイト・イベントまたは攻撃イベントの後に続いて、疑わしいアクティビティー・イベントが発生した場合にトリガーされます。これは、攻撃が成功したことを示している可能性があります。
ルール Exploit: Exploits Followed by Firewall Accepts エクスプロイト・イベントまたは攻撃イベントの後に続いてファイアウォール許可イベントが発生した場合にトリガーされます。これは、攻撃が成功したことを示している可能性があります。
ルール Exploit/Malware Events Across Multiple Destinations エクスプロイト・イベントまたはマルウェア・イベントが複数の宛先ホストで検出された場合にトリガーされます。 これは、悪意のあるソフトウェアまたは攻撃者が、ネットワーク上の脆弱なホストを悪用していることを示している可能性があります。
ルール Log4Shell Base Pattern in Flows Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。
ルール Log4Shell Evasion Pattern in Flows Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。
ルール Log4Shell Hash in Events ファイル・ハッシュがルール条件に追加されました
ルール Multiple Unclean Threats Detected on Same Host 同じホストで複数の脅威が検出され、クリーンアップでも検疫でもないアンチウィルス・アクションが実行された場合にトリガーされます。
注: このルールは、許容されるアンチウィルス・アクションを反映するようにチューニングする必要があります。
ルール Multiple Vector Attack Source 1 台の送信元ホストが複数の攻撃ベクトルを試行した場合にトリガーされます。 これは、ある資産を送信元ホストが特にターゲットとして定めていることを示している可能性があります。
ルール Potential DoS Attack via Web Server Response Time QID と一致するようにルールが更新されました。
ルール Potential Log4Shell Activity Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。
ルール Potential Log4Shell Activity (Flows) Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。
ルール Source Vulnerable to any Exploit 脆弱性が 1 つ以上あるソースでローカル・ホストが攻撃された場合にトリガーされます。 これは、このホストが過去のエクスプロイトでターゲットにされていたことを示している可能性があります。
ルール Source Vulnerable to this Exploit ローカル・ホストが攻撃され、送信元ホストが、使用されている攻撃に対して脆弱である場合にトリガーされます。 これは、このホストが過去のエクスプロイトまたは脆弱性でターゲットにされていたことを示している可能性があります。
ルール Successful Signature Compromise ホストの署名の危殆化に成功した場合にトリガーされます。
ルール Website Manipulation via SQL Injection AQL フィルターが更新されました。
以下のルールとビルディング・ブロックは、 IBM Security QRadar Threat Monitoring Content Extension 2.2.0で削除されました。
  • BB:CategoryDefinition: Any Flow
  • BB:CategoryDefinition: Authentication Success
  • BB:CategoryDefinition: Exploits Backdoors and Trojans
  • BB:CategoryDefinition: Firewall or ACL Accept
  • BB:CategoryDefinition: Firewall or ACL Denies
  • BB:CategoryDefinition: IRC Detected based on Application
  • BB:CategoryDefinition: IRC Detected based on Event Category
  • BB:CategoryDefinition: IRC Detection based on Firewall Events
  • BB:CategoryDefinition: Mail Policy Violation
  • BB:CategoryDefinition: Post Exploit Account Activity
  • BB:CategoryDefinition: Recon Event Categories
  • BB:CategoryDefinition: Recon Events
  • BB:CategoryDefinition: Recon Flows
  • BB:CategoryDefinition: Successful Communication
  • BB:CategoryDefinition: Suspicious Event Categories
  • BB:CategoryDefinition: Suspicious Events
  • BB:CategoryDefinition: Suspicious Flows
  • BB:CategoryDefinition: Unidirectional Flow
  • BB:CategoryDefinition: Unidirectional Flow DST
  • BB:CategoryDefinition: Unidirectional Flow SRC
  • BB:DeviceDefinition: AV/AM
  • BB:DeviceDefinition: FW / Router / Switch
  • BB:DeviceDefinition: IDS / IPS
  • BB:DeviceDefinition: Proxy
  • BB:Flowshape: Inbound Only
  • BB:Flowshape: Outbound Only
  • BB:HostDefinition: Database Servers
  • BB:HostDefinition: DHCP Servers
  • BB:HostDefinition: DNS Servers
  • BB:HostDefinition: FTP Servers
  • BB:HostDefinition: LDAP Servers
  • BB:HostDefinition: Mail Servers
  • BB:HostDefinition: Network Management Servers
  • BB:HostDefinition: Proxy Servers
  • BB:HostDefinition: RPC Servers
  • BB:HostDefinition: Servers
  • BB:HostDefinition: SNMP Sender or Receiver
  • BB:HostDefinition: SSH Servers
  • BB:HostDefinition: Virus Definition and Other Update Servers
  • BB:HostDefinition: Web Servers
  • BB:HostDefinition: Windows Servers
  • BB:HostReference: Database Servers
  • BB:HostReference: DHCP Servers
  • BB:HostReference: DNS Servers
  • BB:HostReference: FTP Servers
  • BB:HostReference: LDAP Servers
  • BB:HostReference: Mail Servers
  • BB:HostReference: Proxy Servers
  • BB:HostReference: SSH Servers
  • BB:HostReference: Web Servers
  • BB:HostReference: Windows Servers
  • BB:NetworkDefinition: Honeypot like Addresses
  • BB:PortDefinition: Common Worm Ports
  • BB:PortDefinition: Database Ports
  • BB:PortDefinition: DHCP Ports
  • BB:PortDefinition: DNS Ports
  • BB:PortDefinition: FTP Ports
  • BB:PortDefinition: IRC Ports
  • BB:PortDefinition: LDAP Ports
  • BB:PortDefinition: Mail Ports
  • BB:PortDefinition: Proxy Ports
  • BB:PortDefinition: RPC Ports
  • BB:PortDefinition: SNMP Ports
  • BB:PortDefinition: SSH Ports
  • BB:PortDefinition: Web Ports
  • BB:PortDefinition: Windows Ports
  • BB:ProtocolDefinition: Windows Protocols
  • ローカル: 非標準ポートで FTP が検出されました
  • Local: SSH or Telnet Detected on Non-Standard Port
  • 可能なローカル IRC サーバー
  • Potential Honeypot Access
  • リモート: 非標準ポートで FTP が検出されました
  • Remote: Local P2P Client Connected to more than 100 Servers
  • Remote: Local P2P Client Detected
  • Remote: Local P2P Server Detected
  • Remote: SMTP Mail Sender
  • Remote: SSH or Telnet Detected on Non-Standard Port
  • リモート: 疑わしい量の IM/Chat トラフィック (Remote: Suspicious Amount of IM/Chat Traffic)
  • Remote: Usenet Usage

