トゥラ

IBM Security QRadar Techniques for Turla Content Extension を使用して、Turla マルウェアの配備を注意深く監視してください。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするには、関連する DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar Turla コンテンツ拡張の手法

IBMSecurityQRadarTechniques for Turla Content Extension1.1.1

インストールに関する問題を修正しました。

IBMSecurityQRadarTechniques for Turla Content Extension1.1.0

次の表は、IBMSecurityQRadarTechniques for Turla Content Extension1.1.00で更新されたルールを示しています

表 1. IBMセキュリティ 'QRadarのルールとビルディング・ブロック ターラ・コンテンツ・エクステンション'1.1.0のテクニック
ID UUID 名前 状況
101789 ca5af962-d8e5-43fb-b8ef-bf77cf35d144 Windowsレジストリ信頼記録の変更 削除済み
102489 c72ed449-4151-4f4e-a076-d4f1064fbcfb GAC DLLがOfficeアプリケーション経由でロードされる 削除済み
102989 7e789e38-4b5b-4ca5-b4f4-282ce65a672e Attribでファイルを隠す 削除済み
104189 c673847d-b064-496b-9388-163a12d062a1 不審な昇格システムシェル 削除済み
104389 d6697cf6-da5b-498f-9d5d-c4d696aecf76 Get-Processによる疑わしいプロセスの発見 削除済み
105289 0dd7a45e-c1b5-467f-a990-f37380924769 マウスロックを使った入力キャプチャ 削除済み
105539 a3442bb0-9bf4-4c79-a62c-7b8f1062e3bf WMIコンシューマにおける不審なスクリプティング 削除済み
105689 5e68889d-181b-43c7-a48c-2bebb443fcd4 不審な実行ファイルの作成 削除済み
105889 ab17bf9c-f51f-4457-8c5b-f591ad581af9 SettingContent-ms経由で実行されるコマンド 削除済み
106789 d2084bdb-9aa2-4c3f-b53b-efc531070d01 システム・オーナーまたはユーザー・ディスカバーLinux 削除済み
107139 4b17de68-6a95-44b3-a395-4fe3eb8c532a RARによるステガノグラフィー 削除済み
107389 68a203e4-83ca-4455-9436-af4ed2bac6c6 疑わしい送信SMTP接続 削除済み
109439 7631b777-2ae0-4c4a-a17c-f948d1952f09 DNSHybridConnectionManagerサービスバス 削除済み
109639 3f22b3ad-4abf-47ce-bd96-c509478b96a0 疑わしいターゲットでのリモート・スレッド作成 削除済み
110039 ba7ba2d7-21da-4fd5-92ed-548f0656bc96 PowerShell DownloadFile 削除済み
110139 f80a6187-a4cd-48ce-84de-dbd800d7f5c2 OSユーティリティによるシャドーコピーの作成 削除済み
111189 60182f70-816d-4126-bd08-686b87adc18f 非標準ポートの使用 削除済み
111389 acec599f-cbb8-4a07-9c2f-7196e2c4db5b ハイジャックされたバイナリの実行を検出 削除済み
111439 bfce7e64-7ae2-4b6a-9880-9ab7f34a7a7e PowerShellでWindows Credential Managerから資格情報をダンプする 削除済み
111639 68f4a158-d191-4c18-b3ff-1eeb72893d35 ファイルとディレクトリのパーミッション変更 (Windows) 削除済み
111689 21511f9a-60cc-4cf4-83cc-80f353bdd87a EquationGroup C2ツールへの通信 削除済み
112089 8e281e72-6e60-4aa2-90b2-a2f471f3afb0 システム外の場所からのシステムDLLのサイドロードの可能性 削除済み
112239 1fdab5bc-3dde-44b5-a7e0-c3464681c8aa Powershellからのnslookupが多すぎる 削除済み
112439 5b5a233f-e523-4351-9754-6f7766da9c2a 疑わしいPowerShellキーワード 削除済み
112589 f51a88e7-6df9-4766-ad1d-63a5bc5a04f4 RazerInstallerからの不審なサブプロセス 削除済み
112989 45d2bc80-18ab-4c76-87ea-f2f76af7269f 疑わしいWMICの実行 削除済み
113139 e9b66c89-0ab6-4b10-a29e-c292c7125221 Pythonコアイメージのロードを検出 削除済み
113339 d6230b09-465d-48ce-9da9-6a961b750923 SVCCTL名前付きパイプによるリモートサービス活動 削除済み
113539 5e32ab21-e0f1-46c5-b852-179d947cb7b7 Maldocによるプロセス・インジェクション 削除済み
113939 5283d971-2d12-4ad1-846a-dd390805795a フォーティネットの脆弱性を悪用したユーザー作成 削除済み
114689 f1a88d5f-0ff3-4657-9158-b980a2eb619e 管理者共有からの不審なコピーコマンド 削除済み
114989 8faa6e7d-06b3-4cc8-916f-dadc44e7c3d1 エッジのヘッドレス機能を使用してペイロードをダウンロードする 削除済み
115639 bf96a45a-caa8-492a-a767-e18eaf67fdd0 不審なスケジュールタスク 削除済み
115989 58f5d85e-348d-4b30-8d1b-5a53e01c6c83 疑わしい場所でのCOMハイジャック 削除済み
116939 c7080f3e-ee57-41ea-81ea-5b3c8bafd511 GRPファイル変換の不審な実行 削除済み
117539 3e84e969-1b26-43bd-a5c3-d71ba1522404 ハイブリッド・コネクション・マネージャー・サービスのインストール 削除済み
117789 35b8c9c3-f245-4963-8295-aa38e1cc69bf 悪意のあるPowerShellスクリプト 削除済み
117889 4f5311e5-415b-4f34-96fb-de5b449ef6fc Python Py2Exe画像読み込み 削除済み
118639 8973a03b-53af-4f7a-91f6-dff57cca9eae VirtualBoxドライバのインストールまたは起動 削除済み
119239 0693f1d6-8395-4da2-98f5-9143ae33d40c 不審なGet-Variableの作成 削除済み
119589 95a723c3-9fb5-432f-a7d8-5c64f04ee88c Dnscatの実行 削除済み
119789 d882d5f3-5271-4663-8f4d-63cc404cc7ec EQNEDT32の活用 削除済み
119889 4d12762c-4c6e-4bf4-bf07-bde7cbf982cf Program Filesディレクトリにおける非特権プロセスによるファイル作成 削除済み
120589 12485c79-d173-4982-98d1-b5b92c02f51f 脆弱なドライバーのロード 削除済み
120689 23c071b7-bbf4-4c26-909d-2772d5158116 潜在的なエクスプロイト活動を検出 削除済み
121889 d7aa4426-0a14-4091-9c93-7e602c115f3c レジストリでCrashDumpを無効にする 削除済み
122039 621d2016-ca3b-491c-a89e-80602160b83a Outlookのセキュリティ設定がレジストリで変更 削除済み
122339 57b53d3a-e472-4a11-b5a7-93f67e698c74 疑わしいNTDSプロセスの書き込み 削除済み
122389 eefba06b-2805-4c9e-9149-ba6008a4ab35 ADMIN$シェアへのアクセス 削除済み
122439 f453815d-c8cd-4123-85dc-73816faaf2ed データの分割(Mac) 削除済み
122639 9c5e3487-7153-4947-a4ee-b601df12d474 カールのダウンロードとエグゼキューションの組み合わせ 削除済み
123239 0c7aa57b-4d8b-4039-be77-da4c9d238486 Ryukランサムウェアのコマンドライン活動を検出 削除済み
127639 45fbda19-077b-4ef7-9557-6b1e82e4d69d 別の実行ファイルによって作成された実行ファイル 削除済み
127689 f275a4c8-2a9a-43e6-8bb4-9d66944bc90a Get-ADUser ユーザーの発見とエクスポート 削除済み

IBM セキュリティ QRadar セキュリティ ターラ・コンテンツ・エクステンションのテクニック 1.0.4

次の表は、IBM Security QRadar Techniques for Turla Content Extension 1.0.4 で更新されたルールを示しています。

表 2. Turla Content Extension 1.0.4 のテクニック IBM セキュリティ QRadar セキュリティ のカスタムプロパティが更新されました
名前 最適化済み 説明
鍵の長さ はい このプロパティタイプは、英数字から数値に変更される。

IBM安全QRadarTurlaコンテンツ拡張のテクニック1.0.3

次の表は、更新されたルールを示しています。 IBM安全QRadarTurlaコンテンツ拡張のテクニック1.0.3。

表 3. ルールとビルディングブロックIBM安全QRadarTurlaコンテンツ拡張のテクニック1.0.3
タイプ 名前 説明
ルール ハッシュパスアクティビティ ネットワーク内で横方向に移動するために使用されるハッシュを渡す攻撃手法を検出します。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ネットワーク ログオンでのハッシュ アクティビティの受け渡し ネットワーク内で横方向に移動するために使用されるハッシュを渡す攻撃手法を検出します。

Detection Rule License1.1の下で使用。

IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.2

次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.2で更新されたルールを示しています。

表 4. IBM セキュリティー QRadar Techniques for Turla Content Extension 1.0.2 のルールおよびビルディング・ブロック
タイプ 名前 説明
ルール DNS 引き出しツールの実行 (DNS Exfiltration Tools Execution) DNS 引き出しツールの実行を検出します。 ダニイル・ユーゴスラビア・スキーによる DNS 引き出しおよびトンネリング・ツールの実行シグマ・ルール、および oscd.communityに基づきます。

Detection Rule License1.1の下で使用。

ルール UAC リモート制限が無効 リモート管理アクションを許可するレジストリー変更を検出します。 Steven ディック、Teoderick Contrラス、および Splunkによる「Disable UAC Remote Restriction Sigma」ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール RazerInstaller RazerInstaller.exeから疑わしいサブプロセスを検出します。 Suspicious RazerInstaller Explorer Subprocess Sigma rule by Florian Roth, and Maxime Thiebaut に基づきます。

Detection Rule License1.1の下で使用。

IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1

次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1で更新されたカスタム・プロパティーを示しています。

表 5. IBM セキュリティー QRadar Techniques for Turla Content Extension 1.0.1 で更新されたカスタム・プロパティー
名前 最適化済み 説明
コマンド・プロパティー定義 はい このプロパティーは、DSM ペイロードからの コマンド・プロパティー のデフォルト・カスタム抽出のプレースホルダーです。
親プロセス・パス・プロパティー定義 はい このプロパティーは、DSM ペイロードからの 親プロセス・パス のデフォルト・カスタム抽出のプレースホルダーです。

次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1で更新されたルールおよびビルディング・ブロックを示しています。

表6. IBM セキュリティー QRadar Techniques for Turla Content Extension 1.0.1 のルールおよびビルディング・ブロック
タイプ 名前 説明
ルール EquationGroup C2 ツールとの通信 C2 サーバーとの通信を検出します。 フローリアン・ロスによる式グループ C2 通信シグマ規則に基づきます。

Detection Rule License1.1の下で使用。

ルール コマンドの実行方法SettingContent-ms 実行されるコマンドを検出しますSettingContent-ms Sreeman による Settingcontent-Ms Sigma ルールによる任意のシェル コマンド実行に基づいています。

Detection Rule License1.1の下で使用。

ルール DNS 引き出しツールの実行 (DNS Exfiltration Tools Execution) DNS 引き出しツールの実行を検出します。 ダニイル・ユーゴスラビア・スキーによる DNS 引き出しおよびトンネリング・ツールの実行シグマ・ルール、および oscd.communityに基づきます。

Detection Rule License1.1の下で使用。

ルール UAC リモート制限が無効 リモート管理アクションを許可するレジストリー変更を検出します。 Steven ディック、Teoderick Contrラス、および Splunkによる「Disable UAC Remote Restriction Sigma」ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール オペレーティング・システム・ユーティリティーを使用したシャドー・コピーの作成 オペレーティング・システムのユーティリティーを使用してシャドー・コピーが作成される、資格情報アクセスの考えられるシナリオを検出します。 これは、Teymur Kheirkhabarov、Daniil ユーゴスラビア・スキー、および oscd.communityによる、オペレーティング・システム・ユーティリティー・シグマ・ルールを使用したシャドー・コピー作成に基づいています。

Detection Rule License1.1の下で使用。

ルール Web サーバーによって作成されたシェル 正常に配置された Web シェルまたは別の攻撃の結果である可能性があるシェル・プロセスを作成する Web サーバーを検出します。 Thomas Patzke、Florian Roth (Nextron Systems)、Zach スタンフォード @svch0st、Tim Shelton、および nasreddine Bencherchali (Nextron Systems) による Web サーバー・シグマ・ルールによって作成されたシェルに基づきます。

Detection Rule License1.1の下で使用。

ルール Active Directory グループ/コンピューター列挙 グループまたはコンピューターが Active Directory内でカウントされるとトリガーされます。 に基づくActive Directoryグループ列挙Get-AdGroupそしてActive Directoryコンピュータの列挙Get-AdComputerシグマのルールfrack113 。

Detection Rule License1.1の下で使用。

ルール Get-ADUser ユーザー・ディスカバリーおよびエクスポート Get-ADUser コマンドレットを使用してユーザー情報を収集し、それをファイルに出力するときにトリガーされます。 ナスreddine Bencherchali (Nextron Systems) による「User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Sigma」ルールに基づきます。

