トゥラ
IBM Security QRadar Techniques for Turla Content Extension を使用して、Turla マルウェアの配備を注意深く監視してください。
IBM Security QRadar Turla コンテンツ拡張の手法
- IBMSecurityQRadarTechniques for Turla Content Extension1.1.1
- IBMSecurityQRadarTechniques for Turla Content Extension1.1.0
- IBM セキュリティ QRadar ターラ・コンテンツ拡張のテクニック 1.0.4
- IBM安全QRadarTurlaコンテンツ拡張のテクニック1.0.3
- IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.2
- IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1
- IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0
IBMSecurityQRadarTechniques for Turla Content Extension1.1.1
インストールに関する問題を修正しました。
IBMSecurityQRadarTechniques for Turla Content Extension1.1.0
次の表は、IBMSecurityQRadarTechniques for Turla Content Extension1.1.00で更新されたルールを示しています
| ID | UUID | 名前 | 状況 |
|---|---|---|---|
| 101789 | ca5af962-d8e5-43fb-b8ef-bf77cf35d144 | Windowsレジストリ信頼記録の変更 | 削除済み |
| 102489 | c72ed449-4151-4f4e-a076-d4f1064fbcfb | GAC DLLがOfficeアプリケーション経由でロードされる | 削除済み |
| 102989 | 7e789e38-4b5b-4ca5-b4f4-282ce65a672e | Attribでファイルを隠す | 削除済み |
| 104189 | c673847d-b064-496b-9388-163a12d062a1 | 不審な昇格システムシェル | 削除済み |
| 104389 | d6697cf6-da5b-498f-9d5d-c4d696aecf76 | Get-Processによる疑わしいプロセスの発見 | 削除済み |
| 105289 | 0dd7a45e-c1b5-467f-a990-f37380924769 | マウスロックを使った入力キャプチャ | 削除済み |
| 105539 | a3442bb0-9bf4-4c79-a62c-7b8f1062e3bf | WMIコンシューマにおける不審なスクリプティング | 削除済み |
| 105689 | 5e68889d-181b-43c7-a48c-2bebb443fcd4 | 不審な実行ファイルの作成 | 削除済み |
| 105889 | ab17bf9c-f51f-4457-8c5b-f591ad581af9 | SettingContent-ms経由で実行されるコマンド | 削除済み |
| 106789 | d2084bdb-9aa2-4c3f-b53b-efc531070d01 | システム・オーナーまたはユーザー・ディスカバーLinux | 削除済み |
| 107139 | 4b17de68-6a95-44b3-a395-4fe3eb8c532a | RARによるステガノグラフィー | 削除済み |
| 107389 | 68a203e4-83ca-4455-9436-af4ed2bac6c6 | 疑わしい送信SMTP接続 | 削除済み |
| 109439 | 7631b777-2ae0-4c4a-a17c-f948d1952f09 | DNSHybridConnectionManagerサービスバス | 削除済み |
| 109639 | 3f22b3ad-4abf-47ce-bd96-c509478b96a0 | 疑わしいターゲットでのリモート・スレッド作成 | 削除済み |
| 110039 | ba7ba2d7-21da-4fd5-92ed-548f0656bc96 | PowerShell DownloadFile | 削除済み |
| 110139 | f80a6187-a4cd-48ce-84de-dbd800d7f5c2 | OSユーティリティによるシャドーコピーの作成 | 削除済み |
| 111189 | 60182f70-816d-4126-bd08-686b87adc18f | 非標準ポートの使用 | 削除済み |
| 111389 | acec599f-cbb8-4a07-9c2f-7196e2c4db5b | ハイジャックされたバイナリの実行を検出 | 削除済み |
| 111439 | bfce7e64-7ae2-4b6a-9880-9ab7f34a7a7e | PowerShellでWindows Credential Managerから資格情報をダンプする | 削除済み |
| 111639 | 68f4a158-d191-4c18-b3ff-1eeb72893d35 | ファイルとディレクトリのパーミッション変更 (Windows) | 削除済み |
| 111689 | 21511f9a-60cc-4cf4-83cc-80f353bdd87a | EquationGroup C2ツールへの通信 | 削除済み |
| 112089 | 8e281e72-6e60-4aa2-90b2-a2f471f3afb0 | システム外の場所からのシステムDLLのサイドロードの可能性 | 削除済み |
| 112239 | 1fdab5bc-3dde-44b5-a7e0-c3464681c8aa | Powershellからのnslookupが多すぎる | 削除済み |
| 112439 | 5b5a233f-e523-4351-9754-6f7766da9c2a | 疑わしいPowerShellキーワード | 削除済み |
| 112589 | f51a88e7-6df9-4766-ad1d-63a5bc5a04f4 | RazerInstallerからの不審なサブプロセス | 削除済み |
| 112989 | 45d2bc80-18ab-4c76-87ea-f2f76af7269f | 疑わしいWMICの実行 | 削除済み |
| 113139 | e9b66c89-0ab6-4b10-a29e-c292c7125221 | Pythonコアイメージのロードを検出 | 削除済み |
| 113339 | d6230b09-465d-48ce-9da9-6a961b750923 | SVCCTL名前付きパイプによるリモートサービス活動 | 削除済み |
| 113539 | 5e32ab21-e0f1-46c5-b852-179d947cb7b7 | Maldocによるプロセス・インジェクション | 削除済み |
| 113939 | 5283d971-2d12-4ad1-846a-dd390805795a | フォーティネットの脆弱性を悪用したユーザー作成 | 削除済み |
| 114689 | f1a88d5f-0ff3-4657-9158-b980a2eb619e | 管理者共有からの不審なコピーコマンド | 削除済み |
| 114989 | 8faa6e7d-06b3-4cc8-916f-dadc44e7c3d1 | エッジのヘッドレス機能を使用してペイロードをダウンロードする | 削除済み |
| 115639 | bf96a45a-caa8-492a-a767-e18eaf67fdd0 | 不審なスケジュールタスク | 削除済み |
| 115989 | 58f5d85e-348d-4b30-8d1b-5a53e01c6c83 | 疑わしい場所でのCOMハイジャック | 削除済み |
| 116939 | c7080f3e-ee57-41ea-81ea-5b3c8bafd511 | GRPファイル変換の不審な実行 | 削除済み |
| 117539 | 3e84e969-1b26-43bd-a5c3-d71ba1522404 | ハイブリッド・コネクション・マネージャー・サービスのインストール | 削除済み |
| 117789 | 35b8c9c3-f245-4963-8295-aa38e1cc69bf | 悪意のあるPowerShellスクリプト | 削除済み |
| 117889 | 4f5311e5-415b-4f34-96fb-de5b449ef6fc | Python Py2Exe画像読み込み | 削除済み |
| 118639 | 8973a03b-53af-4f7a-91f6-dff57cca9eae | VirtualBoxドライバのインストールまたは起動 | 削除済み |
| 119239 | 0693f1d6-8395-4da2-98f5-9143ae33d40c | 不審なGet-Variableの作成 | 削除済み |
| 119589 | 95a723c3-9fb5-432f-a7d8-5c64f04ee88c | Dnscatの実行 | 削除済み |
| 119789 | d882d5f3-5271-4663-8f4d-63cc404cc7ec | EQNEDT32の活用 | 削除済み |
| 119889 | 4d12762c-4c6e-4bf4-bf07-bde7cbf982cf | Program Filesディレクトリにおける非特権プロセスによるファイル作成 | 削除済み |
| 120589 | 12485c79-d173-4982-98d1-b5b92c02f51f | 脆弱なドライバーのロード | 削除済み |
| 120689 | 23c071b7-bbf4-4c26-909d-2772d5158116 | 潜在的なエクスプロイト活動を検出 | 削除済み |
| 121889 | d7aa4426-0a14-4091-9c93-7e602c115f3c | レジストリでCrashDumpを無効にする | 削除済み |
| 122039 | 621d2016-ca3b-491c-a89e-80602160b83a | Outlookのセキュリティ設定がレジストリで変更 | 削除済み |
| 122339 | 57b53d3a-e472-4a11-b5a7-93f67e698c74 | 疑わしいNTDSプロセスの書き込み | 削除済み |
| 122389 | eefba06b-2805-4c9e-9149-ba6008a4ab35 | ADMIN$シェアへのアクセス | 削除済み |
| 122439 | f453815d-c8cd-4123-85dc-73816faaf2ed | データの分割(Mac) | 削除済み |
| 122639 | 9c5e3487-7153-4947-a4ee-b601df12d474 | カールのダウンロードとエグゼキューションの組み合わせ | 削除済み |