以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.2.0で新しく導入された、または更新された保存済み検索を示します。

表 18. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.2.0 の保存済み検索
名前 説明
Potential Log4Shell Detected イベントに含まれている Log4j アクティビティーを検出するための検索を実行します。
Potential Log4Shell Detected (Flows) フローに含まれている Log4j アクティビティーを検出するための検索を実行します。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.1

いくつかのルールおよび保存済み検索で使用されている HOMOGLYPH::DETECTED カスタム関数のエラー処理が更新されました。

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.1で新しく導入された、または更新されたリファレンス・データを示します。

表 19. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.1.1 のリファレンス・セット
名前 説明
Malicious URLs 識別された悪意のある URL をリストします。
Malware URLs 識別されたマルウェア URL をリストします。
フィッシング URL 識別されたフィッシング URL をリストします。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0

次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 20. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.1.0 のカスタム・プロパティー
名前 最適化済み 場所
API パス いいえ Amazon AWS
MD5 ハッシュ いいえ Cisco AMP
親 MD5 ハッシュ (Parent MD5 Hash) いいえ Cisco AMP
親 SHA1 ハッシュ (Parent SHA1 Hash) いいえ Cisco AMP
親 SHA256 ハッシュ (Parent SHA256 Hash) いいえ Cisco AMP
参照者 URL (Referrer URL) はい
要求 URI いいえ Amazon AWS
SHA1 ハッシュ いいえ Cisco AMP
SHA256 ハッシュ いいえ Cisco AMP
URL はい
URL パス いいえ Cisco AMP
UrlHost はい
ユーザー・エージェント いいえ

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたルールを示します。

表 21. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.1.0 のルール
タイプ 名前 説明
ルール Log4Shell Base Pattern Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。
ルール Log4Shell Evasion Pattern Log4Shell エクスプロイト (CVE-2021-44228) に関連する潜在的なリモート・コード実行が検出された場合にトリガーされます。 これは、攻撃者が、システム環境変数、lower または upper のルックアップ、Unicode の無効な文字と upper、システム・プロパティー、HTML URL エンコードや表記などの手法を使用してバイパスしたことを示している可能性があります。
ルール Log4Shell Hash in Events

Log4Shell エクスプロイト (CVE-2021-44228) に関連する IOC (ファイル・ハッシュ) がイベントで検出された場合にトリガーされます。

注: Log4Shell MD5Log4Shell SHA1、および Log4Shell SHA256 リファレンス・セットが事前に取り込まれています。 適切な IoC を指定して、これらのリファレンス・セットを調整してください。
ルール Log4Shell Hash in Flows Log4Shell エクスプロイト (CVE-2021-44228) に関連する IOC (ファイル・ハッシュ) がフローで検出された場合にトリガーされます。
注: Log4Shell MD5Log4Shell SHA1、および Log4Shell SHA256 リファレンス・セットが事前に取り込まれています。 適切な IoC を指定して、これらのリファレンス・セットを調整してください。

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたリファレンス・データを示します。

表 22. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.1.0 のリファレンス・セット
名前 説明
Log4Shell MD5 このリファレンス・セットには、Log4Shell (CVE-2021-44228) に関連する MD5 ハッシュがリストされています。
Log4Shell SHA1 このリファレンス・セットには、Log4Shell (CVE-2021-44228) に関連する SHA1 ハッシュがリストされています。
Log4Shell SHA256 このリファレンス・セットには、Log4Shell (CVE-2021-44228) に関連する SHA256 ハッシュがリストされています。

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新された保存済み検索を示します。

表 23. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.1.0 の保存済み検索
名前 説明
Historical Instances of Log4Shell - Events イベントに含まれている Log4j アクティビティーを検出するための検索を実行します。
Historical Instances of Log4Shell - Flows フローに含まれている Log4j アクティビティーを検出するための検索を実行します。
Log4Shell Base Pattern Log4j アクティビティーを検出するための検索を実行します。
Log4Shell Evasion Pattern Log4j アクティビティーを検出するための検索を実行します。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0

次の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 24. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.0.0 のカスタム・プロパティー
名前 最適化済み 場所
BytesReceived はい
BytesSent はい
Method いいえ
参照者 URL (Referrer URL) はい
応答コード いいえ
Server Response Time はい Apache
URLエリ文字列 いいえ

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0で新しく導入された、または更新されたルールおよびビルディング・ブロックを示します。