Detection Rule License1.1の下で使用。

IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0に含まれるカスタム・プロパティーを示しています。

表7. IBM セキュリティー QRadar Techniques for Turla Content Extension 1.0.0 のカスタム・プロパティー
名前 最適化済み 説明
アクセス・マスク はい このプロパティーは、DSM ペイロードからの アクセス・マスク のデフォルト・カスタム抽出のプレースホルダーです。
アクセス数 はい このプロパティーは、DSM ペイロードからの アクセス権 のデフォルト・カスタム抽出のプレースホルダーです。
アカウント名 はい このプロパティーは、DSM ペイロードからの アカウント名 のデフォルト・カスタム抽出のプレースホルダーです。
アカウント・セキュリティー ID いいえ このプロパティーは、DSM ペイロードからの アカウント・セキュリティー ID のデフォルト・カスタム抽出のプレースホルダーです。
監査 ID はい このプロパティーは、DSM ペイロードからの 監査 ID のデフォルト・カスタム抽出のプレースホルダーです。
認証パッケージ はい このプロパティーは、DSM ペイロードからの 認証パッケージ のデフォルト・カスタム抽出のプレースホルダーです。
呼び出しトレース はい このプロパティーは、DSM ペイロードからの 呼び出しトレース のデフォルト・カスタム抽出のプレースホルダーです。
呼び出しタイプ はい このプロパティーは、DSM ペイロードからの 「呼び出しタイプ」 のデフォルト・カスタム抽出のプレースホルダーです。
コマンド はい このプロパティーは、DSM ペイロードからの Command のデフォルト・カスタム抽出のプレースホルダーです。
コマンド引数 はい このプロパティーは、DSM ペイロードからの コマンド引数 のデフォルト・カスタム抽出のプレースホルダーです。
コンシューマー宛先 はい このプロパティーは、DSM ペイロードからの 「コンシューマー宛先」 のデフォルト・カスタム抽出のプレースホルダーです。
説明 いいえ このプロパティーは、DSM ペイロードからの Description のデフォルト・カスタム抽出のプレースホルダーです。
宛先ホスト名 はい このプロパティーは、DSM ペイロードからの 宛先ホスト名 のデフォルト・カスタム抽出のプレースホルダーです。
エラー・コード はい このプロパティーは、DSM ペイロードからの エラー・コード のデフォルト・カスタム抽出のプレースホルダーです。
拡張エラー・コード はい このプロパティーは、DSM ペイロードからの 拡張エラー・コード のデフォルト・カスタム抽出のプレースホルダーです。
ファイル・ディレクトリー はい このプロパティーは、DSM ペイロードからの ファイル・ディレクトリー のデフォルト・カスタム抽出のプレースホルダーです。
ファイル拡張子 はい このプロパティーは、DSM ペイロードからの ファイル拡張子 のデフォルト・カスタム抽出のプレースホルダーです。
ファイル・パス はい このプロパティーは、DSM ペイロードからの 「ファイル・パス」 のデフォルト・カスタム抽出のプレースホルダーです。
ファイル名 はい このプロパティーは、DSM ペイロードからの Filename のデフォルト・カスタム抽出のプレースホルダーです。
アクセス権限の付与 はい このプロパティーは、DSM ペイロードからの 付与されたアクセス権限 のデフォルト・カスタム抽出のプレースホルダーです。
Group Name はい このプロパティーは、DSM ペイロードからの グループ名 のデフォルト・カスタム抽出のプレースホルダーです。
別ユーザー名使用レベル はい このプロパティーは、DSM ペイロードからの 「偽名レベル」 のデフォルト・カスタム抽出のプレースホルダーです。
開始済み はい このプロパティーは、DSM ペイロードからの Initiated のデフォルト・カスタム抽出のプレースホルダーです。
イニシエーター・ユーザー名 (Initiator Username) はい このプロパティーは、DSM ペイロードからの イニシエーター・ユーザー名 のデフォルト・カスタム抽出のプレースホルダーです。
Integrity Level はい このプロパティーは、DSM ペイロードからの 保全性レベル のデフォルト・カスタム抽出のプレースホルダーです。
ログオン・プロセス はい このプロパティーは、DSM ペイロードからの ログオン・プロセス のデフォルト・カスタム抽出のプレースホルダーです。
ログオン・タイプ はい このプロパティーは、DSM ペイロードからの ログオン・タイプ のデフォルト・カスタム抽出のプレースホルダーです。
マシン ID (Machine Identifier) はい このプロパティーは、DSM ペイロードからの マシン ID のデフォルト・カスタム抽出のプレースホルダーです。
MD5 ハッシュ はい このプロパティーは、DSM ペイロードからの MD5 Hash のデフォルト・カスタム抽出のプレースホルダーです。
親コマンド (Parent Command) はい このプロパティーは、DSM ペイロードからの 親コマンド のデフォルト・カスタム抽出のプレースホルダーです。
親プロセスの名前 はい このプロパティーは、DSM ペイロードからの 親プロセス名 のデフォルト・カスタム抽出のプレースホルダーです。
親プロセス・パス はい このプロパティーは、DSM ペイロードからの 親プロセス・パス のデフォルト・カスタム抽出のプレースホルダーです。
パイプ名 (Pipe Name) はい このプロパティーは、DSM ペイロードからの パイプ名 のデフォルト・カスタム抽出のプレースホルダーです。
プロセス名 はい このプロパティーは、DSM ペイロードからの プロセス名 のデフォルト・カスタム抽出のプレースホルダーです。
プロセス・パス はい このプロパティーは、DSM ペイロードからの 「プロセス・パス」 のデフォルト・カスタム抽出のプレースホルダーです。
プロパティー はい このプロパティーは、DSM ペイロードからの 「プロパティー」 のデフォルト・カスタム抽出のプレースホルダーです。
レジストリー・キー はい このプロパティーは、DSM ペイロードからの レジストリー・キー のデフォルト・カスタム抽出のプレースホルダーです。
レジストリー値データ はい このプロパティーは、DSM ペイロードからの レジストリー値データ のデフォルト・カスタム抽出のプレースホルダーです。
相対ターゲット名 いいえ このプロパティーは、DSM ペイロードからの 相対ターゲット名 のデフォルト・カスタム抽出のプレースホルダーです。
サービス・ファイル名 (Service Filename) はい このプロパティーは、DSM ペイロードからの サービス・ファイル名 のデフォルト・カスタム抽出のプレースホルダーです。
サービス名 はい このプロパティーは、DSM ペイロードからの サービス名 のデフォルト・カスタム抽出のプレースホルダーです。
SHA256 ハッシュ はい このプロパティーは、DSM ペイロードからの SHA256 ハッシュ のデフォルト・カスタム抽出のプレースホルダーです。
共有名 (Share Name) はい このプロパティーは、DSM ペイロードからの 共有名 のデフォルト・カスタム抽出のプレースホルダーです。
開始関数 (Start Function) はい このプロパティーは、DSM ペイロードからの Start Function のデフォルト・カスタム抽出のプレースホルダーです。
開始モジュール (Start Module) はい このプロパティーは、DSM ペイロードからの Start Module のデフォルト・カスタム抽出のプレースホルダーです。
サブジェクト・アカウント名 はい このプロパティーは、DSM ペイロードからの サブジェクト・アカウント名 のデフォルト・カスタム抽出のプレースホルダーです。
ターゲット・アカウント・セキュリティー ID いいえ このプロパティーは、DSM ペイロードからの ターゲット・アカウント・セキュリティー ID のデフォルト・カスタム抽出のプレースホルダーです。
ターゲットの詳細 はい このプロパティーは、DSM ペイロードからの 「ターゲットの詳細」 のデフォルト・カスタム抽出のプレースホルダーです。
ターゲット・ファイル・ディレクトリー はい このプロパティーは、DSM ペイロードからの ターゲット・ファイル・ディレクトリー のデフォルト・カスタム抽出のプレースホルダーです。
ターゲット・オブジェクト はい このプロパティーは、DSM ペイロードからの ターゲット・オブジェクト のデフォルト・カスタム抽出のプレースホルダーです。
ターゲット・プロセス名 (Target Process Name) いいえ このプロパティーは、DSM ペイロードからの ターゲット・プロセス名 のデフォルト・カスタム抽出のプレースホルダーです。
ターゲット・プロセス・パス (Target Process Path) いいえ このプロパティーは、DSM ペイロードからの 「ターゲット・プロセス・パス」 のデフォルト・カスタム抽出のプレースホルダーです。
ターゲット・ユーザー名 はい このプロパティーは、DSM ペイロードからの ターゲット・ユーザー名 のデフォルト・カスタム抽出のプレースホルダーです。
タイプ いいえ このプロパティーは、DSM ペイロードからの Type のデフォルト・カスタム抽出のプレースホルダーです。
URL ホスト (URL Host) はい このプロパティは、DSMペイロードからの URLのデフォルトのカスタム抽出のプレースホルダです。

次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0に含まれるルールおよびビルディング・ブロックを示しています。

表8. IBM セキュリティー QRadar Techniques for Turla Content Extension 1.0.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:BehaviorDefinition: Findstrの悪用 回避のための findstr の悪用を検出します。 攻撃者は、findstr を使用して成果物を非表示にしたり、特定のストリングを検索したり、防御メカニズムを回避したりすることができます。 ファーカン CALISKAN、 @caliskanfurkan_、 @oscd_initiative、および Nasreddine Bencherchali による Abusing Findstr for Defense Ev断 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:印刷実行ファイルの悪用 リモート・ファイル・コピーに対する print.exe の使用を検出します。 Abusing Print Executable Sigma rule by Furcan CALISKAN, @caliskanfurkan_, and @oscd_initiativeに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:アカウントの改ざん - 疑わしいログオン失敗の理由 失敗したログイン試行に関する一般的でないエラー・コードを検出して、疑わしいアクティビティーを判別し、無効になっているアカウントや何らかの制限があるアカウントを改ざんします。
ビルディング・ブロック BB:BehaviorDefinition: Bginfo によるアプリケーション ホワイトリストのバイパス *.bgi ファイル内で参照されている VBscript コードの実行を検出します。 Bginfo 経由のアプリケーション・ホワイトリスティング・バイパス BeyDenis によるシグマ・ルール、および oscd.communityに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: WSL を使用した任意のコマンドの実行 任意の Linux および Windows コマンドを実行するために、LOLBIN として Windows Subsystem for Linux® (WSL) バイナリーが使用されている可能性があることを検出します。 WSL を使用した任意のコマンド実行 oscd.community、Zach スタンフォード @svch0st、および Nareddine Bencherchali (Nextron Systems) によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Atbroker レジストリの変更 「at」を使用して、支援技術アプリケーションおよび永続性の作成または変更を検出します。 Atbroker Registry Change Sigma rule by Mateusz ワイドラ、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Atlassian Confluence スポーン 悪用の成功を示している可能性がある、Atlassian Confluence サーバーによる疑わしい子プロセスの作成を検出します。 Atlassian Confluence CVE-2021-26084 Sigma rule by Bhabesh 渦中にあります。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:自動収集コマンドPowerShell 内部データを収集するための自動化された手法を使用して、攻撃者を検出します。 「 Automated Collection Command PowerShell Sigma rule by frack113」に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:自動収集コマンドプロンプト 内部データを収集するための自動化された手法を使用して、攻撃者を検出します。 frack113による 「自動コレクション・コマンド・プロンプト (Automated Collection Command Prompt)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: BPFtrace 安全でないオプションの使用 安全でない bpftrace オプションの使用を検出します。 Andreas ハンケラー (@Karneades) による BPFtrace Unsafe Option Usage シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: C2 ICMP経由のセッション ICMP を介した C2 セッションを検出します。
ビルディング・ブロック BB:BehaviorDefinition: Carbon ファイル名 Carbon ファイル名が検出されたときに検出します。 最初の名前セットは Carbon 3.7xからのもので、2 番目の名前セットは Carbon 3.8xからのものです。
ビルディング・ブロック BB:BehaviorDefinition:カーボンサービス名 Carbon サービスがインストールされたときに検出します。
ビルディング・ブロック BB:BehaviorDefinition: Windows コンソールの履歴を消去する ユーザーがコンソール・ヒストリーをいつ消去しようとするかを識別します。 攻撃者は、侵害されたアカウントのコマンド履歴をクリアして、侵入中に実行されたアクションを隠蔽することができます。 「クリアリング Windows コンソール履歴 (Clearing Windows Console History)」 オースティン・ソナーのシグマ・ルール @austinsongerに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ComRATレジストリのインストール ComRAT サービスがインストールされ、ペイロードがレジストリーに書き込まれたことを検出します。 これは、資格情報の漏えいや以前にインストールされたバックドアなどの既存のアクセス権限を示している可能性があります。
ビルディング・ブロック BB:BehaviorDefinition:ComRATスケジュールされたタスクの作成 スケジュールされた新規タスクの作成時に検出します。 ComRAT は、スケジュールされたタスクを使用してコマンドを実行します。
ビルディング・ブロック BB:BehaviorDefinition:一般的な偵察コマンド 攻撃者が被害者に関する情報を収集するために実行する一般的なスキャン行為コマンドを検出します。

このルールは、 「プロセス」 CommandLine フィールドで調整できます。 表示される一般的な Process CommandLine キーワードには、以下のものがあります。