| 123239 | 0c7aa57b-4d8b-4039-be77-da4c9d238486 | Ryukランサムウェアのコマンドライン活動を検出 | 削除済み |
| 127639 | 45fbda19-077b-4ef7-9557-6b1e82e4d69d | 別の実行ファイルによって作成された実行ファイル | 削除済み |
| 127689 | f275a4c8-2a9a-43e6-8bb4-9d66944bc90a | Get-ADUser ユーザーの発見とエクスポート | 削除済み |
IBM セキュリティ QRadar セキュリティ ターラ・コンテンツ・エクステンションのテクニック 1.0.4
次の表は、IBM Security QRadar Techniques for Turla Content Extension 1.0.4 で更新されたルールを示しています。
| 名前 | 最適化済み | 説明 |
|---|---|---|
| 鍵の長さ | はい | このプロパティタイプは、英数字から数値に変更される。 |
IBM安全QRadarTurlaコンテンツ拡張のテクニック1.0.3
次の表は、更新されたルールを示しています。 IBM安全QRadarTurlaコンテンツ拡張のテクニック1.0.3。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | ハッシュパスアクティビティ | ネットワーク内で横方向に移動するために使用されるハッシュを渡す攻撃手法を検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ネットワーク ログオンでのハッシュ アクティビティの受け渡し | ネットワーク内で横方向に移動するために使用されるハッシュを渡す攻撃手法を検出します。 |
IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.2
次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.2で更新されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | DNS 引き出しツールの実行 (DNS Exfiltration Tools Execution) | DNS 引き出しツールの実行を検出します。 ダニイル・ユーゴスラビア・スキーによる DNS 引き出しおよびトンネリング・ツールの実行シグマ・ルール、および oscd.communityに基づきます。 |
| ルール | UAC リモート制限が無効 | リモート管理アクションを許可するレジストリー変更を検出します。 Steven ディック、Teoderick Contrラス、および Splunkによる「Disable UAC Remote Restriction Sigma」ルールに基づきます。 |
| ルール | RazerInstaller | RazerInstaller.exeから疑わしいサブプロセスを検出します。 Suspicious RazerInstaller Explorer Subprocess Sigma rule by Florian Roth, and Maxime Thiebaut に基づきます。 |
IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1
次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1で更新されたカスタム・プロパティーを示しています。
| 名前 | 最適化済み | 説明 |
|---|---|---|
| コマンド・プロパティー定義 | はい | このプロパティーは、DSM ペイロードからの コマンド・プロパティー のデフォルト・カスタム抽出のプレースホルダーです。 |
| 親プロセス・パス・プロパティー定義 | はい | このプロパティーは、DSM ペイロードからの 親プロセス・パス のデフォルト・カスタム抽出のプレースホルダーです。 |
次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.1で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | EquationGroup C2 ツールとの通信 | C2 サーバーとの通信を検出します。 フローリアン・ロスによる式グループ C2 通信シグマ規則に基づきます。 |
| ルール | コマンドの実行方法SettingContent-ms | 実行されるコマンドを検出しますSettingContent-ms Sreeman による Settingcontent-Ms Sigma ルールによる任意のシェル コマンド実行に基づいています。 |
| ルール | DNS 引き出しツールの実行 (DNS Exfiltration Tools Execution) | DNS 引き出しツールの実行を検出します。 ダニイル・ユーゴスラビア・スキーによる DNS 引き出しおよびトンネリング・ツールの実行シグマ・ルール、および oscd.communityに基づきます。 |
| ルール | UAC リモート制限が無効 | リモート管理アクションを許可するレジストリー変更を検出します。 Steven ディック、Teoderick Contrラス、および Splunkによる「Disable UAC Remote Restriction Sigma」ルールに基づきます。 |
| ルール | オペレーティング・システム・ユーティリティーを使用したシャドー・コピーの作成 | オペレーティング・システムのユーティリティーを使用してシャドー・コピーが作成される、資格情報アクセスの考えられるシナリオを検出します。 これは、Teymur Kheirkhabarov、Daniil ユーゴスラビア・スキー、および oscd.communityによる、オペレーティング・システム・ユーティリティー・シグマ・ルールを使用したシャドー・コピー作成に基づいています。 |
| ルール | Web サーバーによって作成されたシェル | 正常に配置された Web シェルまたは別の攻撃の結果である可能性があるシェル・プロセスを作成する Web サーバーを検出します。 Thomas Patzke、Florian Roth (Nextron Systems)、Zach スタンフォード @svch0st、Tim Shelton、および nasreddine Bencherchali (Nextron Systems) による Web サーバー・シグマ・ルールによって作成されたシェルに基づきます。 |
| ルール | Active Directory グループ/コンピューター列挙 | グループまたはコンピューターが Active Directory内でカウントされるとトリガーされます。 に基づくActive Directoryグループ列挙Get-AdGroupそしてActive Directoryコンピュータの列挙Get-AdComputerシグマのルールfrack113 。 |
| ルール | Get-ADUser ユーザー・ディスカバリーおよびエクスポート | Get-ADUser コマンドレットを使用してユーザー情報を収集し、それをファイルに出力するときにトリガーされます。 ナスreddine Bencherchali (Nextron Systems) による「User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Sigma」ルールに基づきます。 |
IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0
次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0に含まれるカスタム・プロパティーを示しています。
| 名前 | 最適化済み | 説明 |
|---|---|---|
| アクセス・マスク | はい | このプロパティーは、DSM ペイロードからの アクセス・マスク のデフォルト・カスタム抽出のプレースホルダーです。 |
| アクセス数 | はい | このプロパティーは、DSM ペイロードからの アクセス権 のデフォルト・カスタム抽出のプレースホルダーです。 |
| アカウント名 | はい | このプロパティーは、DSM ペイロードからの アカウント名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| アカウント・セキュリティー ID | いいえ | このプロパティーは、DSM ペイロードからの アカウント・セキュリティー ID のデフォルト・カスタム抽出のプレースホルダーです。 |
| 監査 ID | はい | このプロパティーは、DSM ペイロードからの 監査 ID のデフォルト・カスタム抽出のプレースホルダーです。 |
| 認証パッケージ | はい | このプロパティーは、DSM ペイロードからの 認証パッケージ のデフォルト・カスタム抽出のプレースホルダーです。 |
| 呼び出しトレース | はい | このプロパティーは、DSM ペイロードからの 呼び出しトレース のデフォルト・カスタム抽出のプレースホルダーです。 |
| 呼び出しタイプ | はい | このプロパティーは、DSM ペイロードからの 「呼び出しタイプ」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| コマンド | はい | このプロパティーは、DSM ペイロードからの Command のデフォルト・カスタム抽出のプレースホルダーです。 |
| コマンド引数 | はい | このプロパティーは、DSM ペイロードからの コマンド引数 のデフォルト・カスタム抽出のプレースホルダーです。 |
| コンシューマー宛先 | はい | このプロパティーは、DSM ペイロードからの 「コンシューマー宛先」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| 説明 | いいえ | このプロパティーは、DSM ペイロードからの Description のデフォルト・カスタム抽出のプレースホルダーです。 |
| 宛先ホスト名 | はい | このプロパティーは、DSM ペイロードからの 宛先ホスト名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| エラー・コード | はい | このプロパティーは、DSM ペイロードからの エラー・コード のデフォルト・カスタム抽出のプレースホルダーです。 |
| 拡張エラー・コード | はい | このプロパティーは、DSM ペイロードからの 拡張エラー・コード のデフォルト・カスタム抽出のプレースホルダーです。 |
| ファイル・ディレクトリー | はい | このプロパティーは、DSM ペイロードからの ファイル・ディレクトリー のデフォルト・カスタム抽出のプレースホルダーです。 |