表 25. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.0.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: Web Servers システム上の DNS デバイスを定義します。
ビルディング・ブロック BB:Threats: HTTP Client Status 誤った形式の Web サーバー・クライアント要求を検出します。
ビルディング・ブロック BB:Threats: HTTP Server Status 誤った形式の Web サーバー要求を検出します。
ビルディング・ブロック BB:Threats: HTTP Service Unavailable Web サーバー・サービスが使用できない状態にあることを検出します。
ビルディング・ブロック BB:Threats: Potential DoS Attack Web サーバーがサービス妨害攻撃を受けている可能性があることを検出します。
ビルディング・ブロック BB:Threats: Suspicious IP Network Traffic 悪意のある IP アドレスとして X-Force によって分類された IP アドレスからの疑わしいネットワーク・トラフィックを Web サーバー上で検出します。
ビルディング・ブロック BB:Threats: Suspicious Network Traffic 悪意のある IP アドレスとして X-Force によって分類された IP アドレスからの疑わしいネットワーク・トラフィックを Web サーバー上で検出します。
ビルディング・ブロック BB:Threats: Unsafe HTTP Methods Web サーバーの HTTP メソッドが安全でないことを検出します。
ルール トロイの木馬である可能性があるコードを配信していることが知られている Web サイトとの通信 ルールの応答を更新しました。
ルール Potential Continued Risky Web Server Activity 安全でない HTTP メソッドが連続して検出された場合にトリガーされます。 これは、悪意のある攻撃者が Web アプリケーション・コンテンツを更新していることを示している可能性があります。
ルール Potential DoS Attack on a Web Server 単一の送信元 IP アドレスからサービス妨害攻撃を受けている可能性があることが検出された場合にトリガーされます。
ルール Potential DoS Attack via Web Server Response Time ある IP アドレスからのトラフィックが多すぎるためにサーバー応答時間が指数関数的に増加した場合にトリガーされます。 これは、不正なユーザー、不正なボット、およびサービス妨害攻撃の可能性があることを示している場合があります。
ルール Potential HTTP DoS Flooding Web サーバーで HTTP 要求のフラッディングが発生した場合にトリガーされます。 これは、悪意のある攻撃者が、Web サーバーに対して一連の HTTP 要求を開始することにより、処理できる以上の HTTP 要求を送信して、Web サーバーでフラッディングを発生させたことを示している可能性があります。
ルール Potential Malicious Activity Identified by Referrer URL 悪意のあるアクティビティーによるものと考えられるリファラー URL が検出された場合にトリガーされます。
ルール Potential Website Content Update Web アプリケーションに対して変更または更新が行われた場合にトリガーされます。 これは、悪意のある攻撃者が、Web ページのコンテンツを更新して改ざんしていることを示している可能性があります。
ルール 同じホストで同じ脅威が検出されました IP アドレスを含むように更新されました。
ルール 疑わしい DNS 照会の長さ ルール条件が更新されました。
ルール Suspicious Network Traffic to Internal Web Server 悪意のある既知の IP アドレスとして X-Force によって分類されたものと一致する IP アドレスが同じ URL を複数回スキャンした場合にトリガーされます。
ルール Suspicious Web Server Activities Web サーバー・クライアント・エラーまたはサーバー・エラーのどちらかが検出された場合にトリガーされます。 これは疑わしいアクティビティーを示している可能性があります。
ルール Website Manipulations via SQL Injection SQL インジェクションなどの異常な動作が検出された場合にトリガーされます。

以下の表に、 IBM Security QRadar Threat Monitoring コンテンツ拡張 2.0.0で新しく導入された、または更新されたリファレンス・データを示します。

表 26. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.0.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット Malware URLs このリファレンス・セットは、識別されたマルウェア URL をリストします。
リファレンス・セット XFE ATPF-mw_url このリファレンス・セットは、識別されたマルウェア URL をリストします。

以下の表に、 IBM Security QRadar Threat Monitoring Content Extension 2.0.0で新しく導入された、または更新された保存済み検索を示します。

表 27. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 2.0.0 の保存済み検索
名前 説明
Response Time By Server この検索では、平均要求時間がサーバー別に示されます。

( 上に戻る )

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.1

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.1のカスタム・プロパティーを示しています。

表 28. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.1 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
脅威名 はい 1 emailThreats=([^\s]+)

EVC_EV_VIRUS_NAME=([^¥s]+)

malware_signature=([^¥t]+)

Spyware¥/Grayware: ([^¥s]+)

threatName=([^\s]+)

virus_name: "(.*?)"

Virus¥/Malware: ([^¥s]+)

VirusName=([^\t]+)

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0のカスタム・プロパティーを示しています。

表 29. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.0 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
DNS 要求タイプ いいえ 1

1

2

cat=([^_]+)

Question Type=([^¥s]+)

query:¥s([^¥s]+)¥s¥w+¥s(¥w+)

サブタイプ(subtype) いいえ 1 Send/Receive indicator=([^¥s]+)

次の表は、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0 で使用される、他のコンテンツ拡張に含まれるカスタム・プロパティーを示しています。

表 30. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.0 で使用されるカスタム・プロパティー
カスタム・プロパティー 最適化済み 場所
エラー・コード はい
プロセス名 はい
UrlHost はい