  • gpresult /z
  • gpresult /v
  • gpresult
  • nbtstat -n
  • net view
  • net view /domain
  • netstat
  • netstat -nab
  • netstat -nao
  • nslookup 127.0.0.1
  • ipconfig /all
  • arp -a
  • net share
  • net use
  • systeminfo
  • net user
  • net user administrator
  • net user /domain
  • net group
  • net group /domain
  • net localgroup
  • net localgroup Administrators
  • net group 'Domain Computers' /domain
  • net group 'Domain Admins' /domain
  • net group 'Domain Controllers' /domain
  • dir '%programfiles%'
  • net group 'Exchange Servers' /domain
  • net accounts
  • net accounts /domain
  • net view 127.0.0.1 /all
  • net session
  • route
  • ipconfig /displaydns
ビルディング・ブロック BB:BehaviorDefinition: Cronファイルの作成 クーロン・ディレクトリー内のクーロン・ファイルの作成を検出します。 Persistence Via Cron Files Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)、OTR (Open Threat Research)、および MSTIC に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:クラッチファイルステージング C:\AMD\Temp ロケーションでのクラッチ・ファイルのステージングを検出します。
ビルディング・ブロック BB:BehaviorDefinition:クラッチファイル名 C:\Intel の下のクラッチ・ファイルが検出されたときにそれを検出します。 クランチ・ファイルには、以下を含める
  • outllib.dll
  • finder.exe
  • resources.dll
  • outlook.dat
  • ihlp.exe
  • msget.exe
ビルディング・ブロック BB:BehaviorDefinition: Curl Startの組み合わせとVBSの任意の実行PowerShellコード SyncAppvPublishingServer.vbsを使用して任意の PowerShell コードの実行を検出します。 攻撃者は curl を使用してリモートからペイロードをダウンロードし、実行することができます。 Sreeman による Curl Download And Execute Combination シグマ・ルールと、Nareddine Bencherchali (Nextron Systems) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: DLL実行経由Register-cimprovider.exe register-cimprovider.exe を使用して任意の DLL ファイルを実行することを検出します。 DLL 実行 Via Register-cimprovider.exe イヴァン・ディャチコフ、ユリア・フォミナ、および oscd.communityによるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Rasautou 経由の DLL 実行 -d オプションで指定された任意の DLL をロードするために Rasautou.exe を使用していることを検出し、 -pで指定されたエクスポートを実行します。 DLL Execution via Rasautou.exe Sigma rule by ジュリア・フォミナ, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:圧縮データ -PowerShell 引き出しの前に収集された圧縮データを検出します。 Data Compressed- PowerShell Sigma rule by Timur Zinniatullin, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:アプリケーションログを削除する ログ・ファイルの削除を検出します。 TeamViewer Log File Deleted Sigma 規則 by frack113に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: ETWトレースの無効化 ロギングの回避を示す可能性がある ETW トレース・ログを消去または使用不可にするコマンドを検出します。 「 Disable of ETW Trace Sigma rule by @neu5ron」、「フロリアン・ロス (Nextron Systems)」、「Jonhnathan Ribeiro」、および「 oscd.community」に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:デフォルト ドライバー高度による検出 - Sysmon 引数 385201を指定した findstr の使用を検出します。これは、デフォルトのドライバー高度を使用してインストールされた Sysinternals Sysmon サービスの潜在的なディスカバリーを示す可能性があります。 frack113による 疑わしい Findstr 385201 実行 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:Dotnet.exeDll を実行し、署名されていないコードを実行する LOLBIN dotnet.exe が DLL を実行し、符号なしコードを実行することを検出します。 Dotnet.exe Exec Dll and Execute Unsigned Code LOLBIN Sigma rule by Be遊 Denis, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:イベントでユーティリティをダウンロードする ftpsftpcurlcuteftpwgetcertutilbits、または ncなどのエンドポイントでダウンロード・ユーティリティーが使用されている場合にそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition: .NET プロセスにおける ETW ログの改ざん ETW ロギングに関連する環境変数の変更を検出します。 「 ETW Logging Tamper In .NET Processes Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)」、および OTR (Open Threat Research) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:壮大なファイル名 Epic ファイルが検出されたときに検出します。
ビルディング・ブロック BB:BehaviorDefinition:エピックログファイル名 Epic ログ・ファイルが検出されたときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition:エピック検索用語 Epic が特定の用語を検索したときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition: ExchangeメールボックスのエクスポートPowerShell 1 次メールボックスまたはアーカイブの内容を .pst ファイルにエクスポートする Exchange PowerShell New-MailBoxExportRequest コマンドレットを検出します。 この攻撃の詳細については、 PowerShellによる Exchange メールボックスのエクスポートを参照してください。
ビルディング・ブロック BB:BehaviorDefinition:交換PowerShellスナップインの使用 メールボックス・データをエクスポートする Exchange PowerShell スナップインの追加および使用を検出します。 に基づく交換PowerShellスナップインの使用シグマルールFPT.EagleEye,および Nasreddine Bencherchali (Nextron Systems)。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Msdeploy でファイルを実行する msdeploy.exe lolbin を使用してファイルの実行を検出します。 「 Execute Files with Msdeploy.exe Sigma rule by Beユ Denis, and oscd.community」に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: WAB を使用した実行 DLL の選択 レジストリーに書き込まれた DLL へのパスがデフォルトのものと異なることを検出します。 起動された WAB.exe は、レジストリーから DLL をロードしようとします。 oscd.communityおよびナタリア・ショルニコワによる WAB.EXE を使用した Choice の実行 DLL シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Diskshadow による実行 Diskshadow.exe を使用してテキスト・ファイル内の任意のコードを実行することを検出します。 Execution via Diskshadow.exe Sigma rule by infrastructure Dyachkov, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:実行方法WorkFolders WorkFolders.exe を使用して任意の control.exeを実行することを検出します。 「 Execution via WorkFolders.exe Sigma rule by Maxime Thiebaut」(@0xThiebaut) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: stordiag による実行 schtasks.exesysteminfo.exe、および fltmc.exeを実行するための stordiag.exe の使用を検出します。 オースティン・ソナーの Execution via stordiag.exe シグマ・ルール (@austinsonger) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ファイルのダウンロード方法ProtocolHandler ファイルをダウンロードするための ProtocolHandler の使用を検出します。 ダウンロードされたファイルはキャッシュ・フォルダーに配置されます。 「 File Download Using ProtocolHandler.exe Sigma rule by frack113」に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ファイルとディレクトリの検出 -Linux ファイルおよびディレクトリーをディスカバーするためのシステム・ユーティリティーの使用を検出します。 ファイルとディレクトリーのディスカバリー- Linux Daniil fedslavsky のシグマ・ルール、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Fsutil の疑わしい呼び出し fsutilの疑わしいパラメーター (USN ジャーナルの削除や小さいサイズでの構成など) を検出します。 Fsutil Suspicious Invocation Sigma rule by JEcco, E.M。 Anhaus、および oscd.community。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Gazer ファイル名 ガゼル・ファイルが検出されたときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition:ゲイザーレジストリ ガゼル・レジストリー名が検出されたときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition: Gazer レジストリ値 ガゼル・レジストリー名が検出されたときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition:インデックス値の改ざんによるスケジュールタスクの非表示 スケジュールされたタスクの index 値がレジストリーから変更された場合にそれを検出します。 「 Hide Schedule Task Via Index Value Tamper 」ナスレディン・ベンチャーチャリのシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ファイルの非表示Attrib.exe ユーザーに対してファイルを非表示にするための attrib.exe の使用を検出します。 Attrib.exe Sami Ruohonen によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:HyperStackファイル名 HyperStack ファイルが検出されたときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition:HyperStackパイプ HyperStack パイプ名がディスカバーされたときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition:HyperStackレジストリ HyperStack レジストリーがディスカバーされたときに検出します。
ビルディング・ブロック BB:BehaviorDefinition:ログイン時に無効なパスワード ログイン時に無効なパスワードを検出します。
ビルディング・ブロック BB:BehaviorDefinition:無効なパスワードKerberos事前認証 Kerberos の事前認証中に無効なパスワードを検出します。
ビルディング・ブロック BB:BehaviorDefinition: Kazuar レジストリのインストール これは、永続性のためにレジストリー・キーが作成されたときに検出されます。
ビルディング・ブロック BB:BehaviorDefinition:Linuxファイルの削除 rmshred 、または unlink コマンドを使用してファイル削除を検出します。 攻撃者は、アクティビティーを隠すために、これらのコマンドを使用してファイルを削除することができます。 オマー・ギュナルによる ファイル削除 シグマ・ルール、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ログオンスクリプトUserInitMprLogonScript 変更または作成を検出しますUserInitMprLogonScript。 に基づくログオンスクリプト(UserInitMprLogonScript) Tom Ueltschi (@c_APT_ure) と Tim Shelton によるシグマ ルール。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ログオンスクリプトUserInitMprLogonScriptレジストリ 変更または作成を検出しますUserInitMprLogonScript。
ビルディング・ブロック BB:BehaviorDefinition:ロルビンPressAnyKeyダウンロードアクティビティ Windows システムに任意の MSI パッケージをダウンロードするために devinit.exe lolbin によって使用される特定のコマンド・ライン・フラグの組み合わせを検出します。 に基づくNodejsToolsPressAnyKeyロルビンフロリアン・ロスによるシグマルール。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: MSExchange トランスポート エージェントのインストール Exchange 内のトランスポート・エージェントのインストールを検出します。 MSExchange Transport Agent Installation-Builtin シグマ・ルール (トビアス・ミハルスキー) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: MSExchange トランスポート エージェントの登録 Exchange に登録されているエージェントのリストに対する変更を検出します。
ビルディング・ブロック BB:BehaviorDefinition:フォントフォルダに書き込まれた悪意のあるファイル C: ¥ Windows¥ Fonts¥ ロケーションに悪意のあるファイルがないかどうかをモニターします。 このフォルダーには、書き込みおよび実行のための管理者特権は必要ありません。 Sreeman の 「フォント・フォルダーへの悪意のあるファイルの書き込み」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Mavinject 実行中のプロセスに DLL を挿入する INJECTRUNNING フラグを指定した署名付き Windows Mavinject 通話料を使用して、プロセス・インジェクションを検出します。 Mavinject Inject DLL Into Running Process Sigma rule by frack113、およびージン・ロスに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Microsoft Excel テンプレートの作成 Excel 以外のプロセスからの Microsoft Excel 用テンプレート・ファイルの作成を検出します。 Office Template Creation Sigma rule by Max Altgelt (Nextron Systems) に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Microsoft Word テンプレートの作成 Word 以外のプロセスからの Microsoft Word のテンプレート・ファイルの作成を検出します。 Office Template Creation Sigma rule by Max Altgelt (Nextron Systems) に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:エクスプローラーの隠しキーの変更 レジストリー内の隠しファイル・キーに対する変更を検出します。 frack113による 「エクスプローラー非表示鍵の変更 (Modification of Explorer Hidden Keys)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:モスキートレジストリのインストール モスキート・サービスが永続性のためにレジストリー・キーを作成したときにそれを検出します。 マルウェアは shell 値を HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\に追加します。
ビルディング・ブロック BB:BehaviorDefinition:モスキートレジストリのインストール (2) モスキート・サービスが永続性のためにレジストリー・キーを作成したときにそれを検出します。 マルウェアは、 local_update_check 値を HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに追加します。
ビルディング・ブロック BB:BehaviorDefinition: NTDS 流出コマンド NTDS を引き出しするために conti によって使用されるコマンドを検出します。 Conti NTDS 引き出しコマンド (Conti NTDS Exfiltration Command) シグマ・ルール (Max Altgelt、およびトビアス・ミハルスキ) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Netcat の実行 疑わしい netcat 実行を検出します。 frack113およびフロリアン・ロスによる Netcat 疑わしい実行 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Netsh ポート転送 ポート転送を構成する netsh コマンドを検出します。 New Port Forwarding Rule Added Via Netsh.EXX Sigma rule by rosian Roth (Nextron Systems)、 omkar72、 oscd.community、および Swachchhanda Shrawan Poudel に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Netsh RDP ポート転送 RDP に使用されるポート 3389 のポート転送を構成する netsh コマンドを検出します。 RDP Port Forwarding Rule Added Via Netsh.EXE Sigma rule by na ian Roth (Nextron Systems)、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:新規サービスの作成PowerShell Powershell を使用した新規サービスの作成を検出します。 PowerShell Timur Zinniatullin、Daniil ユーゴスラビア・スキー、および oscd.communityによるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:新規サービスの作成Sc.EXE sc.exe ユーティリティーを使用した新規サービスの作成を検出します。 New Service Creation Using Sc.EXE Sigma rule by Timur Zinniatullin, Daniil ユーゴスラビア slavsky, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ネットワーク ログオンでのハッシュ アクティビティの受け渡し ネットワーク内を横方向に移動するために使用されるハッシュを通過する攻撃技法を検出します。 Dave ケネディ、Jeff ウォーレン (メソッド)、および David Vassallo (ルール) による 「ハッシュ・アクティビティー 2 を渡す」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ハッシュアクティビティを渡すNewCredentialsログオン ネットワーク内を横方向に移動するために使用されるハッシュを通過する攻撃技法を検出します。 Dave ケネディ、Jeff ウォーレン (メソッド)、および David Vassallo (ルール) による 「ハッシュ・アクティビティー 2 を渡す」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:PortProxyレジストリキー ポート転送に使用されるポート・プロキシー・レジストリー・キーの変更を検出します。 Andreas ハンケラー (@Karneades) による PortProxy Registry Key Sigma ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:可能Linux権限昇格 情報収集フェーズを特権エスカレーションの準備として示す疑わしいシェル・コマンドを検出します。 Privilege Escalation Preparation シグマ・ルールに基づいています。これは、パトリック・バレスによるものです。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:不正なMBR変更の可能性 bcdedit.exeの不正使用の可能性を検出します。 Potential Ransomware Or Unauthorized MBR Tampering Via Bcdedit.EXE Sigma rule by @neu5ronに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ポテンシャル方程式グループ指標 さまざまな Equation Group スクリプトおよびツールで使用されている疑わしいシェル・コマンドを検出します。 フロリアン・ロスの 「式グループ指標」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:PowerShellファイルのダウンロードアクティビティ PowerShell を使用してファイルがダウンロードされたときにそのことを検出します。
ビルディング・ブロック BB:BehaviorDefinition:パワーキャットの処刑 powercat の実行を検出します。 Netcat The Powershell Version Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Powershell ファイルとディレクトリの検出 ファイル・システム上のファイルを検索または検出します。 実行時に、ファイルおよびフォルダーの情報が表示されます。 Powershell File and Directory Discovery Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:プリフェッチファイル削除 プリフェッチ・ファイルの削除を検出します。 「 プリフェッチ・ファイルが削除されました (Prefetch File Deleted) 」シグマ・ルールに基づいて、Cedric ゥージョンが適用されます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:エクスプローラ経由のプロキシ実行 防御メカニズムを回避するための explorer.exe の使用を検出します。 Proxy Execution Via Explorer.exe Furcan CALISKAN、 @caliskanfurkan_、および @oscd_initiativeのシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:Regsvr32 DLL なしのコマンドライン コマンド行に DLL が含まれていない regsvr.exe 実行を検出します。 フロリアン・ロスによる Regsvr32 DLL なしのコマンド行 シグマ規則に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ルート証明書のインストール方法CertMgr 侵害されたシステムにルート証明書をインストールする攻撃者を検出して、攻撃者が制御する Web サーバーに接続する際の警告を回避します。 Root Certificate Installed Sigma rule by oscd.community、 @redcanary、および Zach スタンフォード @svch0stに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Certutil 経由でインストールされたルート証明書 侵害されたシステムにルート証明書をインストールする攻撃者を検出して、攻撃者が制御する Web サーバーに接続する際の警告を回避します。 Root Certificate Installed Sigma rule by oscd.community、 @redcanary、および Zach スタンフォード @svch0stに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Verclsid 経由で COM オブジェクトを実行します GUID を介して COM オブジェクトを実行するために verclsid.exe が使用された場合にそれを検出します。 Verclsid.exe に基づいて、ビクター・セルゲーエフ、および oscd.communityによる COM オブジェクト シグマ・ルールを実行します。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:スケジュールされた Cron タスク スケジュールされたジョブを作成するための cron ユーティリティーの使用を検出します。
ビルディング・ブロック BB:BehaviorDefinition:スケジュールされたCronタスク/ジョブ -Linux スケジュールされたジョブを作成するための cron ユーティリティーの使用を検出します。 Scheduled Cron Task/Job- Linux Sigma rule by Alejandro Ortuno, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:スケジュールされたタスクの書き込み先System32タスク 疑わしいロケーションから実行されたプロセスからのタスクの作成を検出します。 疑わしいスケジュール済みタスクの System32 タスクへの書き込み (Suspicious Scheduled Task Write to System32 Tasks) シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:スケジュールされたタスク/ジョブ - Windows 一般的でないスケジュール済みタスクを検出します。 に基づく珍しいスケジュールタスク 1 回 00:00シグマルールpH-T 。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいフォルダからのスクリプトインタープリタの実行 環境変数によってアクセス可能な一時フォルダーまたはフォルダー内の疑わしいスクリプト実行を検出します。 フロリアン・ロスの 「疑わしいフォルダーからのスクリプト・インタープリターの実行 (Script Interpreter Execution From Suspicious Folder)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:セキュリティソフトウェアの検出 -Linux セキュリティー・ソフトウェア・ディスカバリーをディスカバーするためのシステム・ユーティリティーの使用を検出します。 Security Software Discovery- Linux Sigma rule by Daniil ユーゴスラビア・スラフスキー、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:セキュリティ ソフトウェアの検出 - Powershell PowerShell セキュリティー・ソフトウェア・ディスカバリーを検出します。 frack113による 「Powershell によるセキュリティー・ソフトウェア・ディスカバリー (Security Software Discovery by Powershell)」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: AttribでWindowsシステムファイルを設定する attrib.exe ユーティリティーを使用して、ファイルがシステム・ファイルとしてマークされていることを検出します。 Set Files as System Files Using Attrib.EXE Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Devtoolslauncher経由の指定されたバイナリ実行またはOpenWith OpenWith.exe または Devtoolslauncher.exe が他のバイナリーを実行したときにそれを検出します。 「 OpenWith.exe Executes Specified Binary Sigma rule by Beユ Denis」、「 oscd.community 」(規則)、および「 @harr0ey 」(アイデア) に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:リスのロルビン Olbin として指定された可能性のある Squirrel パッケージ・マネージャーを検出します。 Squirrel Lolbin Sigma rule by Karneades/Markus Neis、Jonhnathan Ribeiro、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:スタートアップショートカットを作成しました サービスが Windows 開始フォルダーの下にショートカットを作成したときにそれを検出します。
ビルディング・ブロック BB:BehaviorDefinition:シェルコマンドにおける不審なアクティビティ さまざまなコード・エクスプロイトで使用される疑わしいシェル・コマンドを検出します。 フロリアン・ロスの 「シェル・コマンドにおける疑わしいアクティビティー」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいAtbrokerの実行 デフォルト以外の支援技術アプリケーションを実行している Atbroker を検出します。 Suspicious Atbroker Execution Sigma rule by Mateusz ヴィチ dra, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしい内閣ファイルの拡大 cab ファイルを解凍するための組み込み拡張ユーティリティーの使用を検出します。 Bhabesh Processor による 疑わしいキャビネット・ファイル拡張 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいコマンドLinux マルウェアまたはハッキング・アクティビティーに関連することが多い関連コマンドを検出します。 フロリアン・ロスによる 疑わしいコマンド Linux シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしい削除コマンド 疑わしいコマンド・ラインを検出して、 exe または dllを削除します。 「 Greedy File Deletion Using Del Sigma rule by frack113」に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいイベントログがクリアされましたPowerShell PowerShellを使用したイベント・ログのクリアを検出します。 Suspicious Eventlog Clear or Configuration Change Sigma rule by Ecco, Daniil ユーゴスラビア slavsky, oscd.community、および D3F7A5105に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいイベントログが WMIC 経由でクリアされました wmicを使用したイベント・ログの消去を検出します。 Suspicious Eventlog Clear or Configuration Change Sigma rule by Ecco, Daniil ユーゴスラビア slavsky, oscd.community、および D3F7A5105に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Wevtutil 経由で疑わしいイベントログをクリア wevtutilを使用したイベント・ログの消去を検出します。 Suspicious Eventlog Clear or Configuration Change Sigma rule by Ecco, Daniil ユーゴスラビア slavsky, oscd.community、および D3F7A5105に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:不審なグループとアカウントの偵察活動Net.EXE Net.EXEを使用している Windows システム上の疑わしいスキャン行為コマンド・ライン・アクティビティーを検出します。 Net.EXEを使用した疑わしいグループおよびアカウントのスキャン行為に基づく フロリアン・ロス (Nextron Systems)、 omkar72、 @svch0st、および Nareddine Bencherchali (Nextron Systems) によるシグマ・ルール。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしい DLL のロードと Extexport の実行 ユーザーが CertOC.exe を使用して証明書をインストールし、ターゲット DLL ファイルをロードしたときにそれを検出します。 これは、 Extexport.exe が DLL をロードすることも検出し、元のパスを他のフォルダーから実行します。 frack113による 疑わしい Extexport Execution シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:不審な荷物Advapi31 は、一般的ではないフォルダーで実行されているプロセスによる advapi31.dll のロードを検出します。 Suspicious Load of Advapi31.dll Sigma rule by frack113に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:不審なローダー Lazarus グループ・アクティビティーで使用されるさまざまなローダーを検出します。 フロリアン・ロスおよびワガによる Lazarus Loaders シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいネット実行 PowerShell Get-LocalGroupMember Cmdlet を使用して、Windows システム上の疑わしいスキャン行為コマンド・ライン・アクティビティーを検出します。 Michael Haag による Net.exe Execution Sigma rule by Michael Haag, Mark Woan (improvements), James Pemberton, @4A616D6573, and oscd.community (improvements) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:コマンドラインの疑わしい難読化文字 コマンド・ラインを介したペイロードの難読化の可能性を検出します。 Commandline の疑わしい Dosfuscation Character Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: cscript による疑わしい登録 COM + アプリケーションとしての VSS/VDS プロバイダーの登録を検出します。
ビルディング・ブロック BB:BehaviorDefinition:明示的な資格情報による疑わしいリモートログオン 明示的な資格情報を使用してログオンしている疑わしいプロセスを検出します。
ビルディング・ブロック BB:BehaviorDefinition:疑わしいリバースシェルのコマンドライン リバース・シェルを確立するためにコマンド行で実行または使用される可能性がある疑わしいシェル・コマンドまたはプログラム・コードを検出します。 フロリアン・ロスの 疑わしいリバース・シェル・コマンド・ライン (Suspicious Reverse Shell Command Line) シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:一時フォルダからの疑わしいスクリプトの実行 一時フォルダーからの疑わしいスクリプト実行を検出します。 フロリアン・ロス、Max Altgelt、および Tim Shelton の 「Temp フォルダーからの疑わしいスクリプト実行 (Suspicious Script Execution From Temp Folder)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいZipExec実行 バイナリー・ベースのツールをパスワードで保護された zip ファイルにラップするための PoC (概念検証) ツールである ZipExec の使用を検出します。 frack113による 疑わしい ZipExec 実行 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Svchost 着信接続 svchost.exe プロセスへの疑わしい着信接続を検出します。
ビルディング・ブロック BB:BehaviorDefinition: Sysinternals SDelete ファイルの削除 Sysinternals SDelete によるファイルの削除を検出します。 File Deleted Via Sysinternals SDelete Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)、および OTR (Open Threat Research) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Sysmon ドライバーのアンロード Sysmon ドライバーのアンロードの可能性を検出します。 キリル・キリヤノフの Sysmon Driver Unload Sigma 規則と oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:TaskCacheレジストリの変更 TaskCache キーに対する疑わしいレジストリー変更を検出します。 「 Scheduled TaskCache Change by Uncommon Program Sigma rule by Syed Hasan」(@syedhasan009) に基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ターミナル サーバー クライアントの接続履歴がクリアされました - レジストリ MSTSC 接続履歴を含むレジストリー・キーの削除を検出します。 Terminal Server Client Connection History Cleared-Registry Sigma rule by Christian Burkard (Nextron Systems) に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Turla グループの横展開 Turla グループによる自動横移動を検出します。 Markus Neis による Turla Group L順運動 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:トゥルラLightNeuronインストール Turla LightNeuron がインストールされている場合にトリガーされます。
ビルディング・ブロック BB:BehaviorDefinition:トゥルラLightNeuronオブジェクト Turla LightNeuron オブジェクトがロードされたときにトリガーされます。
ビルディング・ブロック BB:BehaviorDefinition:ローカル管理者にユーザーが追加されました ローカル管理者グループに追加されたユーザー・アカウントを検出します。これは、正当なアクティビティーであるか、特権エスカレーション・アクティビティーの兆候である可能性があります。
ビルディング・ブロック BB:BehaviorDefinition: Curl 経由でユーザー エージェントが変更されました ユーザー・エージェントでの疑わしい curl プロセスの開始を検出します。 疑わしい curl 変更ユーザー・エージェント- Linux Nareddine Bencherchali (Nextron Systems) によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Powershell 経由でユーザー エージェントが変更されました 疑わしいコマンドのユーザー・エージェントへの組み込みを検出します。 Change User Agents with WebRequest Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:WinDbg/CDBLOLBINの使用とアプリケーションのホワイトリストのバイパスDxcap.exe Dxcap.exe の実行を検出します。また、デバッガー・スクリプト・ファイルから 64 ビット・シェル・コードまたは任意のプロセスまたはコマンドを起動するための cdb.exe の使用も検出します。 に基づくWinDbg/CDBLOLBINの使用法ベユ・デニスによるシグマルール、 oscd.community、ナスレッディン・ベンチェルチャリ。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:疑わしいプログラムを生成する Windows シェル/スクリプト プロセス Windows シェルの疑わしい子プロセスと、 wscriptrundll32powershellmshtaなどのスクリプト・プロセスを検出します。 フロリアン・ロス (Nextron Systems) とティム・シェルトンによる Windows Shell/Scripting Processes Spawn Suspicious Programs シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Windows ソフトウェアの検出 Windows ソフトウェアがディスカバーされたときにトリガーされます。 Detected Windows Software Discovery Sigma rule by Nikita miniarov、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Windows ソフトウェアの検出 -PowerShell Windows ソフトウェアがディスカバーされたときにトリガーされます。 「検出された Windows ソフトウェア・ディスカバリー (Detected Windows Software Discovery)」- PowerShell ニキータ・ナザロフによるシグマ・ルール、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Windows スプーラ サービス バイナリ ロード スプーラー・サービス・バックアップ・フォルダーからの DLL ロードを検出します。 に基づくWindows スプーラ サービスの疑わしいバイナリ ロードシグマルールFPT.EagleEye,トーマス・パツケ(改良)。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Windows スプーラー サービス ファイルの削除 スプーラー・サービス・ドライバー・フォルダーから DLL 削除を検出します。 Windows Spooler Service 疑わしいファイル削除 (Windows Spooler Service Suspicious File Deletion) シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition: Windows Update クライアント LOLBIN Windows Update クライアントを介したコード実行を検出します。 FPT.EagleEye チームによる Windows 更新クライアント LOLBIN シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:BehaviorDefinition:ストレージの書き込み保護が無効 レジストリーへの変更を検出して、ストレージ・デバイスの書き込み保護プロパティーを無効にします。 Sreeman の 「Write Protect For Storage Disabled」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ビルディング・ブロック BB:CategoryDefinition:ファイルの権限が変更されました ファイルに割り当てられた許可を変更するためにコマンドが実行されたときにそのことを検出します。
ビルディング・ブロック BB:CategoryDefinition:オブジェクトダウンロードイベント すべてのオブジェクト (ファイル、フォルダーなど) のダウンロード関連イベント・カテゴリーを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:DeviceDefinition:エンドポイントデバイス システム上のエンドポイント・デバイスを定義します。
ルール アクセス・トークンの不正使用 トークンの偽名の使用と盗難を検出します。 Access Token Abuse Sigma rule by Michaela アダムズ、および Zach Mathis に基づいています。