| ファイル拡張子 | はい | このプロパティーは、DSM ペイロードからの ファイル拡張子 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ファイル・パス | はい | このプロパティーは、DSM ペイロードからの 「ファイル・パス」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ファイル名 | はい | このプロパティーは、DSM ペイロードからの Filename のデフォルト・カスタム抽出のプレースホルダーです。 |
| アクセス権限の付与 | はい | このプロパティーは、DSM ペイロードからの 付与されたアクセス権限 のデフォルト・カスタム抽出のプレースホルダーです。 |
| Group Name | はい | このプロパティーは、DSM ペイロードからの グループ名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| 別ユーザー名使用レベル | はい | このプロパティーは、DSM ペイロードからの 「偽名レベル」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| 開始済み | はい | このプロパティーは、DSM ペイロードからの Initiated のデフォルト・カスタム抽出のプレースホルダーです。 |
| イニシエーター・ユーザー名 (Initiator Username) | はい | このプロパティーは、DSM ペイロードからの イニシエーター・ユーザー名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| Integrity Level | はい | このプロパティーは、DSM ペイロードからの 保全性レベル のデフォルト・カスタム抽出のプレースホルダーです。 |
| ログオン・プロセス | はい | このプロパティーは、DSM ペイロードからの ログオン・プロセス のデフォルト・カスタム抽出のプレースホルダーです。 |
| ログオン・タイプ | はい | このプロパティーは、DSM ペイロードからの ログオン・タイプ のデフォルト・カスタム抽出のプレースホルダーです。 |
| マシン ID (Machine Identifier) | はい | このプロパティーは、DSM ペイロードからの マシン ID のデフォルト・カスタム抽出のプレースホルダーです。 |
| MD5 ハッシュ | はい | このプロパティーは、DSM ペイロードからの MD5 Hash のデフォルト・カスタム抽出のプレースホルダーです。 |
| 親コマンド (Parent Command) | はい | このプロパティーは、DSM ペイロードからの 親コマンド のデフォルト・カスタム抽出のプレースホルダーです。 |
| 親プロセスの名前 | はい | このプロパティーは、DSM ペイロードからの 親プロセス名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| 親プロセス・パス | はい | このプロパティーは、DSM ペイロードからの 親プロセス・パス のデフォルト・カスタム抽出のプレースホルダーです。 |
| パイプ名 (Pipe Name) | はい | このプロパティーは、DSM ペイロードからの パイプ名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| プロセス名 | はい | このプロパティーは、DSM ペイロードからの プロセス名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| プロセス・パス | はい | このプロパティーは、DSM ペイロードからの 「プロセス・パス」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| プロパティー | はい | このプロパティーは、DSM ペイロードからの 「プロパティー」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| レジストリー・キー | はい | このプロパティーは、DSM ペイロードからの レジストリー・キー のデフォルト・カスタム抽出のプレースホルダーです。 |
| レジストリー値データ | はい | このプロパティーは、DSM ペイロードからの レジストリー値データ のデフォルト・カスタム抽出のプレースホルダーです。 |
| 相対ターゲット名 | いいえ | このプロパティーは、DSM ペイロードからの 相対ターゲット名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| サービス・ファイル名 (Service Filename) | はい | このプロパティーは、DSM ペイロードからの サービス・ファイル名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| サービス名 | はい | このプロパティーは、DSM ペイロードからの サービス名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| SHA256 ハッシュ | はい | このプロパティーは、DSM ペイロードからの SHA256 ハッシュ のデフォルト・カスタム抽出のプレースホルダーです。 |
| 共有名 (Share Name) | はい | このプロパティーは、DSM ペイロードからの 共有名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| 開始関数 (Start Function) | はい | このプロパティーは、DSM ペイロードからの Start Function のデフォルト・カスタム抽出のプレースホルダーです。 |
| 開始モジュール (Start Module) | はい | このプロパティーは、DSM ペイロードからの Start Module のデフォルト・カスタム抽出のプレースホルダーです。 |
| サブジェクト・アカウント名 | はい | このプロパティーは、DSM ペイロードからの サブジェクト・アカウント名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲット・アカウント・セキュリティー ID | いいえ | このプロパティーは、DSM ペイロードからの ターゲット・アカウント・セキュリティー ID のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲットの詳細 | はい | このプロパティーは、DSM ペイロードからの 「ターゲットの詳細」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲット・ファイル・ディレクトリー | はい | このプロパティーは、DSM ペイロードからの ターゲット・ファイル・ディレクトリー のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲット・オブジェクト | はい | このプロパティーは、DSM ペイロードからの ターゲット・オブジェクト のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲット・プロセス名 (Target Process Name) | いいえ | このプロパティーは、DSM ペイロードからの ターゲット・プロセス名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲット・プロセス・パス (Target Process Path) | いいえ | このプロパティーは、DSM ペイロードからの 「ターゲット・プロセス・パス」 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ターゲット・ユーザー名 | はい | このプロパティーは、DSM ペイロードからの ターゲット・ユーザー名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| タイプ | いいえ | このプロパティーは、DSM ペイロードからの Type のデフォルト・カスタム抽出のプレースホルダーです。 |
| URL ホスト (URL Host) | はい | このプロパティは、DSMペイロードからの URLのデフォルトのカスタム抽出のプレースホルダです。 |
次の表では、 IBM Security QRadar Techniques for Turla コンテンツ拡張 1.0.0に含まれるルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:BehaviorDefinition: Findstrの悪用 | 回避のための findstr の悪用を検出します。 攻撃者は、findstr を使用して成果物を非表示にしたり、特定のストリングを検索したり、防御メカニズムを回避したりすることができます。 ファーカン CALISKAN、 @caliskanfurkan_、 @oscd_initiative、および Nasreddine Bencherchali による Abusing Findstr for Defense Ev断 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:印刷実行ファイルの悪用 | リモート・ファイル・コピーに対する print.exe の使用を検出します。 Abusing Print Executable Sigma rule by Furcan CALISKAN, @caliskanfurkan_, and @oscd_initiativeに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:アカウントの改ざん - 疑わしいログオン失敗の理由 | 失敗したログイン試行に関する一般的でないエラー・コードを検出して、疑わしいアクティビティーを判別し、無効になっているアカウントや何らかの制限があるアカウントを改ざんします。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Bginfo によるアプリケーション ホワイトリストのバイパス | *.bgi ファイル内で参照されている VBscript コードの実行を検出します。 Bginfo 経由のアプリケーション・ホワイトリスティング・バイパス BeyDenis によるシグマ・ルール、および oscd.communityに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: WSL を使用した任意のコマンドの実行 | 任意の Linux および Windows コマンドを実行するために、LOLBIN として Windows Subsystem for Linux® (WSL) バイナリーが使用されている可能性があることを検出します。 WSL を使用した任意のコマンド実行 oscd.community、Zach スタンフォード @svch0st、および Nareddine Bencherchali (Nextron Systems) によるシグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Atbroker レジストリの変更 | 「at」を使用して、支援技術アプリケーションおよび永続性の作成または変更を検出します。 Atbroker Registry Change Sigma rule by Mateusz ワイドラ、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Atlassian Confluence スポーン | 悪用の成功を示している可能性がある、Atlassian Confluence サーバーによる疑わしい子プロセスの作成を検出します。 Atlassian Confluence CVE-2021-26084 Sigma rule by Bhabesh 渦中にあります。 |