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0のルールおよびビルディング・ブロックを示しています。

表 31. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: DNS システム上の DNS デバイスを定義します。
ルール 潜在的な悪意のあるホストとの通信 (フロー) フロー・コンテンツに含まれているホストが、既知の悪意のあるホスト (X-force によって分類されたかまたはリファレンス・セット・コレクションに含まれているホスト) と一致するときにトリガーされます。
注: 「悪意のある URL」「マルウェア URL」、および 「フィッシング URL」 リファレンス・セットにデータを取り込む必要があります。 Threat Intelligence アプリケーションを使用して、これらのリファレンス・セットに脅威インテリジェンス・フィードをインポートできます。
ルール 潜在的な悪意のある IP アドレスとの通信 (フロー) フロー・コンテンツに含まれている IP が、既知の悪意のある IP アドレス (X-force によって分類されたかまたはリファレンス・セット・コレクションに含まれている IP アドレス) と一致するときにトリガーされます。

注: 「Malware IPs」「Botnet IPs」「Botnet C&C IPs」「Phishing IPs」「Anonymizer IPs」の各リファレンス・セットに、データを設定しておく必要があります。 Threat Intelligence アプリケーションを使用して、これらのリファレンス・セットに脅威インテリジェンス・フィードをインポートできます。

ルール 危殆化されたホストからの過度の拒否された SMB トラフィック セキュリティーの危険があるホストとして分類されたホストからの過剰な SMB 接続の試みが実行されたときにトリガーされます。
ルール Potential Homoglyph Usage ドメイン名にホモグリフ文字 (同一または非常によく似た形をした文字) が含まれているときにトリガーされます。このような文字があると、ドメイン名が一見するとトラステッド・ドメインと同じ名前に見えるため、悪意のあるホストにリダイレクトされる可能性があります。

カスタム関数 HOMOGLYPH::DETECTED には、1792 個のホモグリフ文字項目が事前に設定されています。このカスタム関数は、ストリングを受け入れ、そのストリングにホモグリフ文字が含まれている場合は true を返します。

注: このルールをトリガーする可能性があるイベントを表示するには、 「Potential Homoglyph Usage」 検索を使用します。 ルールおよびオフェンス作成を有効にする前に、有効な文字を指定して、ルールを調整します。
ルール Potential Homoglyph Usage (Flows) ドメイン名にホモグリフ文字 (同一または非常によく似た形をした文字) が含まれているときにトリガーされます。このような文字があると、ドメイン名が一見するとトラステッド・ドメインと同じ名前に見えるため、悪意のあるホストにリダイレクトされる可能性があります。

カスタム関数 HOMOGLYPH::DETECTED には、1792 個のホモグリフ文字項目が事前に設定されています。このカスタム関数は、ストリングを受け入れ、そのストリングにホモグリフ文字が含まれている場合は true を返します。

注: このルールをトリガーする可能性があるフローを表示するには、 「Potential Homoglyph Usage (Flows)」 検索を使用します。 ルールおよびオフェンス作成を有効にする前に、有効な文字を指定して、ルールを調整します。
ルール 危殆化されたホストから許可された SMB トラフィック セキュリティーの危険があるホストとして分類されたホストからの SMB トラフィックが許可されたときにトリガーされます。
ルール 侵害されたホストからの正常なログイン セキュリティーの危険があるホストとして分類されたホスト上で成功した認証が実行されたときにトリガーされます。
ルール 疑わしい DNS 照会の長さ DNS が異常に長いときにトリガーされます。これは、DGA ドメインおよび Onion ドメインを示している可能性があります。
ルール DNS 照会を開始する疑わしいプログラム (ウィンドウ) 正当なプログラムとして参照されていないプログラムが DNS 照会を開始しているときにトリガーされます。
注: 「DNS Application Whitelist」 リファレンス・セットには、DNS 照会の生成を許可されたアプリケーションを取り込む必要があります。

重大度、信頼性、関連性、および応答リミッターは、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0で更新されています。

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0で名前変更されたルールを示しています。

表 32. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.0 で名前変更されたルール
古い名前 新しい名前
Local: Hidden FTP Server ローカル: 非標準ポートで FTP が検出されました
Remote: IM/Chat リモート: 疑わしい量の IM/Chat トラフィック (Remote: Suspicious Amount of IM/Chat Traffic)
X-Force プレミアム: マルウェアに分類されたホストへの内部接続 X-Force: マルウェアに分類されたホストへの内部接続
X-Force プレミアム:ボットネットURL と通信する内部ホスト X-Force: ボットネットURL と通信中の内部ホスト
X-Force プレミアム:マルウェアによる内部ホスト通信 URL X-Force:マルウェアによる内部ホスト通信 URL
X-Force Premium: 匿名化に分類されたホストと通信する内部ホスト X-Force: 匿名化に分類されたホストとの内部ホスト通信
X-Force プレミアム: SPAM に分類されたサーバーにメールを送信するメール・サーバー X-Force: メール・サーバーが SPAM に分類されたサーバーにメールを送信する
X-Force Premium: SPAM に分類されるサーバーにメールを送信する非メール・サーバー X-Force: SPAM に分類されたサーバーにメールを送信する非メール・サーバー
X-Force Premium: Non-Servers Communicating with External IP Classified as Dynamic (X-Force Premium: 非サーバーが動的として分類された外部 IP と通信) X-Force: 非サーバーが動的として分類された外部 IP と通信 (X-Force: Non-Servers Communicating with External IP Classified as Dynamic)
X-Force プレミアム: 動的として分類された外部 IP と通信するサーバー X-Force: 動的として分類された外部 IP と通信するサーバー

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0 では、ソース IP ではなくソース・アドレスを使用するように以下のルールが更新されました。

  • 悪意のある Web サイトへの通信の失敗
  • 同じホスト上で複数の脅威が検出されました
  • 複数のホストでの同じ脅威の検出 (Same Threat Detected on Multiple Hosts)
  • 複数のサーバーで同じ脅威が検出されました
  • 同じホストで同じ脅威が検出されました
  • 同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Hosts)