Detection Rule License1.1の下で使用。

ルール ADMIN$ 共有へのアクセス $ADMIN 共有へのアクセスを検出します。 フロリアン・ロスによる Access to ADMIN$ Share シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Active Directory グループ/コンピューターの列挙 グループまたはコンピューターが Active Directory内で列挙されるとトリガーされます。 に基づくActive Directoryグループ列挙Get-AdGroupそしてActive Directoryコンピュータの列挙Get-AdComputerシグマのルールfrack113 。

Detection Rule License1.1の下で使用。

ルール Active Directory Kerberos DLL Microsoft Office 製品によってロードされている Kerberos DLL を検出します。 Active Directory Kerberos DLL Loaded Via Office Application Sigma 規則に基づいています (アントネロ・ヴェスdnbによる)。

Detection Rule License1.1の下で使用。

ルール Active Directory Office アプリケーション経由でロードされた DLL の構文解析 Microsoft Office 製品によってロードされている DSParse DLL を検出します。 Active Directory Parsing DLL Loaded Via Office Application Sigma rule by アントネロヴェスdnbに基づいています。

Detection Rule License1.1の下で使用。

ルール 代替データ・ストリーム書き込みファイル 代替データ・ストリーム (ADS) 書き込みファイルを検出します。 ADS を使用して、構成ファイルを保管することができます。 Sami Ruohonen による NTFS 代替データ・ストリーム ・シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Windows Firewall Snap-In Hijacking を介して UAC のバイパスを試行する Windows ファイアウォール・スナップインを介して UAC をバイパスする試行を検出します。

この攻撃の詳細については、「WindowsファイアウォールスナップインハイジャックによるUACバイパス」を参照してください。

ルール 自動コレクション・コマンド 内部データを収集するための自動化された手法を使用して、攻撃者を検出します。
ルール Office アプリケーションを介してロードされた CLR DLL Microsoft Office 製品によってロードされている CLR DLL を検出します。 Office Applications を介してロードされる CLR DLL Sigma 規則に基づいています (アントネロヴェスdnbにより)。