| ビルディング・ブロック | BB:BehaviorDefinition:自動収集コマンドPowerShell | 内部データを収集するための自動化された手法を使用して、攻撃者を検出します。 「 Automated Collection Command PowerShell Sigma rule by frack113」に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:自動収集コマンドプロンプト | 内部データを収集するための自動化された手法を使用して、攻撃者を検出します。 frack113による 「自動コレクション・コマンド・プロンプト (Automated Collection Command Prompt)」 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: BPFtrace 安全でないオプションの使用 | 安全でない bpftrace オプションの使用を検出します。 Andreas ハンケラー (@Karneades) による BPFtrace Unsafe Option Usage シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: C2 ICMP経由のセッション | ICMP を介した C2 セッションを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Carbon ファイル名 | Carbon ファイル名が検出されたときに検出します。 最初の名前セットは Carbon 3.7xからのもので、2 番目の名前セットは Carbon 3.8xからのものです。 |
| ビルディング・ブロック | BB:BehaviorDefinition:カーボンサービス名 | Carbon サービスがインストールされたときに検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Windows コンソールの履歴を消去する | ユーザーがコンソール・ヒストリーをいつ消去しようとするかを識別します。 攻撃者は、侵害されたアカウントのコマンド履歴をクリアして、侵入中に実行されたアクションを隠蔽することができます。 「クリアリング Windows コンソール履歴 (Clearing Windows Console History)」 オースティン・ソナーのシグマ・ルール @austinsongerに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ComRATレジストリのインストール | ComRAT サービスがインストールされ、ペイロードがレジストリーに書き込まれたことを検出します。 これは、資格情報の漏えいや以前にインストールされたバックドアなどの既存のアクセス権限を示している可能性があります。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ComRATスケジュールされたタスクの作成 | スケジュールされた新規タスクの作成時に検出します。 ComRAT は、スケジュールされたタスクを使用してコマンドを実行します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:一般的な偵察コマンド | 攻撃者が被害者に関する情報を収集するために実行する一般的なスキャン行為コマンドを検出します。 このルールは、 「プロセス」 CommandLine フィールドで調整できます。 表示される一般的な Process CommandLine キーワードには、以下のものがあります。
|
| ビルディング・ブロック | BB:BehaviorDefinition: Cronファイルの作成 | クーロン・ディレクトリー内のクーロン・ファイルの作成を検出します。 Persistence Via Cron Files Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)、OTR (Open Threat Research)、および MSTIC に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:クラッチファイルステージング | C:\AMD\Temp ロケーションでのクラッチ・ファイルのステージングを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:クラッチファイル名 | C:\Intel の下のクラッチ・ファイルが検出されたときにそれを検出します。 クランチ・ファイルには、以下を含める
|
| ビルディング・ブロック | BB:BehaviorDefinition: Curl Startの組み合わせとVBSの任意の実行PowerShellコード | SyncAppvPublishingServer.vbsを使用して任意の PowerShell コードの実行を検出します。 攻撃者は curl を使用してリモートからペイロードをダウンロードし、実行することができます。 Sreeman による Curl Download And Execute Combination シグマ・ルールと、Nareddine Bencherchali (Nextron Systems) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: DLL実行経由Register-cimprovider.exe | register-cimprovider.exe を使用して任意の DLL ファイルを実行することを検出します。 DLL 実行 Via Register-cimprovider.exe イヴァン・ディャチコフ、ユリア・フォミナ、および oscd.communityによるシグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Rasautou 経由の DLL 実行 | -d オプションで指定された任意の DLL をロードするために Rasautou.exe を使用していることを検出し、 -pで指定されたエクスポートを実行します。 DLL Execution via Rasautou.exe Sigma rule by ジュリア・フォミナ, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:圧縮データ -PowerShell | 引き出しの前に収集された圧縮データを検出します。 Data Compressed- PowerShell Sigma rule by Timur Zinniatullin, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:アプリケーションログを削除する | ログ・ファイルの削除を検出します。 TeamViewer Log File Deleted Sigma 規則 by frack113に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: ETWトレースの無効化 | ロギングの回避を示す可能性がある ETW トレース・ログを消去または使用不可にするコマンドを検出します。 「 Disable of ETW Trace Sigma rule by @neu5ron」、「フロリアン・ロス (Nextron Systems)」、「Jonhnathan Ribeiro」、および「 oscd.community」に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:デフォルト ドライバー高度による検出 - Sysmon | 引数 385201を指定した findstr の使用を検出します。これは、デフォルトのドライバー高度を使用してインストールされた Sysinternals Sysmon サービスの潜在的なディスカバリーを示す可能性があります。 frack113による 疑わしい Findstr 385201 実行 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:Dotnet.exeDll を実行し、署名されていないコードを実行する LOLBIN | dotnet.exe が DLL を実行し、符号なしコードを実行することを検出します。 Dotnet.exe Exec Dll and Execute Unsigned Code LOLBIN Sigma rule by Be遊 Denis, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:イベントでユーティリティをダウンロードする | ftp、 sftp、 curl、 cuteftp、 wget、 certutil、 bits、または ncなどのエンドポイントでダウンロード・ユーティリティーが使用されている場合にそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: .NET プロセスにおける ETW ログの改ざん | ETW ロギングに関連する環境変数の変更を検出します。 「 ETW Logging Tamper In .NET Processes Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)」、および OTR (Open Threat Research) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:壮大なファイル名 | Epic ファイルが検出されたときに検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:エピックログファイル名 | Epic ログ・ファイルが検出されたときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:エピック検索用語 | Epic が特定の用語を検索したときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: ExchangeメールボックスのエクスポートPowerShell | 1 次メールボックスまたはアーカイブの内容を .pst ファイルにエクスポートする Exchange PowerShell New-MailBoxExportRequest コマンドレットを検出します。 この攻撃の詳細については、 PowerShellによる Exchange メールボックスのエクスポートを参照してください。 |