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0 では、宛先 IP ではなく宛先アドレスを使用するように以下のルールが更新されました。

  • 危殆化されたホストからの過度の拒否された SMB トラフィック
  • 危殆化されたホストから許可された SMB トラフィック
  • 侵害されたホストからの正常なログイン

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0のリファレンス・セットを示しています。

表 33. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.0 のリファレンス・セット
タイプ 名前 説明
リファレンス・データ pulse_imports Pulse ダッシュボードの一部。
リファレンス・セット Anonymizer IPs このリファレンス・セットは、識別されたアノニマイザー IP アドレスをリストします。
リファレンス・セット Botnet C&C IPs このリファレンス・セットは、識別されたボットネット・コマンドおよび制御サーバーの IP アドレスをリストします。
リファレンス・セット Botnet IPs このリファレンス・セットは、識別されたボットネット IP アドレスをリストします。
リファレンス・セット セキュリティーの危険があるホスト このリファレンス・セットは、識別されたセキュリティーの危険があるホストをリストします。
リファレンス・セット DNS アプリケーション許可リスト このリファレンス・セットは、DNS アプリケーション許可リストをリストします。
リファレンス・セット Malicious URLs このリファレンス・セットは、識別された悪意のある URL をリストします。
リファレンス・セット 悪意のある Web カテゴリー このリファレンス・セットは、識別された悪意のある Web カテゴリーをリストします。
リファレンス・セット Malware IPs このリファレンス・セットは、識別されたマルウェア IP アドレスをリストします。
リファレンス・セット Malware URLs このリファレンス・セットは、識別されたマルウェア URL をリストします。
リファレンス・セット Phishing IPs このリファレンス・セットは、識別されたフィッシング IP アドレスをリストします。
リファレンス・セット フィッシング URL このリファレンス・セットは、識別されたフィッシング URL をリストします。

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.2.0の保存済み検索を示しています。

表 34. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.2.0 の保存済み検索
名前 説明
Potential Homoglyph Usage ホモグリフ文字の使用を検出します。
Potential Homoglyph Usage (Flows) フローでのホモグリフ文字の使用を検出します。

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0に含まれているカスタム・プロパティーを示しています。

注: このコンテンツ拡張に含まれるカスタム・プロパティーはプレースホルダーです。 これらの名前のカスタム・プロパティーを含むその他のコンテンツ拡張をダウンロードすることも、ユーザー独自のプロパティーを作成することもできます。

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0で更新されたルールおよびビルディング・ブロックを示しています。

表 36. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.1.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Illegal TCP Flag Combination 正しくない TCP フラグの組み合わせが含まれているフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Suspicious ICMP Type Code 疑わしい Internet Control Message Protocol (ICMP) タイプ・コードが使用されている ICMP フローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: TCP or UDP Port 0 ポート 0 を使用する疑わしいフローを識別します。
ビルディング・ブロック BB:HostDefinition:Proxy サーバー 標準的なプロキシー・サーバーを定義するには、このビルディング・ブロックを編集します。 「BB:False Positive: Proxy Server False Positives Categories」および「BB:FalsePositve: Proxy Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:CategoryDefinition: FW/ルーター/スイッチデバイスのファイアウォールまたはACLアクセプトイベント ファイアウォール、ルーター、およびスイッチのデバイスからのファイアウォールまたは ACL の許可イベントを定義します。
ビルディング・ブロック BB:DeviceDefinition: AV/AM システム上のすべてのアンチウィルス (AV) およびアンチマルウェア (AM) を定義します。
ビルディング・ブロック BB:DeviceDefinition: Proxy システム上のすべてのプロキシー・ソースを定義します。
ビルディング・ブロック BB:DeviceDefinition: FW / Router / Switch システムのすべてのファイアウォール、ルーター、およびスイッチを定義します。
ビルディング・ブロック BB:CategoryDefinition: Worm Events ワーム・イベントを定義するにはこのビルディング・ブロックを編集します。