Detection Rule License1.1の下で使用。

ルール スクリプト・アプリケーションを介してロードされた CLR DLL スクリプト・アプリケーションによってロードされている CLR DLL を検出します。 DotNet CLR DLL Loaded By Scripting Applications Sigma rule by omkar72、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしいロケーションでの COM ハイジャック 「サーバー」(入出力) が疑わしい場所を指している COM ハイジャックの可能性を検出します。 疑わしいロケーションでの永続性のための COM ハイジャック シグマ・ルールに基づいています。これは、nasreddine Bencherchali によるものです。

Detection Rule License1.1の下で使用。

ルール Sdclt による COM ハイジャック Scdclt による COM ハイジャックの可能性を検出します。 COM Hijack via Sdclt シグマ規則に基づいています (Omkar Gud憎悪による)。

Detection Rule License1.1の下で使用。

ルール COM オブジェクトのダウンロード (Cradles) CLSID によって PowerShell でファイルをダウンロードするために悪用される可能性がある COM オブジェクトの使用を検出します。 Potential COM Objects Download Cradles Usage-PS Script Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ルール Certutil 開始接続 certutil.exe ツールによって開始されたネットワーク接続を検出します。 攻撃者は、 certutil.exe を悪用してマルウェアや攻撃的なセキュリティー・ツールをダウンロードする可能性があります。 Certutil Initiated Connection Sigma rule by frack113および miniian Roth に基づいています。

Detection Rule License1.1の下で使用。

ルール コマンド・ヒストリーのクリア コマンド履歴のクリア・アクティビティーを検出します。
ルール ComRat Registry Service のインストール Comネズミ・サービスがインストールされ、ペイロードがレジストリーに書き込まれるとトリガーされます。 これは、資格情報の漏えいや以前にインストールされたバックドアなどの既存のアクセスを示している可能性があります。
ルール コマンドの実行方法SettingContent-ms 実行されたコマンドを検出しますSettingContent-ms 。 に基づくSettingcontent-Ms による任意のシェル コマンドの実行Sreeman によるシグマルール。

Detection Rule License1.1の下で使用。

ルール 疑わしい URL と AppData 文字列を含むコマンドライン実行 複数のドロッパーで使用されているコマンドラインパラメータURL と AppDataを含む疑わしいコマンドライン実行を検出します。 Florian Roth、Jonhnathan Ribeiro、 oscd.community による 疑わしい URL および AppData 文字列を含むコマンドラインの実行 シグマ規則に基づく。

Detection Rule License1.1の下で使用。

ルール EquationGroup C2 ツールへの通信 C2 サーバーとの通信を検出します。 フロリアン・ロスによる Equation Group C2 Communication Sigma 規則に基づきます。

Detection Rule License1.1の下で使用。

ルール 資格情報データを含む機密ファイルのコピー 資格情報データを含む機密ファイルのコピーの試行を検出します。 「 資格情報データを含む機密ファイルのコピー 」シグマ・ルール (Teymur Kheirkhabarov、Daniil ユーゴスラビア slavsky、および oscd.community) に基づいています。

Detection Rule License1.1の下で使用。

ルール Outlook C2 マクロ・ファイルの作成 Outlook C2 マクロ・ファイルの作成を検出します。 に基づく見通しC2マクロ作成シグマルール@ScoubiMtl。

Detection Rule License1.1の下で使用。

ルール 疑わしい実行可能ファイルの作成 疑わしい実行可能ファイルの作成を検出します。 frack113による 「疑わしい実行可能ファイルの作成 (Suspicious Executable File Creation)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 支援テクノロジー・アプリケーションの作成または変更 支援技術アプリケーションの作成または変更を検出します。 Atbroker Registry Change Sigma rule by Mateusz ワイドラ、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 新しい GPO スケジュール・タスクまたはサービスの作成または変更 新規グループ・ポリシー・ベースのスケジュール済みタスクまたはサービスの作成または変更を検出します。 Samir Bousseaden の「 Persistence and Execution at Scale via GPO Scheduled Task 」シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール 資格情報ダンプ・ツールの名前付きパイプ 特定の名前付きパイプを介して既知の資格情報ダンプ・ツールの実行を検出します。 「 Cred Dump-Tools Named Pipe Sigma rule by Teymur Kheirkhabarov, and oscd.community」に基づいています。

Detection Rule License1.1の下で使用。

ルール Curl のダウンロードと実行の組み合わせ リモートでペイロードをダウンロードして実行するために curl を使用する潜在的な攻撃者を検出します。 Sreeman による Curl Download And Execute Combination シグマ・ルールと、Nareddine Bencherchali (Nextron Systems) に基づいています。

Detection Rule License1.1の下で使用。

ルール DNS 引き出しツールの実行 (DNS Exfiltration Tools Execution) DNS 引き出しツールの実行を検出します。 DNS 引き出しとトンネリング・ツールの実行 Danslavsky によるシグマ・ルール、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール PowerShell での DNS の引き出し PowerShell で DNS 引き出しを検出します。 Powershell DNSExfiltration frack113によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール ドメイン名HybridConnectionManagerサービスバス サービス・バスを照会している Hybrid Connection Manager を検出します。 に基づくドメイン名HybridConnectionManagerサービスバスロベルト・ロドリゲスによるシグマルール(Cyb3rWard0g)、OTR(Open Threat Research)などがあります。

Detection Rule License1.1の下で使用。

ルール DarkSide ランサムウェア・アクティビティーの検出 DarkSide ランサムウェア・アクティビティーを検出します。 フロリアン・ロスの DarkSide Ransomware Pattern シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール データ分割から断片へ (Mac) 分割されたデータを検出します。 Split A File Into Sigma rule by Igor Fits, ミハイル・ライン, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 複数の断片に分割されたデータ (Unix) 分割されたデータを検出します。 Split A File Into- Linux Sigma rule by Igor Fits, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 使用されるデフォルト・アカウント 使用されたデフォルト・アカウントを検出します。 「 デフォルト・アカウントの疑わしい操作 」ナスレディン・ベンチャリのシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール レジストリー・キーによる Windows Defender 機能の無効化 Windows レジストリーを使用して攻撃者が Windows Defender の機能を無効にした場合にそれを検出します。 に基づくレジストリキーでWindows Defenderの機能を無効にするシグマルールAlertIQ,ヤン・トレンチャンスキーfrack113 、ナスレディン・ベンチャーチャリ、スワッチャンダ・シュラワン・プーデル。

Detection Rule License1.1の下で使用。

ルール レジストリー経由の CrashDump の無効化 レジストリー変更によって無効にされた CrashDump を検出します。 CrashControl CrashDump Disabled シグマ・ルール (トビアス・ミハルスキー) に基づいています。

Detection Rule License1.1の下で使用。

ルール Dllhost アウトバウンド・ネットワーク接続 dllhost.exeによって開始されたアウトバウンド接続を検出します。
ルール Dllhost.exe 実行異常 (Execution Anomaly) コマンド・ライン引数なしで dllhost.exe プロセスが spawn されたことを検出します。これはまれであり、プロセス注入アクティビティーやマルウェアが類似のシステム・プロセスを模倣していることを示している可能性があります。 Dllhost.EXE Execution Anomaly Sigma rule by nasreddine Bencherchali (Nextron Systems) に基づく。

Detection Rule License1.1の下で使用。

ルール ドメイン・トラスト・ディスカバリー ドメイン・トラスト・ディスカバリーの nltest.exe および dsquery.exe の実行を検出します。 この手法は、攻撃者が Active Directory 信頼を列挙するために使用します。 E.Mの ドメイン・トラスト・ディスカバリー シグマ・ルールに基づきます。 Anhaus (原典: アトミック・ブルー検出)、Tony Lambert、 oscd.community、および omkar72。

Detection Rule License1.1の下で使用。

ルール DotNET Office アプリケーション経由でロードされた DLL Microsoft Office 製品によってロードされているアセンブリー DLL を検出します。 DotNET Assembly DLL Loaded Via Office Application Sigma rule by アントネロヴェスdnbに基づきます。

Detection Rule License1.1の下で使用。

ルール エッジ・ヘッドレス機能を使用したペイロードのダウンロード Edge ヘッドレス機能を使用したペイロードのダウンロードを検出します。 フロリアン・ロス (Nextron Systems) による 「潜在的な任意のファイルのダウンロード」 MSEdge.EXE シグマ・ルールと、ナスレディン・ベンチャーチャリ (Nextron Systems) に基づきます。

Detection Rule License1.1の下で使用。

ルール エッジを使用したコンソール経由のペイロードのダウンロード Edge コンソールを使用したペイロードのダウンロードを検出します。 「コンソール経由でペイロードをダウンロードするためのエッジの悪用 (Edge 解く for payload download via console)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール PowerShell を使用した Windows Credential Manager からの資格情報のダンプ ユーザー資格情報を取得するために共通パスワード保管場所を検索する攻撃者を検出します。 「 PowerShellを使用して Windows Credential Manager から資格情報をダンプします」 frack113によるシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール ETW トレース使用不可 ロギングの回避を示す可能性がある ETW トレース・ログを消去または使用不可にするコマンドを検出します。 「 Disable of ETW Trace Sigma rule by @neu5ron」、「フロリアン・ロス」、「Jonhnathan Ribeiro」、および「 oscd.community」に基づきます。

Detection Rule License1.1の下で使用。

ルール Powershell からの E メール・アカウント・ディスカバリー Powershell からの E メール・アカウント・ディスカバリーを検出します。
ルール 暗号化チャネル・アクティビティー 暗号化チャネル・アクティビティーを検出します。 frack113による 「疑わしい SSL 接続 (Suspicious SSL Connection)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール PowerShell を使用した Windows Credential Manager からの資格情報の列挙 ユーザー資格情報を取得するために共通パスワード保管場所を検索する攻撃者を検出します。
ルール Powershell からの nslookup の数が多すぎる Powershell から過剰な数の nslookup を検出します。 Nslookup PowerShell Download Cradle- ProcessCreation Nareddine Bencherchali (Nextron Systems) によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 別の実行可能ファイルによって作成された実行可能ファイル 実行可能ファイルが別の実行可能ファイルによって作成されるとトリガーされます。 実行可能ファイルによる実行可能ファイルの作成 frack113によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Dnscat の実行 Dnscat の実行を検出します。 Dnscat Execution Sigma rule by Daniil kitslavsky、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 引き出しツールおよびトンネリング・ツールの実行 引き出しおよびトンネリング・ツールの実行を検出します。 Exfiltration and Tuneling Tools Execution Sigma rule by Daniil ユーゴスラビア slavsky、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール Rundll32 を使用した非 DLL の実行 非 DLL を実行している rundll32.exe を検出します。 日枝トランザクションの 疑わしい Rundll32 Execution With Image Extension シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール Tap インストーラー・ソフトウェアの実行 タップ・インストーラー・ソフトウェアの実行を検出します。 Tap Installer Execution Sigma rule by Daniil ユーゴスラビア・スラフスキー、イアン・デービス、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール EQNEDT32 の活用 EQNEDT32.EXE を悪用して他のプロセスを spawn する CVE-2017-11882 を検出します。 Droppers Exploiting CVE-2017-11882 フロリアン・ロスのシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール プログラム・ファイル・ディレクトリー内の非特権プロセスによるファイル作成 Program Files ディレクトリー内の非特権プロセスによるファイル作成を検出します。 非特権プロセスによってプログラム・ファイルにドロップされたファイル Teymur Kheirkhabarov (アイデア)、Ryan Plas (ルール)、および oscd.communityによるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Bitsadmin によるファイル・ダウンロード ファイルをダウンロードする bitsadmin の使用を検出します。 Michael Haag による File Download Via Bitsadmin Sigma ルール、および FPT.EagleEye。

Detection Rule License1.1の下で使用。

ルール ファイルおよびディレクトリーの許可の変更 (Windows) Windows でのファイルとディレクトリーのアクセス権の変更を検出します。 「 ファイルまたはフォルダーの許可の変更 (File or Folder Permissions Modifications) 」に基づいて、ヤコブ・ワインゼトル、 oscd.community、およびナスレディン・ベンチャリによるシグマ・ルールが適用されます。

Detection Rule License1.1の下で使用。

ルール ダウンロード後のファイルおよびディレクトリーの許可の変更 ファイル・ダウンロード・イベント後のファイルおよびディレクトリーのアクセス権の変更を検出します。
ルール Finger 疑わしい呼び出し (Finger Suspicious Invocation) 最近のマルウェア攻撃でよく使用される疑わしい finger.exe ツール実行を検出します。 フロリアン・ロス (Nextron Systems) による Finger.exe 疑わしい呼び出し シグマ・ルール、 omkar72、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール Office アプリケーション経由でロードされた GAC DLL Microsoft Office 製品によってロードされている GAC DLL を検出します。 Office Applications を介してロードされる GAC DLL Sigma 規則に基づいています (アントノブ)。

Detection Rule License1.1の下で使用。

ルール Get-ADUser ユーザー・ディスカバリーおよびエクスポート Get-ADUser コマンドレットを使用してユーザー情報を収集し、それをファイルに出力するときにトリガーされます。 User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Nareddine Bencherchali (Nextron Systems) のシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Google Chrome DLL のサイドロード Google Chromeで DLL サイドローディングを検出します。 Potential Chrome Frame Helper DLL Sideloading Sigma rule by Nareddine Bencherchali (Nextron Systems) および Wietze Beukema (project and research) に基づいています。

Detection Rule License1.1の下で使用。

ルール Attrib でファイルを非表示にする ユーザーに対してファイルを非表示にするための attrib.exe の使用を検出します。 Attrib.exe Sami Ruohonen によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Hybrid Connection Manager サービスのインストール Hybrid Connection Manager サービスのインストールを検出します。 に基づくHybridConnectionManagerサービスのインストールロベルト・ロドリゲスによるシグマルール(Cyb3rWard0g)、OTR(Open Threat Research)などがあります。

Detection Rule License1.1の下で使用。

ルール メモリー内 PowerShell 使用される必須DLLの読み込みを検出しますPowerShell,しかしプロセスによってではないPowershell.exe。 Tom Kern、 oscd.community、ナタリア・ショルニコワ、およびティム・シェルトンの メモリー内 PowerShell シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール マウス・ロックを使用した入力キャプチャー マウス・ロック・ツールを使用して入力キャプチャーを検出します。 Cian Heasley による 「マウス・ロック資格情報収集 (マウス・ロック Credential Gathering)」 シグマ規則に基づきます。