| ビルディング・ブロック | BB:BehaviorDefinition:交換PowerShellスナップインの使用 | メールボックス・データをエクスポートする Exchange PowerShell スナップインの追加および使用を検出します。 に基づく交換PowerShellスナップインの使用シグマルールFPT.EagleEye,および Nasreddine Bencherchali (Nextron Systems)。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Msdeploy でファイルを実行する | msdeploy.exe lolbin を使用してファイルの実行を検出します。 「 Execute Files with Msdeploy.exe Sigma rule by Beユ Denis, and oscd.community」に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: WAB を使用した実行 DLL の選択 | レジストリーに書き込まれた DLL へのパスがデフォルトのものと異なることを検出します。 起動された WAB.exe は、レジストリーから DLL をロードしようとします。 oscd.communityおよびナタリア・ショルニコワによる WAB.EXE を使用した Choice の実行 DLL シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Diskshadow による実行 | Diskshadow.exe を使用してテキスト・ファイル内の任意のコードを実行することを検出します。 Execution via Diskshadow.exe Sigma rule by infrastructure Dyachkov, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:実行方法WorkFolders | WorkFolders.exe を使用して任意の control.exeを実行することを検出します。 「 Execution via WorkFolders.exe Sigma rule by Maxime Thiebaut」(@0xThiebaut) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: stordiag による実行 | schtasks.exe、 systeminfo.exe、および fltmc.exeを実行するための stordiag.exe の使用を検出します。 オースティン・ソナーの Execution via stordiag.exe シグマ・ルール (@austinsonger) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ファイルのダウンロード方法ProtocolHandler | ファイルをダウンロードするための ProtocolHandler の使用を検出します。 ダウンロードされたファイルはキャッシュ・フォルダーに配置されます。 「 File Download Using ProtocolHandler.exe Sigma rule by frack113」に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ファイルとディレクトリの検出 -Linux | ファイルおよびディレクトリーをディスカバーするためのシステム・ユーティリティーの使用を検出します。 ファイルとディレクトリーのディスカバリー- Linux Daniil fedslavsky のシグマ・ルール、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Fsutil の疑わしい呼び出し | fsutilの疑わしいパラメーター (USN ジャーナルの削除や小さいサイズでの構成など) を検出します。 Fsutil Suspicious Invocation Sigma rule by JEcco, E.M。 Anhaus、および oscd.community。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Gazer ファイル名 | ガゼル・ファイルが検出されたときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ゲイザーレジストリ | ガゼル・レジストリー名が検出されたときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Gazer レジストリ値 | ガゼル・レジストリー名が検出されたときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:インデックス値の改ざんによるスケジュールタスクの非表示 | スケジュールされたタスクの index 値がレジストリーから変更された場合にそれを検出します。 「 Hide Schedule Task Via Index Value Tamper 」ナスレディン・ベンチャーチャリのシグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ファイルの非表示Attrib.exe | ユーザーに対してファイルを非表示にするための attrib.exe の使用を検出します。 Attrib.exe Sami Ruohonen によるシグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:HyperStackファイル名 | HyperStack ファイルが検出されたときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:HyperStackパイプ | HyperStack パイプ名がディスカバーされたときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:HyperStackレジストリ | HyperStack レジストリーがディスカバーされたときに検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ログイン時に無効なパスワード | ログイン時に無効なパスワードを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:無効なパスワードKerberos事前認証 | Kerberos の事前認証中に無効なパスワードを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Kazuar レジストリのインストール | これは、永続性のためにレジストリー・キーが作成されたときに検出されます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:Linuxファイルの削除 | rm、 shred 、または unlink コマンドを使用してファイル削除を検出します。 攻撃者は、アクティビティーを隠すために、これらのコマンドを使用してファイルを削除することができます。 オマー・ギュナルによる ファイル削除 シグマ・ルール、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ログオンスクリプトUserInitMprLogonScript | 変更または作成を検出しますUserInitMprLogonScript。 に基づくログオンスクリプト(UserInitMprLogonScript) Tom Ueltschi (@c_APT_ure) と Tim Shelton によるシグマ ルール。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ログオンスクリプトUserInitMprLogonScriptレジストリ | 変更または作成を検出しますUserInitMprLogonScript。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ロルビンPressAnyKeyダウンロードアクティビティ | Windows システムに任意の MSI パッケージをダウンロードするために devinit.exe lolbin によって使用される特定のコマンド・ライン・フラグの組み合わせを検出します。 に基づくNodejsToolsPressAnyKeyロルビンフロリアン・ロスによるシグマルール。 |
| ビルディング・ブロック | BB:BehaviorDefinition: MSExchange トランスポート エージェントのインストール | Exchange 内のトランスポート・エージェントのインストールを検出します。 MSExchange Transport Agent Installation-Builtin シグマ・ルール (トビアス・ミハルスキー) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: MSExchange トランスポート エージェントの登録 | Exchange に登録されているエージェントのリストに対する変更を検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:フォントフォルダに書き込まれた悪意のあるファイル | C: ¥ Windows¥ Fonts¥ ロケーションに悪意のあるファイルがないかどうかをモニターします。 このフォルダーには、書き込みおよび実行のための管理者特権は必要ありません。 Sreeman の 「フォント・フォルダーへの悪意のあるファイルの書き込み」 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Mavinject 実行中のプロセスに DLL を挿入する | INJECTRUNNING フラグを指定した署名付き Windows Mavinject 通話料を使用して、プロセス・インジェクションを検出します。 Mavinject Inject DLL Into Running Process Sigma rule by frack113、およびージン・ロスに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Microsoft Excel テンプレートの作成 | Excel 以外のプロセスからの Microsoft Excel 用テンプレート・ファイルの作成を検出します。 