このビルディング・ブロックは、カスタム・ルールによっては検出されないイベントのみに適用されます。

ビルディング・ブロック BB:CategoryDefinition: Unidirectional Flow SRC
ビルディング・ブロック BB:Flowshape: Outbound Only アウトバウンドのみのフローの突き合わせを行います。
ビルディング・ブロック BB:CategoryDefinition: Recon Event Categories スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Suspicious Event Categories 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Threats: Scanning: ICMP Scan Low 低レベルの ICMP スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Zero Payload Bidirectional Flows ペイロードを含まない双方向トラフィックを識別します。
ビルディング・ブロック BB:Threats: Scanning: Scan High 高レベルの潜在的スキャン行為を識別します。
ビルディング・ブロック BB:CategoryDefinition: Unidirectional Flow
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Replys ICMP 応答が要求なしで検出されるトラフィックを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Flows 単一方向 ICMP フローを識別します。
ビルディング・ブロック BB:Flowshape: Inbound Only インバウンドのみのフローの突き合わせを行います。
ビルディング・ブロック BB:CategoryDefinition: Recon Flows 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Threats: Port Scans: UDP Port Scan UDP ベースのポート・スキャンを識別します。
ビルディング・ブロック BB:Threats: Scanning: ICMP Scan Medium 中レベルの ICMP スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: Empty Responsive Flows Low 送信元パケットのカウントが 500 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
ビルディング・ブロック BB:CategoryDefinition: Suspicious Flows 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Suspicious Events 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Long Duration Outbound Flow 48 時間を超える期間の間アクティブであるフローを識別します。
ビルディング・ブロック BB:Threats: Scanning: Empty Responsive Flows Medium 送信元パケットのカウントが 5,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Large ICMP Packets サイズが異常に大きい ICMP パケットのフローを識別します。
ビルディング・ブロック BB:Threats: Scanning: ICMP Scan High 高レベルの ICMP スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Port Scans: Host Scans フローによってスキャン行為の可能性を識別します。
ビルディング・ブロック BB:Threats: Scanning: Scan Medium 中レベルの潜在的スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: Scan Low 低レベルの潜在的スキャン行為を識別します。
ビルディング・ブロック BB:CategoryDefinition: Recon Events スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Threats: Scanning: Potential Scan フローによってスキャン行為の可能性を識別します。
ビルディング・ブロック BB:CategoryDefinition: Unidirectional Flow DST
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage:Unidirectional TCP Flows 単一方向 TCP フローを識別します。
ビルディング・ブロック BB:CategoryDefinition: Mail Policy Violation メール・ベースのポリシー違反行為と見なす行為があり、それを含めるには、このビルディング・ブロックを編集します。 例えば、メール・サーバーが発信元ではないポート 25 でのアウトバウンド・トラフィックなどです。
ビルディング・ブロック BB:Threats: Scanning: Empty Responsive Flows High 送信元パケットのカウントが 100,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Large DNS Packets サイズが異常に大きい DNS パケットのフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows 単一方向 UDP フローや他の各種フローを識別します。
ルール リモート・プロキシーまたは匿名化サービス (インバウンド)
  • 新規ルール条件:「送信元 IP または宛先 IP が、75 を超える信頼性値を持つ匿名化サービスとして X-Force ® によってカテゴリー化された場合」
  • ルール条件が再配列されました。
ルール リモート・プロキシーまたは匿名化サービス (アウトバウンド)
  • 新規ルール条件:「送信元 IP または宛先 IP が 75 を超える信頼性値を持つ匿名化サービスとして X-Force によってカテゴリー化された場合」
  • ルール条件が再配列されました。
ルール WormDetection: Successful Connections to the internet on Common Worm Ports 2 つのビルディング・ブロックを削除して、成功した接続のみに対する検証を行うために新しいビルディング・ブロックを使用するように、ルール・テストが更新されました。

and when any of these BB:CategoryDefinition: Successful Communication, BB:CategoryDefinition: Firewall or ACL Accept Event for a FW/Router/Switch Device with the same source IP more than 300 times, across more than 300 destination IP within 20 minutes

ルール Successful Inbound Connection from a Known Botnet CandC イベント/フローを正しくフィルタリングするようにルール条件が更新されました。
ルール 以前の SQL インジェクションに関与した Web サイトとの通信 ルールの名前が変更されました (以前は web site ではなく site でした)。
ルール 既知のブラックリストにリストされているか、ファスト・フラックスを使用している Web サイトとの通信 ルールの名前が変更されました (以前は web site ではなく site でした)。
ルール チェーニングされたエクスプロイトの後に 3 番目のホストで疑わしいイベントが続く 元のイベントの 15 分以内に同じ宛先 IP から疑わしいアカウント・アクティビティーが続いて発生した、同じ送信元 IP からのエクスプロイト・アクティビティーまたは攻撃タイプのアクティビティーを送信元 IP が宛先 IP と等しくない場合にレポートします。

このルールは、ソースと宛先の IP が同じイベントを無視する「Chained Exploit Followed by Suspicious Events」ルールの代替として使用されることが意図されているため、デフォルトで無効になっています。

ルール 同じホスト上で複数の脅威が検出されました 同じホスト上で複数の脅威が検出されたことを示します。
ルール 複数のホストでの同じ脅威の検出 (Same Threat Detected on Multiple Hosts) サーバーではない複数のホストで同じ脅威が検出されたことを示します。
ルール 複数のサーバーで同じ脅威が検出されました サーバーである複数のホストで同じ脅威が検出されたことを示します。
ルール 同じホストで同じ脅威が検出されました 同じホストで同じ脅威が検出されたことを示します。 これは、脅威によって生成されたファイルを AV がクリーンアップしていて、脅威自体ではないことを示している可能性があります。 AV によって少なくとも 2 サイクルの検査が行われるのに十分な時間枠を設定してください。
ルール 同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Hosts) 同じネットワーク階層の異なるホストで同じ脅威が検出されたことを示します。
ルール 悪意のある Web サイトへの通信の失敗 悪意のある Web サイトへの通信が失敗した場合に警告します。
ルール 悪意のある Web サイトへの通信の成功 悪意のある Web サイトへの通信が成功した場合に警告します。

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.1.0で更新されたリファレンス・データを示しています。

表 37. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.1.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット 悪意のある Web カテゴリー 悪意のある Web カテゴリーを定義します。

7 つの悪意のある Web カテゴリーが事前に定義されています。

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.3

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.3で更新されたルールを示しています。

表 38. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.0.3 のルール
タイプ 名前 変更の説明
ルール Successful Inbound Connection from a Known Botnet Command and Control 「any」値を「all」に変更するように、ルール・テストが更新されました。 このルールを変更した管理者は、ルール・テストを確認して all 値が設定されていることを判別する必要があります。

and when a flow or an event matches all of the following BB:CategoryDefinition: Firewall or ACL Accept, BB:CategoryDefinition: Successful Communication, BB:DeviceDefinition: FW / Router / Switch

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.2

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.2で更新されたビルディング・ブロックを示しています。

表39. IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.2
タイプ 名前 変更の説明
ビルディング・ブロック BB:Suspicious: Remote: Unidirectional UDP or Misc Flows 以下のいずれかのテストを使用するようにリモート・フロー BB の最後のルール・テストを更新しました。

and when BB:Threats:Suspicious IP Protocol Usage: Unidirectional UDP and Misc Flows match at least 15 times in 1 minutes

ビルディング・ブロック BB:Suspicious: Local: Unidirectional UDP or Misc Flows 以下のいずれかのテストを使用するようにローカル・フロー BB の最後のルール・テストを更新しました。

and when BB:Threats:Suspicious IP Protocol Usage: Unidirectional UDP and Misc Flows match at least 15 times in 1 minutes.