Detection Rule License1.1の下で使用。

ルール Linux Doas ツールの実行 Linux doas ツールの実行を検出します。 Linux Doas Tool Execution Sigma rule by Sittikorn S, and Teoderick Contr元号に基づいています。

Detection Rule License1.1の下で使用。

ルール ルックアップ・システム・ロケール システム・ロケールの検索を検出します。 コンソール CodePage Lookup Via CHCP Sigma rule by _pete_0および TheDFIRReportに基づきます。

Detection Rule License1.1の下で使用。

ルール レジストリー内の悪意のある Base64 攻撃者がエンコードされたコマンドを隠そうとするレジストリー書き込み変更を検出します。 「疑わしい環境変数が登録されました (Suspicious Environment Variable Has Been Registered)」 というシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール 悪意のある名前付きパイプ 既知の APT マルウェアによって名前付きパイプが作成されるとトリガーされます。
ルール 悪意のある PowerShell スクリプト 悪用用の既知の Powershell スクリプトの作成を検出します。 Markus Neis、Nareddine Bencherchali (Nextron Systems)、Mustafa Kaan Demir、およびゲオルク・ラウエンシュタインによる 悪意のある PowerShell スクリプト- FileCreation シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール コントロール・パネルの悪意のある使用 コントロール・パネル項目の悪意のある使用を検出します。 「 コントロール・パネル項目 」、「チョー・ミン・テイン」、および「古館カリスカン」(@caliskanfurkan_) に基づいています。

Detection Rule License1.1の下で使用。

ルール マスカレーディング・タスクまたはサービス タスクまたはサービスのマスカレーディング時にトリガーされます。
ルール Microsoft バイナリー Github 通信 github.comにアクセスする Windows フォルダー内の実行可能ファイルを検出します。 Michael Haag (アイデア) による Microsoft Binary Github Communication Sigma ルールに基づいています。フロリアン・ロス (ルール)。

Detection Rule License1.1の下で使用。

ルール Microsoft Binary 疑わしい通信エンドポイント (Microsoft Binary Suspicious Communication Endpoint) 疑わしいドメインにアクセスしている Windows フォルダー内の実行可能ファイルを検出します。 フロリアン・ロス (Nextron Systems) による Microsoft Binary Suspicious Communication Endpoint シグマ・ルールと、Nextron Systems (Nextron Systems) に基づく Nextron Bencherchali (Nextron Systems) によるシグマ・ルール。

Detection Rule License1.1の下で使用。

ルール Microsoft Office DLL のサイドロード Microsoft Office の一部である DLL の標準以外の場所からのサイドローディングを検出します。 Microsoft Office DLL Sideload Sigma rule by ナーゼ Bencherchali (Nextron Systems)、および Wietze Beukema (project and research) に基づいています。

Detection Rule License1.1の下で使用。

ルール Microsoft Office テンプレートの作成 Office 外部から Microsoft Office 用のテンプレート・ファイルの作成を検出します。
ルール Mimikatz の実行 既知の Mimikatz コマンド・ライン引数を検出します。 「 HackTool -Mimikatz Execution 」(Teymur Kheirkhaarov、 oscd.community、David ANDRE (追加キーワード)、および Tim shelton) に基づいています。

Detection Rule License1.1の下で使用。

ルール パスワードが正しくないために複数のログインが失敗する パスワード・スプレーを実行している攻撃者を検出します。
ルール ネットワーク共有ディスカバリー・アクティビティー ネットワーク共有ディスカバリー・アクティビティーを検出します。
ルール ネットワーク・スニッフィング・アクティビティー ネットワーク・スニッフィング・アクティビティーを検出します。 Network Sniffing Sigma rule by Timur Zinniatullin and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 新規証明書が証明書ストアに追加されました Windows レジストリーへの新しいルート証明書、CA 証明書、または AuthRoot 証明書の追加を検出します。 「 New Root or CA or AuthRoot Certificate to Store Sigma rule by frack113」に基づいています。

Detection Rule License1.1の下で使用。

ルール Netsh 経由で追加された新規ポート転送規則 新しいポート転送 (PortProxy) ルールを構成する netsh コマンドの実行を検出します。 New Port Forwarding Rule Added Via Netsh.EXX Sigma rule by rosian Roth (Nextron Systems)、 omkar72、 oscd.community、および Swachchhanda Shrawan Poudel に基づいています。

Detection Rule License1.1の下で使用。

ルール 新規サービスの作成 新規サービスの作成を検出します。
ルール 非標準ポート使用量 非標準ポートの使用を検出します。 フロリアン・ロス (Nextron Systems) による 疑わしい標準的なマルウェア・バック・コネクト・ポート のシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Outlook C2 マクロ作成 Outlook 用のマクロ・ファイルの作成を検出します。 に基づく見通しC2マクロ作成シグマルール@ScoubiMtl。

Detection Rule License1.1の下で使用。

ルール レジストリーで Outlook のセキュリティー設定が変更されました Outlook E メール・セキュリティー設定の変更を検出します。 Change Outlook Security Setting in Registry Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ルール 「ハッシュ・アクティビティーの受け渡し」 ネットワーク内を横方向に移動するために使用されるハッシュを通過する攻撃技法を検出します。
ルール ごみ箱のパーシスタンス・レジストリー・キー ごみ箱のパーシスタンス・レジストリー・キーを検出します。 frack113による 「ごみ箱内のレジストリー永続性メカニズム」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール GPO スケジュール・タスクによるスケールでのパーシスタンスと実行 GPO スケジュール・タスクを使用して水平移動を検出します。 Samir Bousseaden の「 Persistence and Execution at Scale via GPO Scheduled Task 」シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール サービス・レジストリー・キーによる永続性 サービスの作成または既存のサービスの変更によって持続しようとしている攻撃者を検出します。 ServiceDll Hijack Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ルール Persistence via Startup Folder (スタートアップ・フォルダーによるパーシスタンス) 疑わしい拡張子を持つファイルが開始フォルダーに作成された場合にそれを検出します。 疑わしい始動フォルダーのパーシスタンス (Suspicious Startup Folder Persistence) というシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール ISO アーカイブのフィッシング・パターン アーカイブ・アプリケーションで ISO ファイルが開かれたときにそれを検出します。 フロリアン・ロスによる 「Phishing Pattern ISO in Archive」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール ブルート・フォースの試み ブルート・フォースを実行している攻撃者を検出します。
ルール 考えられる Turla LightNeuron バックドアの取り付け Turla LightNeuron バックドアがインストールされるとトリガーされます。 LightNeuron は、トランスポート・エージェントを使用する Microsoft Exchange E メール・サーバーをターゲットとします。

Detection Rule License1.1の下で使用。

ルール 収集されたデータの潜在的なアーカイブ 引き出しのためにデータがアーカイブまたは圧縮されたときにトリガーされます。 攻撃者は、データをポータブルにしてネットワークを介して送信されるデータ量を最小化するために、引き出しの前に収集される機密文書などのデータを圧縮することができます。
ルール 潜在的なブート・スクリプトまたはログオン初期化スクリプト ブート・スクリプトまたはログオン・スクリプトを初期化するために Windows ログオン・スクリプトが変更されたときにトリガーを検出します。
ルール 潜在的な C2 非アプリケーション層プロトコルを介した通信 ホストと C2 サーバーの間、またはネットワーク内の感染したホストの間の通信に非アプリケーション層プロトコルを使用する攻撃者を検出します。
ルール 潜在的な炭素アクティビティー C & C サーバーと通信してデータを抽出する Carbon アクティビティーを検出します。
ルール 潜在的な ComRAT アクティビティー スケジュールされたタスクを作成するための PowerShell ローダーである ComRAT アクティビティーを検出します。
ルール 潜在的なコマンドおよびスクリプト・インタープリター コマンドおよびスクリプト・インタープリターが検出されたときにトリガーされます。
ルール 潜在的な構成およびサービスのスキャン行為 レジストリーからのスキャン行為の試行を検出します。 攻撃者は、Windows レジストリーと対話して、資格情報、システム、構成、およびインストール済みソフトウェアに関する情報を収集することができます。 Timur Zinniatullin による 照会レジストリー ・シグマ・ルールに基づいて、 oscd.communityを行います。

Detection Rule License1.1の下で使用。

ルール 潜在的クラッチ・アクティビティー データを暗号化して抽出するクラッチ・アクティビティーを検出します。
ルール 潜在的な DLL 注入パターンの検出 (Potential DLL Injection Pattern Detected) 潜在的な使用を検出CreateRemoteThreadAPIとLoadLibraryプロセスに DLL を挿入する関数。 に基づくCreateRemoteThreadAPIとLoadLibraryロベルト・ロドリゲス@Cyb3rWard0g。

Detection Rule License1.1の下で使用。

ルール 潜在的な DLL 検索順序のハイジャック Slack、Teams、 OneDrive などの既知のデスクトップ・アプリケーション依存関係フォルダーに DLL ファイルを作成しようとすると、通常とは異なるプロセスによってトリガーされます。 これは、DLL 検索順序ハイジャックによって悪意のあるモジュールをロードしようとしたことを示している可能性があります。 「DLL Search Order Hijacking による潜在的な初期アクセス (Potential Initial Access via DLL Search Order Hijacking)」 シグマ・ルール (Tim Ra地 (ルール)、および Elastic (アイデア)) に基づいています。

Detection Rule License1.1の下で使用。

ルール Curl による潜在的なデータ引き出し (Potential Data Exfiltration Via Curl) upload フラグを指定した curl プロセスの実行を検出します。 これは、潜在的なデータ引き出しを示している可能性があります。 フロリアン・ロスの 疑わしい curl ファイルのアップロード ・シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 潜在的なエンパイア・アクティビティー メールを介してデータを抽出するために Microsoft Outlook をハイジャックするエンパイア・アクティビティーを検出します。
ルール 潜在的なエピック・アクティビティー 被害者システム内のさまざまな用語を検索する Turla Epic アクティビティーを検出します。
ルール 検出された潜在的な Exchange エクスプロイト・アクティビティー 潜在的な Exchange エクスプロイト・アクティビティーを検出します。 フロリアン・ロスによる 交換悪用アクティビティー のシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 潜在的なファイルおよびディレクトリーのディスカバリー 情報ディスカバリーのためにファイルまたはディレクトリーが検索されたときにトリガーされます。 攻撃者は、ファイルとディレクトリーを列挙したり、ファイル・システム内の特定の情報をホストまたはネットワーク共有の特定の場所で検索したりすることができます。
ルール 実行ハイジャックの潜在的なフロー 疑わしいフォルダーまたはファイルから DLL がロードまたは削除されたときにトリガーされます。
ルール 潜在的なガザー・アクティビティー 永続性のためにさまざまな手法を使用するバックドアである Turla ガス・アクティビティーを検出します。
ルール 潜在的な隠しファイルまたはディレクトリー ユーザーに対して成果物を非表示にするためにファイル属性またはディレクトリー属性が変更または変更されたときにトリガーされます。
ルール 潜在的な HyperStack アクティビティー バックドアである Turla HyperStack アクティビティーを検出します。
ルール ホスト上の潜在的なインディケーターの削除アクティビティー ホスト・システムで生成された成果物を攻撃者が削除または変更して、その存在の証拠を削除したり、防御を妨げている場合にトリガーされます。
ルール 潜在的な Ingress ツール転送 不審な電話を検出Invoke-WebRequest, curl または wget を実行すると、出力が疑わしい場所に配置されます。 に基づく疑わしいInvoke-WebRequest使用法Nasreddine Bencherchali によるシグマルール。

Detection Rule License1.1の下で使用。

ルール 潜在的な一度のアクティビティー ショートカット作成であり、HKCU レジストリー・パスの下に追加されたサブキーである、一時アクティビティーを検出します。
ルール 潜在的な LOLBIN アクティビティー (Potential LOLBIN Activity) 指定されたバイナリーのコードを実行するために LOLBIN が使用されたときにトリガーされます。
ルール PowerShell を介した潜在的な水平移動 水平移動中に一般的に悪用されるプロセスの子プロセスまたは孫プロセスとして作成された PowerShell プロセスを検出します。 モーリシオ・ベラスコの 「考えられる担保移動」 PowerShell 「Spawn」 「シグマ」ルール、および Splunkに基づきます。

Detection Rule License1.1の下で使用。

ルール 潜在的な MSExchange メールボックスのエクスポート Exchange メールボックス・データがファイルにエクスポートされるとトリガーされます。
ルール 潜在的な悪意のある MSExchange トランスポート・エージェントのインストール Exchange トランスポート・エージェントのインストールを検出します。
ルール 潜在的な蚊の活動 (Potential Mosquito Activity) モスキート・アクティビティー ( Win32 バックドア) を検出します。
ルール 潜在的な PowerShell ReverseShell 接続 の使用を検出します'TcpClient'クラス。 これは、リモート接続およびリバース・シェルを確立するために悪用される可能性があります。 に基づく潜在的なPowershellReverseShell繋がりシグマルールFPT.EagleEye, wagga 氏、および Nasreddine Bencherchali 氏 (Nextron Systems)。

Detection Rule License1.1の下で使用。

ルール 潜在的なプロキシー転送構成 (Potential Proxy Forwarding Configuration) 転送で使用するようにプロキシー・ポートが構成されている場合にトリガーされます。 攻撃者は、トンネリングによってネットワーク制限をバイパスするようにプロキシー・ポートを構成することができます。
ルール 潜在的なレジストリーまたは環境変数のアンロード 環境変数またはレジストリーに変更が加えられるとトリガーされます。 これは、ランサムウェア攻撃の前兆を示している可能性があります。
ルール 作成された潜在的なスケジュール済みタスク 作成されたスケジュール済みタスクを検出します。
ルール 潜在的なセキュリティー・ソフトウェア・ディスカバリー セキュリティー・ソフトウェアがディスカバーされたときにトリガーされます。 攻撃者は、システムまたはクラウド環境にインストールされているセキュリティー・ソフトウェア、構成、防御ツール、およびセンサーのリストを取得しようとする可能性があります。 これには、ファイアウォール・ルールやアンチウィルスなどが含まれる場合があります。
ルール 潜在的な svchost メモリー・アクセス winRM Windows イベント・ロギング・サービスを強制終了するために Invoke-Phantom によって使用されるものなど、svchost プロセス・メモリーへの潜在的なアクセスを検出します。 Tim Burrell の 「疑わしい Svchost Memory Asccess」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 非システム・ロケーションからの潜在的なシステム DLL サイドローディング 通常、 System32SysWOW64などのシステム・ロケーションに配置されている DLL のサイド・ロードを検出します。 に基づくシステム以外の場所からのシステム DLL サイドローディングシグマルール、Nasreddine Bencherchali、Wietze Beukema(プロジェクトと研究)、Chris Spehn(WFH Dridexの研究)、およびXForceIR(SideLoadHunterプロジェクト)。