Office Template Creation Sigma rule by Max Altgelt (Nextron Systems) に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Microsoft Word テンプレートの作成 | Word 以外のプロセスからの Microsoft Word のテンプレート・ファイルの作成を検出します。 Office Template Creation Sigma rule by Max Altgelt (Nextron Systems) に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:エクスプローラーの隠しキーの変更 | レジストリー内の隠しファイル・キーに対する変更を検出します。 frack113による 「エクスプローラー非表示鍵の変更 (Modification of Explorer Hidden Keys)」 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:モスキートレジストリのインストール | モスキート・サービスが永続性のためにレジストリー・キーを作成したときにそれを検出します。 マルウェアは shell 値を HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\に追加します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:モスキートレジストリのインストール (2) | モスキート・サービスが永続性のためにレジストリー・キーを作成したときにそれを検出します。 マルウェアは、 local_update_check 値を HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに追加します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: NTDS 流出コマンド | NTDS を引き出しするために conti によって使用されるコマンドを検出します。 Conti NTDS 引き出しコマンド (Conti NTDS Exfiltration Command) シグマ・ルール (Max Altgelt、およびトビアス・ミハルスキ) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Netcat の実行 | 疑わしい netcat 実行を検出します。 frack113およびフロリアン・ロスによる Netcat 疑わしい実行 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Netsh ポート転送 | ポート転送を構成する netsh コマンドを検出します。 New Port Forwarding Rule Added Via Netsh.EXX Sigma rule by rosian Roth (Nextron Systems)、 omkar72、 oscd.community、および Swachchhanda Shrawan Poudel に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Netsh RDP ポート転送 | RDP に使用されるポート 3389 のポート転送を構成する netsh コマンドを検出します。 RDP Port Forwarding Rule Added Via Netsh.EXE Sigma rule by na ian Roth (Nextron Systems)、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:新規サービスの作成PowerShell | Powershell を使用した新規サービスの作成を検出します。 PowerShell Timur Zinniatullin、Daniil ユーゴスラビア・スキー、および oscd.communityによるシグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:新規サービスの作成Sc.EXE | sc.exe ユーティリティーを使用した新規サービスの作成を検出します。 New Service Creation Using Sc.EXE Sigma rule by Timur Zinniatullin, Daniil ユーゴスラビア slavsky, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ネットワーク ログオンでのハッシュ アクティビティの受け渡し | ネットワーク内を横方向に移動するために使用されるハッシュを通過する攻撃技法を検出します。 Dave ケネディ、Jeff ウォーレン (メソッド)、および David Vassallo (ルール) による 「ハッシュ・アクティビティー 2 を渡す」 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ハッシュアクティビティを渡すNewCredentialsログオン | ネットワーク内を横方向に移動するために使用されるハッシュを通過する攻撃技法を検出します。 Dave ケネディ、Jeff ウォーレン (メソッド)、および David Vassallo (ルール) による 「ハッシュ・アクティビティー 2 を渡す」 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:PortProxyレジストリキー | ポート転送に使用されるポート・プロキシー・レジストリー・キーの変更を検出します。 Andreas ハンケラー (@Karneades) による PortProxy Registry Key Sigma ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:可能Linux権限昇格 | 情報収集フェーズを特権エスカレーションの準備として示す疑わしいシェル・コマンドを検出します。 Privilege Escalation Preparation シグマ・ルールに基づいています。これは、パトリック・バレスによるものです。 |
| ビルディング・ブロック | BB:BehaviorDefinition:不正なMBR変更の可能性 | bcdedit.exeの不正使用の可能性を検出します。 Potential Ransomware Or Unauthorized MBR Tampering Via Bcdedit.EXE Sigma rule by @neu5ronに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ポテンシャル方程式グループ指標 | さまざまな Equation Group スクリプトおよびツールで使用されている疑わしいシェル・コマンドを検出します。 フロリアン・ロスの 「式グループ指標」 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:PowerShellファイルのダウンロードアクティビティ | PowerShell を使用してファイルがダウンロードされたときにそのことを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:パワーキャットの処刑 | powercat の実行を検出します。 Netcat The Powershell Version Sigma rule by frack113に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Powershell ファイルとディレクトリの検出 | ファイル・システム上のファイルを検索または検出します。 実行時に、ファイルおよびフォルダーの情報が表示されます。 Powershell File and Directory Discovery Sigma rule by frack113に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:プリフェッチファイル削除 | プリフェッチ・ファイルの削除を検出します。 「 プリフェッチ・ファイルが削除されました (Prefetch File Deleted) 」シグマ・ルールに基づいて、Cedric ゥージョンが適用されます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:エクスプローラ経由のプロキシ実行 | 防御メカニズムを回避するための explorer.exe の使用を検出します。 Proxy Execution Via Explorer.exe Furcan CALISKAN、 @caliskanfurkan_、および @oscd_initiativeのシグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:Regsvr32 DLL なしのコマンドライン | コマンド行に DLL が含まれていない regsvr.exe 実行を検出します。 フロリアン・ロスによる Regsvr32 DLL なしのコマンド行 シグマ規則に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ルート証明書のインストール方法CertMgr | 侵害されたシステムにルート証明書をインストールする攻撃者を検出して、攻撃者が制御する Web サーバーに接続する際の警告を回避します。 Root Certificate Installed Sigma rule by oscd.community、 @redcanary、および Zach スタンフォード @svch0stに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Certutil 経由でインストールされたルート証明書 | 侵害されたシステムにルート証明書をインストールする攻撃者を検出して、攻撃者が制御する Web サーバーに接続する際の警告を回避します。 Root Certificate Installed Sigma rule by oscd.community、 @redcanary、および Zach スタンフォード @svch0stに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Verclsid 経由で COM オブジェクトを実行します | GUID を介して COM オブジェクトを実行するために verclsid.exe が使用された場合にそれを検出します。 