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.1

次の表では、 IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.1で更新されたビルディング・ブロックを示しています。

表40. IBM セキュリティー QRadar Threat Monitoring コンテンツ拡張 1.0.1 のルールおよびビルディング・ブロック
タイプ 説明 変更の説明
ルール Botnet: Potential Botnet Connection (DNS) 次のルール・テストを追加しました。

 BB:DeviceDefinition: FW/Router/Switch to rule
ルール WormDetection: Successful Connections to the internet on Common Worm Ports 次のルール・テストを追加しました。

 BB:DeviceDefinition: FW/Router/Switch to rule
ルール Botnet: Successful Inbound Connection from a Known Botnet Command and Control 次のルール・テストを追加しました。

 BB:DeviceDefinition: FW/Router/Switch to rule
ビルディング・ブロック BB:DeviceDefinition: FW / Router / Switch 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:CategoryDefinition: Pre DMZ Jump 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:CategoryDefinition: Post DMZ Jump 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。

IBM Security QRadar Threat Monitoring コンテンツ拡張 1.0.0

Threat Theme 拡張は、URL を識別するための 2 つのカスタム・イベント・プロパティー、10 のリファレンス・セット、58 の脅威関連ルール、および 56 のビルディング・ブロックを追加します。これにより、 QRadarのコンテンツ・アドオンは合計 126 個になります。 この拡張/コンテンツ・パックは、X-Force Premium IP レピュテーション・フィードが IBM QRadar SIEM アプライアンスで有効になっている管理者に必要です。 このコンテンツをインストールすると、 IBM X-Force Exchangeからのレピュテーション・フィードを処理する、必要な X-Force ルールが追加されます。