Detection Rule License1.1の下で使用。

ルール 潜在的な TinyTurla アクティビティー w64time.dllという偽の DLL を使用する TinyTurla アクティビティーを検出します。 Windows Legit バージョンは w32time.dllです。これにより、マルウェアの認識が低下します。
ルール 潜在的な Turla Recon アクティビティー (Potential Turla Recon Activity) 一般的な Turla アクティビティーを検出します。このアクティビティーは、被害者のマシンを検出するために複数のスキャン行為コマンドを実行し、さらに横方向に移動します。
ルール 潜在的な Unix シェル・コマンドおよびスクリプト・インタープリター 疑わしいシェル・コマンドまたはプログラム・コードがコマンドおよびスクリプト・インタープリターに対して実行された場合にトリガーを検出します。
ルール 除去された可能性のある Web シェル 除去された潜在的な Web シェルを検出します。 フロリアン・ロス (ルール)、MSTI (クエリー、アイデア) による 「疑わしい ASPX ファイルの交換によるドロップ (Suspicious ASPX File Drop by Exchange)」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール PowerShell スクリプトを介した潜在的な WinAPI 呼び出し PowerShell スクリプトでの WinAPI 関数の使用を検出します。 Potential WinAPI Calls Via PowerShell Scripts Sigma rule by Nikita ナザロフ、 oscd.community、および Tim shelton に基づきます。

Detection Rule License1.1の下で使用。

ルール 潜在的な Windows コマンド・シェル・インタープリター コマンド/引数の混乱/ハイジャックの可能性を示す、 cmd.exe でのパス・トラバーサルの使用時にトリガーされます。 Cmd.exe CommandLine パス・トラバーサル xknow @xknow_infosecおよび Tim shelton によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 潜在的な Windows スケジュール・タスクの作成 攻撃者がスケジュールされたタスクを作成しようとするとトリガーされます。
ルール 潜在的な Windows ソフトウェア・ディスカバリー Windows ソフトウェアがディスカバーされたときにトリガーされます。 攻撃者は、どのようなセキュリティー対策が存在するか、侵害されたシステムに脆弱性のあるソフトウェアのバージョンがあるかなど、さまざまな理由でソフトウェアを列挙しようとする可能性があります。
ルール PowerShell DownloadFile 単一のコマンド・ラインでの PowerShell の実行、 WebClient オブジェクトの作成、および DownloadFile の呼び出しを検出します。 フロリアン・ロスの PowerShell DownloadFile シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール PowerShell プロファイルの変更 PowerShell プロファイルが作成または変更されたときにトリガーされます。これは、プロファイルをパーシスタンスの手段として使用できるため、疑わしいアクティビティーを示す可能性があります。 「 PowerShell Profile Modification Sigma rule by HieuTT35」、および「nasreddine Bencherchali」に基づいています。

Detection Rule License1.1の下で使用。

ルール Powershell キー・ロギング・アクティビティー Powershell キー・ロギング・アクティビティーを検出します。 Powershell Keylogging frack113のシグマ・ルールに基づいています。
ルール Powershell ローカル E メール・コレクション 機密情報を収集するために、ローカル・システム上のユーザー E メールをターゲットとする攻撃者を検出します。 frack113による Powershell ローカル E メール・コレクション に基づきます。

Detection Rule License1.1の下で使用。

ルール Powershell リモート・スレッド作成 重要な Windows プロセスにコードを注入する Powershell を検出します。
ルール Maldoc を介したプロセス・インジェクション maldoc を使用したプロセス注入を検出します。 LittleCorporal Generated Maldoc Injection に基づく、クリスチャン・バーカードによるシグマ・ルール。

Detection Rule License1.1の下で使用。

ルール Psexec Accepteula 契約が検出されました psexec アクセプテラ・アクティビティーを検出します。 omkar72による Psexec Accepteula Condition シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール Python コア・イメージ・ロードの検出 Python Core イメージのロードを検出します。 Python Py2Exe Image Load シグマ・ルール (パトリック・セントジョン) および OTR (Open Threat Research) に基づいています。

Detection Rule License1.1の下で使用。

ルール Python Py2Exe イメージのロード Py2Exeにバンドルされている Python スクリプトを示す Python Core のイメージ・ロードを検出します。 Python Py2Exe Image Load シグマ・ルール (パトリック・セントジョン) および OTR (Open Threat Research) に基づいています。

Detection Rule License1.1の下で使用。

ルール ループバック・アドレスを介した RDP 通信 ループバック・アドレスを介した RDP 通信を検出します。 Samir Bousseaden の RDP over Reverse SSH Tunnel WFP シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール BuiltIn コマンドを使用したスキャン行為アクティビティー さまざまな攻撃グループによって recon ステージで頻繁に使用される一連の組み込みコマンドの実行を検出します。 juju4による 一連の疑わしいコマンドのクイック実行 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール Regedit が TrustedInstaller 特権で開始されました TrustedInstaller 特権または ProcessHacker.exeで開始された regedit を検出します。 フロリアン・ロスの「 Regedit as Trusted Installer 」シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール 実行キーのレジストリー変更 実行キーのレジストリー変更を検出します。 に基づく疑わしいドライバのインストールpnputil.exeハイ・ヴァクニンによるシグマルール@LuxNoBulIshit, Avihay eldad @aloneliassaf、Austin Songer @austinsonger。

Detection Rule License1.1の下で使用。

ルール Regsvr32 アウトバウンド・ネットワーク接続 regsvr32.exeによって開始されたアウトバウンド接続を検出します。
ルール リモート PowerShell セッション 非ネットワーク・サービス・アカウントからポート 5985 または 5986 へのネットワーク・アウトバウンド接続をモニターすることにより、リモート PowerShell 接続を検出します。 Remote PowerShell Session (Network) Sigma rule by Roberto ロドリゲス (@Cyb3rWard0g) に基づきます。

Detection Rule License1.1の下で使用。

ルール リモート・スケジュール・タスクの作成 スケジュールされたリモート・タスクの作成を検出します。
ルール SVCCTL 名前付きパイプを介したリモート・サービス・アクティビティー svcctl 名前付きパイプへのリモート・アクセスによるリモート・サービス・アクティビティーを検出します。 名前付きパイプを使用したリモート・サービス作成 シグマ・ルール (減分) に基づきます。

Detection Rule License1.1の下で使用。

ルール 疑わしいターゲットでのリモート・スレッド作成 疑わしいターゲット・イメージでのリモート・スレッド作成を検出します。 フロリアン・ロスによる 「疑わしいターゲットでのリモート・スレッドの作成 (Remote Thread Creation in Suspicious Targets)」 に基づいています。

Detection Rule License1.1の下で使用。

ルール ルート証明書がインストールされました 侵害されたシステムにルート証明書をインストールする攻撃者を検出して、攻撃者が制御する Web サーバーに接続する際の警告を回避します。
ルール RunDLL32 アウトバウンド・ネットワーク接続 rundll32.exeによって開始されたアウトバウンド接続を検出します。
ルール 疑わしいプロセス・リネージュを持つRundll32 異常な親プロセスからの rundll32.exe の実行を検出します。
ルール ハイジャックされたバイナリーの実行が検出されました ハイジャックされたバイナリーの実行を検出します。 に基づく使用SettingSyncHost.exe を LOLBin としてアントン・クテポフのシグマルール、そしてoscd.community。

Detection Rule License1.1の下で使用。

ルール Ransomware コマンド・ライン・アクティビティーの検出 (Ransomware Command Line Activity Detected) ホークランサムウェア・コマンド・ライン・アクティビティーを検出します。 Vasiliy Bu直通の 「Ransomware コマンド・ライン・アクティビティー」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール SMB リモート・ファイル管理共有の作成 C$などの管理共有経由で書き込み (0x2) アクセス・マスクを使用してファイルにアクセスする非システム・アカウント SMB を検出します。 SMB Create Remote File Admin Share Sigma rule by Jose ロドリゲス (@Cyb3rPandaH)、および OTR (Open Threat Research) に基づいています。

Detection Rule License1.1の下で使用。

ルール SSH ファイアウォール構成 SSH ファイアウォール構成を検出します。 Windows (コマンド) 上の OpenSSH サーバー・ファイアウォール構成に基づく シグマ・ルール (減分数)。

Detection Rule License1.1の下で使用。

ルール スクリプト開始接続 ネットワーク接続を開くスクリプト・インタープリター wscript/cscript を検出します。 攻撃者は、スクリプトを使用して悪意のあるペイロードをダウンロードする可能性があります。 frack113による 「スクリプト開始接続 (Script Initiated Connection)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール サービス・ DLL のハイジャック レジストリー内のサービスに関連する ServiceDLL 値の変更を検出します。 これは、多くの場合、パーシスタンスの方法として使用されます。 ServiceDll Hijack Sigma rule by frack113に基づいています。

Detection Rule License1.1の下で使用。

ルール サービス・レジストリー権限の脆弱性チェック サービス開始時に独自のコードを起動するために、攻撃者が、最初に指定された実行可能ファイルから制御する実行可能ファイルにリダイレクトするために、レジストリー内の許可の欠陥を検査することを検出します。 frack113による 「サービス・レジストリー権限の脆弱性チェック」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール SetupComplete.cmd の活用 SetupComplete.cmd および PartnerSetupComplete.cmdを介した特権エスカレーション脆弱性の悪用の試行を検出します。
ルール オペレーティング・システム・ユーティリティーを使用したシャドー・コピー作成 オペレーティング・システム・ユーティリティーを使用してシャドー・コピーが作成される資格情報アクセスの考えられるシナリオを検出します。 「 Shadow Copies Creation Using Operating Systems Utilities 」(Teymur Kheirkhabarov、Daniil もとslavsky、および oscd.communityによるシグマ・ルール) に基づいています。

Detection Rule License1.1の下で使用。

ルール Web サーバーによって作成されたシェル 正常に配置された Web シェルまたは別の攻撃の結果である可能性があるシェル・プロセスを spawn する Web サーバーを検出します。 Thomas Patzke、Florian Roth (Nextron Systems)、Zach スタンフォード @svch0st、Tim shelton、および nasreddine Bencherchali (Nextron Systems) の 「Web サーバーによって作成されたシェル」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 検出されたランサムウェア・アクティビティーの検出 (Snatch Ransomware Activity Detected) Snatch ランサムウェア・アクティビティーを検出します。 フロリアン・ロスによる Snatch Ransomware シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 検出された静的 Mimikatz ドライバー名 (Static Mimikatz Driver Name Detected) 既知の悪用された mimikatz ドライバー名を検出します。 PrinterNightmare Mimikatz Driver Name Sigma rule by Markus Neis, @markus_neis, and Florian Roth に基づきます。

Detection Rule License1.1の下で使用。

ルール ステガノグラフィによるファイルの埋め込み steganography ファイルの埋め込みを検出します。 Pawel マズールの「 Steganography Unzip Hidden Information From Picture File 」シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール Steganography ファイルの抽出 steganography ファイルの抽出を検出します。 「 Steganography Extract Files with Steghide 」シグマ・ルール (Pawel マズール) に基づいています。

Detection Rule License1.1の下で使用。

ルール RAR によるステガノグラフィ 不正な Windows ディレクトリー環境変数による特権エスカレーションの試行を検出します。 Rar.EXE X__ジュニア (Nextron Systems) およびフロリアン・ロス (Nextron Systems) によるシグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール SOURGUM アクターによる疑わしい動作 SOURGUM アクターによる疑わしい動作を検出します。
ルール 疑わしいバイナリー DLL 実行 (Suspicious Binary DLL Execution) 指定されたディレクトリーから DLL が実行されたときにトリガーされます。
ルール 疑わしいバイナリー・ロードと実行 (Suspicious Binary Load and Execution) 指定されたバイナリーから任意の DLL がロードまたは実行されるとトリガーされます。
ルール 疑わしい CLR ログの作成 疑わしい .NET アセンブリー実行を検出します。 疑わしい CLR ログの作成 (Suspicious CLR Logs Creation) Sigma rule by omkar72、 oscd.community、および Wojciech Lesicki に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしいユーザー・エージェントの変更 (Suspicious changing of User Agent) 疑わしいユーザー・エージェントの変更を検出します。 攻撃者は、Web トラフィックに関連付けられたアプリケーション層プロトコルを使用して通信し、既存のトラフィックとブレンドすることで検出/ネットワーク・フィルタリングを回避することができます。
ルール 管理共有からの疑わしいコピー・コマンド (Suspicious Copy Command from Admin Share) 管理共有からの疑わしいコピー・コマンドを検出します。 に基づく管理者共有からコピーFlorian Roth (Nextron Systems) によるシグマルール、 oscd.community、テイムル・ケイルカバロフ@HeirhabarovT,ザック・スタンフォード@svch0st、ナスレッディン・ベンチェルチャリ。

Detection Rule License1.1の下で使用。

ルール Get-Variable File の疑わしい作成 get-variable.exe ファイルの疑わしい作成を検出します。 Suspicious Get-Variable.exe Creation Sigma rule by frack113に基づきます。