Verclsid.exe に基づいて、ビクター・セルゲーエフ、および oscd.communityによる COM オブジェクト シグマ・ルールを実行します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:スケジュールされた Cron タスク | スケジュールされたジョブを作成するための cron ユーティリティーの使用を検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:スケジュールされたCronタスク/ジョブ -Linux | スケジュールされたジョブを作成するための cron ユーティリティーの使用を検出します。 Scheduled Cron Task/Job- Linux Sigma rule by Alejandro Ortuno, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:スケジュールされたタスクの書き込み先System32タスク | 疑わしいロケーションから実行されたプロセスからのタスクの作成を検出します。 疑わしいスケジュール済みタスクの System32 タスクへの書き込み (Suspicious Scheduled Task Write to System32 Tasks) シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:スケジュールされたタスク/ジョブ - Windows | 一般的でないスケジュール済みタスクを検出します。 に基づく珍しいスケジュールタスク 1 回 00:00シグマルールpH-T 。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいフォルダからのスクリプトインタープリタの実行 | 環境変数によってアクセス可能な一時フォルダーまたはフォルダー内の疑わしいスクリプト実行を検出します。 フロリアン・ロスの 「疑わしいフォルダーからのスクリプト・インタープリターの実行 (Script Interpreter Execution From Suspicious Folder)」 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:セキュリティソフトウェアの検出 -Linux | セキュリティー・ソフトウェア・ディスカバリーをディスカバーするためのシステム・ユーティリティーの使用を検出します。 Security Software Discovery- Linux Sigma rule by Daniil ユーゴスラビア・スラフスキー、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:セキュリティ ソフトウェアの検出 - Powershell | PowerShell セキュリティー・ソフトウェア・ディスカバリーを検出します。 frack113による 「Powershell によるセキュリティー・ソフトウェア・ディスカバリー (Security Software Discovery by Powershell)」 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: AttribでWindowsシステムファイルを設定する | attrib.exe ユーティリティーを使用して、ファイルがシステム・ファイルとしてマークされていることを検出します。 Set Files as System Files Using Attrib.EXE Sigma rule by frack113に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Devtoolslauncher経由の指定されたバイナリ実行またはOpenWith | OpenWith.exe または Devtoolslauncher.exe が他のバイナリーを実行したときにそれを検出します。 「 OpenWith.exe Executes Specified Binary Sigma rule by Beユ Denis」、「 oscd.community 」(規則)、および「 @harr0ey 」(アイデア) に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:リスのロルビン | Olbin として指定された可能性のある Squirrel パッケージ・マネージャーを検出します。 Squirrel Lolbin Sigma rule by Karneades/Markus Neis、Jonhnathan Ribeiro、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:スタートアップショートカットを作成しました | サービスが Windows 開始フォルダーの下にショートカットを作成したときにそれを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:シェルコマンドにおける不審なアクティビティ | さまざまなコード・エクスプロイトで使用される疑わしいシェル・コマンドを検出します。 フロリアン・ロスの 「シェル・コマンドにおける疑わしいアクティビティー」 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいAtbrokerの実行 | デフォルト以外の支援技術アプリケーションを実行している Atbroker を検出します。 Suspicious Atbroker Execution Sigma rule by Mateusz ヴィチ dra, and oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしい内閣ファイルの拡大 | cab ファイルを解凍するための組み込み拡張ユーティリティーの使用を検出します。 Bhabesh Processor による 疑わしいキャビネット・ファイル拡張 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいコマンドLinux | マルウェアまたはハッキング・アクティビティーに関連することが多い関連コマンドを検出します。 フロリアン・ロスによる 疑わしいコマンド Linux シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしい削除コマンド | 疑わしいコマンド・ラインを検出して、 exe または dllを削除します。 「 Greedy File Deletion Using Del Sigma rule by frack113」に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいイベントログがクリアされましたPowerShell | PowerShellを使用したイベント・ログのクリアを検出します。 Suspicious Eventlog Clear or Configuration Change Sigma rule by Ecco, Daniil ユーゴスラビア slavsky, oscd.community、および D3F7A5105に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいイベントログが WMIC 経由でクリアされました | wmicを使用したイベント・ログの消去を検出します。 Suspicious Eventlog Clear or Configuration Change Sigma rule by Ecco, Daniil ユーゴスラビア slavsky, oscd.community、および D3F7A5105に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Wevtutil 経由で疑わしいイベントログをクリア | wevtutilを使用したイベント・ログの消去を検出します。 Suspicious Eventlog Clear or Configuration Change Sigma rule by Ecco, Daniil ユーゴスラビア slavsky, oscd.community、および D3F7A5105に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:不審なグループとアカウントの偵察活動Net.EXE | Net.EXEを使用している Windows システム上の疑わしいスキャン行為コマンド・ライン・アクティビティーを検出します。 Net.EXEを使用した疑わしいグループおよびアカウントのスキャン行為に基づく フロリアン・ロス (Nextron Systems)、 omkar72、 @svch0st、および Nareddine Bencherchali (Nextron Systems) によるシグマ・ルール。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしい DLL のロードと Extexport の実行 | ユーザーが CertOC.exe を使用して証明書をインストールし、ターゲット DLL ファイルをロードしたときにそれを検出します。 これは、 Extexport.exe が DLL をロードすることも検出し、元のパスを他のフォルダーから実行します。 frack113による 疑わしい Extexport Execution シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:不審な荷物Advapi31 | は、一般的ではないフォルダーで実行されているプロセスによる advapi31.dll のロードを検出します。 Suspicious Load of Advapi31.dll Sigma rule by frack113に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:不審なローダー | Lazarus グループ・アクティビティーで使用されるさまざまなローダーを検出します。 フロリアン・ロスおよびワガによる Lazarus Loaders シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいネット実行 | PowerShell Get-LocalGroupMember Cmdlet を使用して、Windows システム上の疑わしいスキャン行為コマンド・ライン・アクティビティーを検出します。 Michael Haag による Net.exe Execution Sigma rule by Michael Haag, Mark Woan (improvements), James Pemberton, @4A616D6573, and oscd.community (improvements) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:コマンドラインの疑わしい難読化文字 | コマンド・ラインを介したペイロードの難読化の可能性を検出します。 