Threat 拡張で追加されたカスタム・イベント・プロパティー

名前 正規表現
URL \(URL=(.*?)\)
URL (?:cs-uri=| )(?:http|ftp|tcp|https):\/\/(.+?)\s
Threat 拡張で追加されたリファレンス・セット
名前 タイプ
DNS サーバー リファレンス・セット
データベース・サーバー リファレンス・セット
DHCP サーバー リファレンス・セット
FTP サーバー リファレンス・セット
LDAP サーバー リファレンス・セット
メール・サーバー リファレンス・セット
プロキシー・サーバー リファレンス・セット
SSH サーバー リファレンス・セット
Web サーバー リファレンス・セット
Windows Server リファレンス・セット
Threat 拡張で追加されたルール
名前 カテゴリー
X-Force プレミアム:マルウェアによる内部ホスト通信 URL 脅威 (X-Force)
X-Force Premium: マルウェアに分類されたホストへの内部接続 脅威 (X-Force)
X-Force プレミアム:ボットネットURL と通信する内部ホスト 脅威 (X-Force)
X-Force Premium: 匿名化に分類されたホストと通信する内部ホスト 脅威 (X-Force)
X-Force Premium: 動的として分類された外部 IP と通信するサーバー 脅威 (X-Force)
X-Force Premium: 非サーバーが動的として分類された外部 IP と通信 脅威 (X-Force)
X-Force Premium: SPAM に分類されたサーバーにメールを送信する非メール・サーバー 脅威 (X-Force)
X-Force Premium: メール・サーバーが SPAM に分類されたサーバーにメールを送信しています 脅威 (X-Force)
Local Mass Mailing Host Detected 侵入後のアクティビティー
Remote: Client Based DNS Activity to the Internet 侵入後のアクティビティー
Possible Local Worm Detected 侵入後のアクティビティー
Local: Hidden FTP Server 侵入後のアクティビティー
Local: SSH or Telnet Detected on Non-Standard Port 侵入後のアクティビティー
Successful Connections to the Internet on Common Worm Ports 侵入後のアクティビティー
Worm Detected (Events) 侵入後のアクティビティー
Local Host Sending Malware マルウェア
Remote: IRC Connections コンプライアンス
Remote: IM/Chat コンプライアンス
Remote: Local P2P Server Detected コンプライアンス
Remote: Usenet Usage コンプライアンス
Remote: SSH or Telnet Detected on Non-Standard Port コンプライアンス
Remote: Local P2P Client Detected コンプライアンス
Remote: Local P2P Client Connected to more than 100 Servers コンプライアンス
Remote: Local P2P Server connected to more than 100 Clients コンプライアンス
Remote: Hidden FTP Server コンプライアンス
ボットネット・アクティビティーに関与していることが分かっている Web サイトとの通信 脅威
Local: Hidden FTP Server 脅威
Local: SSH or Telnet Detected on Non-Standard Port 脅威
Remote: Local P2P Client Detected 脅威
Connection to a Remote Proxy or Anonymization Service (Outbound) 脅威
ロシアのビジネス・ネットワークと関連のあることが知られている Web サイトとの通信 脅威
マルウェアの配布を援助していることが分かっている Web サイトとの通信 脅威
Potential Botnet Connection (DNS) 脅威
Remote: IM/Chat 脅威
Potential Botnet Events Become Offenses 脅威
Remote: Hidden FTP Server 脅威
Potential Honeypot Access 脅威
Successful Inbound Connection from a Known Botnet CandC 脅威
Remote: Local P2P Server Detected 脅威
Remote: Local P2P Server connected to more than 100 Clients 脅威
Remote: SMTP Mail Sender 脅威
Remote: SSH or Telnet Detected on Non-Standard Port 脅威
以前の SQL インジェクションに関係しているサイトとの通信 脅威
Potential Connection to a Known Botnet CandC 脅威
Local host on Botnet CandC List (SRC) 脅威
Local host on Botnet CandC List (DST) 脅威
トロイの木馬の可能性があるコードを配信していることが分かっている Web サイトとの通信 脅威
フィッシング・サイトまたは不正なサイトであることが分かっている Web サイトとの通信 脅威
既知のブラックリストにリストされているか、もしくはファスト・フラックスが使用されているサイトとの通信 脅威
Connection to a Remote Proxy or Anonymization Service (Inbound) 脅威
Remote: Local P2P Client Connected to more than 100 Servers 脅威
Remote: IRC Connections ボットネット
Potential Botnet Connection (DNS) ボットネット
Potential Botnet Events Become Offenses ボットネット
Successful Inbound Connection from a Known Botnet CandC ボットネット
Potential Connection to a Known Botnet CandC ボットネット
Local host on Botnet CandC List (SRC) ボットネット
Local host on Botnet CandC List (DST) ボットネット
Threat 拡張で追加されたビルディング・ブロック
名前 カテゴリー
BB:ProtocolDefinition: Windows Protocols Port¥Protocol Definition
BB:PortDefinition: Database Ports Port¥Protocol Definition
BB:PortDefinition: FTP Ports Port¥Protocol Definition
BB:PortDefinition: IRC Ports Port¥Protocol Definition
BB:PortDefinition: Windows Ports Port¥Protocol Definition
BB:PortDefinition: SNMP Ports Port¥Protocol Definition
BB:PortDefinition: RPC Ports Port¥Protocol Definition
BB:PortDefinition: Syslog Ports Port¥Protocol Definition
BB:PortDefinition: SSH Ports Port¥Protocol Definition
BB:PortDefinition: LDAP Ports Port¥Protocol Definition
BB:PortDefinition: Mail Ports Port¥Protocol Definition
BB:PortDefinition: DNS Ports Port¥Protocol Definition
BB:PortDefinition: DHCP Ports Port¥Protocol Definition
BB:PortDefinition: Web Ports Port¥Protocol Definition
BB:PortDefinition: Common Worm Ports Port¥Protocol Definition
BB:HostReference: LDAP Servers ホスト定義
BB:HostDefinition: Virus Definition and Other Update Servers ホスト定義
BB:HostDefinition: FTP Servers ホスト定義
BB:HostDefinition: DMZ Assets ホスト定義
BB:HostReference: Web Servers ホスト定義
BB:HostDefinition: Windows Servers ホスト定義
BB:HostDefinition: Servers ホスト定義
BB:HostReference: FTP Servers ホスト定義
BB:HostDefinition: SSH Servers ホスト定義
BB:HostDefinition: Database Servers ホスト定義
BB:HostDefinition: LDAP Servers ホスト定義
BB:HostDefinition: Web Servers ホスト定義
BB:HostDefinition: Syslog Servers and Senders ホスト定義
BB:HostDefinition: Mail Servers ホスト定義
BB:HostDefinition: DNS Servers ホスト定義
BB:HostReference: Windows Servers ホスト定義
BB:HostDefinition: VoIP PBX Server ホスト定義
BB:HostReference: DNS Servers ホスト定義
BB:HostReference: Database Servers ホスト定義
BB:HostDefinition: RPC Servers ホスト定義
BB:HostReference: SSH Servers ホスト定義
BB:HostReference: Mail Servers ホスト定義
BB:HostDefinition: Network Management Servers ホスト定義
BB:HostDefinition: DHCP Servers ホスト定義
BB:HostDefinition: Proxy Servers ホスト定義
BB:HostReference: Proxy Servers ホスト定義
BB:HostDefinition: SNMP Sender or Receiver ホスト定義
BB:HostReference: DHCP Servers ホスト定義
BB:Policy Violation: IRC IM Policy Violation: IRC Connection to Internet ポリシー
BB:Policy Violation: Mail Policy Violation: Outbound Mail Sender ポリシー
BB:Policy Violation: IRC IM Policy Violation: IM Communications ポリシー
BB:Policy Violation: Application Policy Violation: NNTP to Internet ポリシー
BB:CategoryDefinition: IRC Detection based on Firewall Events カテゴリー定義
BB:CategoryDefinition: Firewall or ACL Accept カテゴリー定義
BB:CategoryDefinition: Any Flow カテゴリー定義
BB:CategoryDefinition: Successful Communication カテゴリー定義
BB:CategoryDefinition: IRC Detected based on Event Category カテゴリー定義
BB:CategoryDefinition: IRC Detected based on Application カテゴリー定義
BB:CategoryDefinition: Firewall or ACL Denies カテゴリー定義
BB:Suspicious: Remote: Unidirectional UDP or Misc Flows カテゴリー定義
BB:Suspicious: Local: Unidirectional UDP or Misc Flows カテゴリー定義
BB:NetworkDefinition: Honeypot like Addresses ネットワーク定義
BB:Threats: DoS: Potential Multihost Attack 脅威