Detection Rule License1.1の下で使用。

ルール 疑わしいクーロン・スケジュール・タスク/ジョブ クーロン・ユーティリティーの不正使用を検出して、悪意のあるコードの初期実行または繰り返し実行のためのタスク・スケジューリングを実行します。
ルール 疑わしい Curl ダウンロード (Suspicious Curl Download) Windows 上で疑わしい curl プロセスの開始を検出し、要求された文書をローカル・ファイルに出力します。 Suspicious Curl.EXE Download Sigma rule by Florian Roth (Nextron Systems), and Nareddine Bencherchali (Nextron Systems) に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい二重ファイル拡張子プロセス (Suspicious Double File Extension Process) 二重ファイル拡張子を持つプロセスを検出します。 フロリアン・ロス (Nextron Systems)、 @blu3_team (アイデア)、および shadow reddine Bencherchali (Nextron Systems) による 疑わしいダブル・エクステンション・ファイル実行 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい昇格されたシステム・シェル Windows コマンド・プロンプトや PowerShell などのシェル・プログラムがシステム特権で起動されるとトリガーされます。 frack113による 疑わしい昇格されたシステム・シェル のシグマ・ルール、および Tim shelton に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい EventLog 消去 (Suspicious) wevtutilpowershell 、および wmicを使用したイベント・ログの消去を検出します。
ルール GRP ファイル変換の疑わしい実行 .grp ファイル変換の疑わしい実行を検出します。 フロリアン・ロス (Nextron Systems) による 疑わしい GrpConv 実行 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 一時ディレクトリーからの Outlook の疑わしい実行 一時ディレクトリから実行された Outlook を検出します。 フロリアン・ロス (Nextron Systems) の 「Outlook 一時フォルダーでの実行 (Execution in Outlook Temp Folder)」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Colorcpl を使用した疑わしい実行 colorcpl.exeの疑わしい実行を検出します。 frack113による Colorcpl による疑わしい作成 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール Office アプリケーションによって作成された疑わしいファイル Microsoft Office アプリケーションによる実行可能ファイルとスクリプト・ファイルの作成を検出します。 Vadim Khrykov (ThreatIntel) および Cyb3rEng (ルール) による 「Created Files by Office Applications」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Office アプリケーションを使用した疑わしいファイルのダウンロード 任意のファイルをダウンロードするために使用されている Microsoft Word、Microsoft Excel、または Microsoft PowerPoint の使用を検出します。 「Office Application を使用した疑わしいファイルのダウンロード (Suspicious File Download Using Office Application)」 シグマ・ルール (Beユ・デニス、および oscd.community) に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい変数取得の作成 (Suspicious Get-Variable Creation) ハイジャック Get-Variable.exeによる PowerShell Persistence を検出します。 Suspicious Get-Variable.exe Creation Sigma rule by frack113に基づきます。

Detection Rule License1.1の下で使用。

ルール 疑わしいGetTypeFromCLSIDShellExecute COM オブジェクトを実行する疑わしい Powershell コードを検出します。 に基づく疑わしいGetTypeFromCLSIDShellExecuteシグマルールfrack113 。

Detection Rule License1.1の下で使用。

ルール 疑わしいグループおよびアカウントのスキャン行為アクティビティー Windows システム上の疑わしいスキャン行為コマンド・ライン・アクティビティーを検出します。
ルール 疑わしいホスト・ファイル削除アクティビティー (Suspicious Host File Deletion Activity) ホスト・ファイルがシステムから削除されたときにトリガーされます。
ルール 疑わしいメモリー内モジュール実行 (Suspicious in-Memory Module Execution) メモリー・スペースにライブラリーを反射的にロードした疑わしいプロセスによるプロセス・アクセス・イベントを検出します。 Suspicious In-Memory Module Execution Sigma rule by Perez Diego (@darkquassar)、 oscd.community、および Jonhnathan Ribeiro に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい Linux ログのクリア システム上のログをクリアしようとするとトリガーされます。 攻撃者は、侵入の証拠を隠すためにシステム・ログを消去することができます。 「 Clear Linux Logs Sigma rule by オマー・ギュナル, and oscd.community」に基づきます。

Detection Rule License1.1の下で使用。

ルール 消去された疑わしい Mac システム・ログ ローカル監査ログが削除されたときにトリガーされます。 ホスト上のインジケーターの削除-Mac システム・ログのクリア シグマ・ルール (リモート電話と oscd.communityによる) に基づきます。

Detection Rule License1.1の下で使用。

ルール 疑わしい Microsoft OneNote 子プロセス 疑わしい Microsoft Onenote 子プロセスの spawn を検出します。 Suspicious Microsoft OneNote Child Process Sigma rule by Tim Ra地 (Nextron Systems), Nareddine Bencherchali (Nextron Systems), and Elastic (アイデア) に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい NTDS プロセス・パターンの引き出し (Suspicious NTDS Process Patterns Exfiltration) Active Directory データベース (ntds.dit) ファイルを書き込む (コピーする) 疑わしいプロセスを検出します。 NTDS.DIT Creation By Uncommon Process Sigma rule」。

Detection Rule License1.1の下で使用。

ルール 疑わしい NTDS プロセス書き込み NTDS.DIT exfiltration」。 「疑わしいプロセス・パターン (Suspicious Process Patterns)」 NTDS.DIT Exfil シグマ・ルール。

Detection Rule License1.1の下で使用。

ルール Office COM オブジェクトの疑わしい新規インスタンス (Suspicious New Instance of an Office COM Object) Word.ApplicationExcel.Applicationなどのいずれかの Office COM オブジェクトのインスタンスを作成する Microsoft Office アプリケーションを検出します。 これは、悪意のあるアクターがマクロを使用して悪意のある Office 文書を作成するために使用できます。 「 Suspicious New Instance Of An Office COM Object 」(ナスレディン・ベンチェルチャリ (Nextron Systems)) に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしいアウトバウンド SMTP 接続 SMTP プロトコルを介した引き出しの可能性を検出します。 frack113による 「疑わしいアウトバウンド SMTP 接続 (Suspicious Outbound SMTP Connections)」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい PowerShell キーワード PowerShell エクスプロイト・フレームワークの使用を示す可能性があるキーワードを検出します。 フロリアン・ロス (Nextron Systems)、ペレスディエゴ (@darkquassar)、トゥアン・ル (NCSGroup) による 潜在的な疑わしい PowerShell キーワード ・シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール Get-Process を使用した疑わしいプロセス検出 (Suspicious Process Discovery With Get-Process) ディスカバリーを実行している攻撃者を検出し、ローカル・コンピューター上で実行されているプロセスを取得します。 frack113の 「Get-Process による疑わしいプロセス・ディスカバリー (Suspicious Process Discovery With Get-Process)」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール Microsoft HTML ヘルプからの疑わしいプロセス Microsoft HTML ヘルプから作成された疑わしいプロセスを検出します。 HTML Help HH.EXE 疑わしい子プロセス Maxim Pavlunin、および Nareddine Bencherchali (Nextron Systems) によるシグマ・ルール。

Detection Rule License1.1の下で使用。

ルール 疑わしいプログラム・ロケーションとネットワーク接続 (Suspicious Program Location with Network Connections) 疑わしいファイル・システム・ロケーションで実行されているネットワーク接続を持つプログラムを検出します。 フロリアン・ロスの「 Suspicious Program Location with Network Connections 」に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしいプロキシー・バイナリー実行 (Suspicious Proxy Binary Execution) システム・バイナリーがプロキシーから実行されたときにトリガーされます。
ルール 疑わしい PsExec アクティビティー 疑わしい PsExec アクティビティーを検出します。 Impacket PsExec Execution Sigma rule by Bhabesh ベッシ・ラージに基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしいリモート名前付きパイプ (Suspicious Remote Named Pipe) リモートからアクセスされた新しく監視された名前付きパイプを使用して、水平移動およびリモート実行のシナリオを検出します。 Samir Bousseaden の 「First Time Seen Remote Named Pipe」 シグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしいスケジュール済みタスク (Suspicious Scheduled Task) パスやコマンド・ライン・フラグなどの属性に基づいて、疑わしいスケジュール済みタスクの作成イベントまたは更新イベントを検出します。 「 疑わしいスケジュール済みタスクの作成 (Suspicious Scheduled Task Creation) 」に基づいています。

Detection Rule License1.1の下で使用。

ルール WMI コンシューマーでの疑わしいスクリプト (Suspicious Scripting in a WMI Consumer) WMI イベント・コンシューマーのスクリプト /PowerShell に関連する疑わしいコマンドを検出します。 フロリアン・ロス (Nextron Systems) と Jonhnathan Ribeiro による WMI コンシューマーの疑わしいスクリプティング シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール RazerInstaller RazerInstaller.exeから疑わしいサブプロセスを検出します。 Suspicious RazerInstaller Explorer Subprocess Sigma rule by Florian Roth, and Maxime Thiebaut に基づきます。

Detection Rule License1.1の下で使用。

ルール 疑わしい Svchost 実行異常 (Suspicious Svchost Execution Anomaly) 悪意のあるプロセスがプロセスを spawn し、プロセス・メモリー・スペースにコードを注入したときに通常観察される、CLI 引数なしで実行された svchost.exe を検出します。 David Burkett の 「疑わしい Svchost アクティビティー (疑わしい Svchost Activity)」 シグマ・ルール、および @signalblurに基づきます。

Detection Rule License1.1の下で使用。

ルール PowerShell スクリプトを介した疑わしい TCP トンネル トンネリング・アクティビティーを示す可能性があるソケット/リスナーを作成する PowerShell スクリプトを検出します。 「 Suspicious TCP Tunnel Via PowerShell Script Sigma rule by Nareddine Bencherchali (Nextron Systems)」に基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい有効なアカウントのログオン (Suspicious Valid Accounts Logon) 有効なアカウントからの疑わしいログインが検出されたときにトリガーされます。
ルール 疑わしい WMIC の実行 (Suspicious WMIC Execution) 疑わしいコマンドまたは調整コマンドを実行している WMIC を検出します。 Suspicious WMIC Execution Sigma rule by Michael Haag, Sigian Roth, juju4, and oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 疑わしい WebDav クライアント実行 WebDav サーバーでホストされているコードを起動するための WebDav の引き出しの試行または使用を検出します。 WebDav Client Execution Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)、および OTR (Open Threat Research) に基づいています。

Detection Rule License1.1の下で使用。

ルール 作成されたパスワードへの Symlink /etc/passwd ディレクトリーに作成された symlink を検出します。 フロリアン・ロスの Symlink 同等 Passwd シグマ規則に基づきます。

Detection Rule License1.1の下で使用。

ルール システム所有者またはユーザーのディスカバー (Linux) システム所有者またはユーザーのディスカバリー・アクティビティーを検出します。 Timur Zinniatullin による システム所有者またはユーザー・ディスカバリー ・シグマ・ルール、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール システム所有者またはユーザー・ディスカバリー (Windows) システム所有者またはユーザーのディスカバリー・アクティビティーを検出します。 Timur Zinniatullin、Danslavsky、および oscd.communityによる ローカル・アカウント・ディスカバリー ・シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール システム時間ディスカバリー・アクティビティー システム時刻ディスカバリー・アクティビティーを検出します。
ルール PowerShell によるトークンの偽名の使用 トークンの偽名の使用または盗難に関連する Windows API 機能を利用して、攻撃者を検出します。
ルール ネットワーク共有を介した資格情報データを使用したファイルの転送 ネットワーク共有を使用して、既知のファイル名を持つファイル (資格情報データを持つ機密ファイルなど) を転送しようとする試みを検出します。 ネットワーク共有を介した資格情報データを使用したファイルの転送 Teymur Kheirkhabarov および oscd.communityによるシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール インストール済み Turla サービス 悪意のある APT によって認識される悪意のあるサービスがインストールされるとトリガーされます。
ルール UAC リモート制限が無効 リモート管理アクションを許可するレジストリー変更を検出します。 Steven ディック、Teoderick コントレラス、および Splunkによる Disable UAC Remote Restriction のシグマ・ルールに基づいています。

Detection Rule License1.1の下で使用。

ルール HWP から作成された非共通プロセス (Uncommon Process Spawn from HWP) ハングル・ワード・プロセッサー (Hanword) から作成された一般的でないプロセスを検出します。 フロリアン・ロス (Nextron Systems) による 「Suspicious HWP Sub Processes」 シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 異なるプロセスからの異常な子プロセス 異なるプロセスからの異常な子プロセスを検出します。 Abused Debug Privilege by 任意 Parent Processes Sigma rule by Semanur guneysu @semanurtg、および oscd.communityに基づいています。

Detection Rule License1.1の下で使用。

ルール 複数の明示的な資格情報によるユーザー認証 明示的な資格情報を使用して複数のターゲット・ユーザーで認証しようとしているユーザーを検出します。
ルール Fortinet 脆弱性を悪用したユーザー作成 Fortinet の脆弱性を悪用してユーザーの作成を検出します。 Windows (ユーザー) での Fortinet APT グループの悪用 シグマ・ルール (減分数) に基づいています。

Detection Rule License1.1の下で使用。

ルール Office アプリケーション経由でロードされた VBA DLL VBA マクロの存在を示す可能性がある、Microsoft Office アプリケーションによってロードされた VB DLL を検出します。 「 VBA DLL Loaded Via Office Application 」Sigma rule by テロヴェスdnbに基づいています。

Detection Rule License1.1の下で使用。

ルール VirtualBox ドライバーのインストールまたは開始 VirtualBox ドライバーのインストールまたは仮想マシンの開始を検出します。 Janantha Marasingへの Detect Virtualbox Driver Installation OR Starting Of VMs シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール 脆弱なドライバーがロードされました 脆弱なドライバーがロードされたときにトリガーされます。 Michael Haag、および Splunkによる Windows Vulnerable Driver Loaded Sigma 規則に基づいています。

Detection Rule License1.1の下で使用。

ルール WMI イベント・コンシューマー・パーシスタンス WMI コマンド行イベント・コンシューマーを検出します。 Thomas Patzke の「 WMI Persistence-Command Line Event Consumer 」シグマ・ルールに基づきます。

Detection Rule License1.1の下で使用。

ルール WScript または CScript ドロップ・ファイル jsevbejsvba、または vbs で終わるファイルが cscript.exe または wscript.exeによって書き込まれていることを検出します。 WScript or CScript Dropper-File Sigma rule by Tim shelton に基づきます。

Detection Rule License1.1の下で使用。

ルール レジストリー経由での Windows イベント・ロギングの無効化 Windows イベント・チャネルの Windows ロギングを無効にするための「Enabled」レジストリー・キーの改ざんを検出します。 「 Disable Windows Event Logging Via Registry Sigma rule by frack113」および「nasreddine Bencherchali」に基づきます。

Detection Rule License1.1の下で使用。

ルール Windows レジストリー信頼レコードの変更 Windows レジストリー・トラスト・レコードの変更を検出します。 Windows レジストリー・トラスト・レコードの変更 Sigma rule by キャリー lovesdnb に基づきます。

Detection Rule License1.1の下で使用。

( 上に戻る )