Commandline の疑わしい Dosfuscation Character Sigma rule by frack113に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: cscript による疑わしい登録 | COM + アプリケーションとしての VSS/VDS プロバイダーの登録を検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:明示的な資格情報による疑わしいリモートログオン | 明示的な資格情報を使用してログオンしている疑わしいプロセスを検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいリバースシェルのコマンドライン | リバース・シェルを確立するためにコマンド行で実行または使用される可能性がある疑わしいシェル・コマンドまたはプログラム・コードを検出します。 フロリアン・ロスの 疑わしいリバース・シェル・コマンド・ライン (Suspicious Reverse Shell Command Line) シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:一時フォルダからの疑わしいスクリプトの実行 | 一時フォルダーからの疑わしいスクリプト実行を検出します。 フロリアン・ロス、Max Altgelt、および Tim Shelton の 「Temp フォルダーからの疑わしいスクリプト実行 (Suspicious Script Execution From Temp Folder)」 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいZipExec実行 | バイナリー・ベースのツールをパスワードで保護された zip ファイルにラップするための PoC (概念検証) ツールである ZipExec の使用を検出します。 frack113による 疑わしい ZipExec 実行 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Svchost 着信接続 | svchost.exe プロセスへの疑わしい着信接続を検出します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Sysinternals SDelete ファイルの削除 | Sysinternals SDelete によるファイルの削除を検出します。 File Deleted Via Sysinternals SDelete Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)、および OTR (Open Threat Research) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Sysmon ドライバーのアンロード | Sysmon ドライバーのアンロードの可能性を検出します。 キリル・キリヤノフの Sysmon Driver Unload Sigma 規則と oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:TaskCacheレジストリの変更 | TaskCache キーに対する疑わしいレジストリー変更を検出します。 「 Scheduled TaskCache Change by Uncommon Program Sigma rule by Syed Hasan」(@syedhasan009) に基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ターミナル サーバー クライアントの接続履歴がクリアされました - レジストリ | MSTSC 接続履歴を含むレジストリー・キーの削除を検出します。 Terminal Server Client Connection History Cleared-Registry Sigma rule by Christian Burkard (Nextron Systems) に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Turla グループの横展開 | Turla グループによる自動横移動を検出します。 Markus Neis による Turla Group L順運動 シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:トゥルラLightNeuronインストール | Turla LightNeuron がインストールされている場合にトリガーされます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:トゥルラLightNeuronオブジェクト | Turla LightNeuron オブジェクトがロードされたときにトリガーされます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ローカル管理者にユーザーが追加されました | ローカル管理者グループに追加されたユーザー・アカウントを検出します。これは、正当なアクティビティーであるか、特権エスカレーション・アクティビティーの兆候である可能性があります。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Curl 経由でユーザー エージェントが変更されました | ユーザー・エージェントでの疑わしい curl プロセスの開始を検出します。 疑わしい curl 変更ユーザー・エージェント- Linux Nareddine Bencherchali (Nextron Systems) によるシグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Powershell 経由でユーザー エージェントが変更されました | 疑わしいコマンドのユーザー・エージェントへの組み込みを検出します。 Change User Agents with WebRequest Sigma rule by frack113に基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition:WinDbg/CDBLOLBINの使用とアプリケーションのホワイトリストのバイパスDxcap.exe | Dxcap.exe の実行を検出します。また、デバッガー・スクリプト・ファイルから 64 ビット・シェル・コードまたは任意のプロセスまたはコマンドを起動するための cdb.exe の使用も検出します。 に基づくWinDbg/CDBLOLBINの使用法ベユ・デニスによるシグマルール、 oscd.community、ナスレッディン・ベンチェルチャリ。 |
| ビルディング・ブロック | BB:BehaviorDefinition:疑わしいプログラムを生成する Windows シェル/スクリプト プロセス | Windows シェルの疑わしい子プロセスと、 wscript、 rundll32、 powershell、 mshtaなどのスクリプト・プロセスを検出します。 フロリアン・ロス (Nextron Systems) とティム・シェルトンによる Windows Shell/Scripting Processes Spawn Suspicious Programs シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Windows ソフトウェアの検出 | Windows ソフトウェアがディスカバーされたときにトリガーされます。 Detected Windows Software Discovery Sigma rule by Nikita miniarov、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Windows ソフトウェアの検出 -PowerShell | Windows ソフトウェアがディスカバーされたときにトリガーされます。 「検出された Windows ソフトウェア・ディスカバリー (Detected Windows Software Discovery)」- PowerShell ニキータ・ナザロフによるシグマ・ルール、および oscd.communityに基づいています。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Windows スプーラ サービス バイナリ ロード | スプーラー・サービス・バックアップ・フォルダーからの DLL ロードを検出します。 に基づくWindows スプーラ サービスの疑わしいバイナリ ロードシグマルールFPT.EagleEye,トーマス・パツケ(改良)。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Windows スプーラー サービス ファイルの削除 | スプーラー・サービス・ドライバー・フォルダーから DLL 削除を検出します。 Windows Spooler Service 疑わしいファイル削除 (Windows Spooler Service Suspicious File Deletion) シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Windows Update クライアント LOLBIN | Windows Update クライアントを介したコード実行を検出します。 FPT.EagleEye チームによる Windows 更新クライアント LOLBIN シグマ・ルールに基づきます。 |
| ビルディング・ブロック | BB:BehaviorDefinition:ストレージの書き込み保護が無効 | レジストリーへの変更を検出して、ストレージ・デバイスの書き込み保護プロパティーを無効にします。 Sreeman の 「Write Protect For Storage Disabled」 シグマ・ルールに基づいています。 |
| ビルディング・ブロック | BB:CategoryDefinition:ファイルの権限が変更されました | ファイルに割り当てられた許可を変更するためにコマンドが実行されたときにそのことを検出します。 |
| ビルディング・ブロック | BB:CategoryDefinition:オブジェクトダウンロードイベント | すべてのオブジェクト (ファイル、フォルダーなど) のダウンロード関連イベント・カテゴリーを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:DeviceDefinition:エンドポイントデバイス | システム上のエンドポイント・デバイスを定義します。 |
| ルール | アクセス・トークンの不正使用 | トークンの偽名の使用と盗難を検出します。 Access Token Abuse Sigma rule by Michaela アダムズ、および Zach Mathis に基づいています。 |
| ルール | ADMIN$ 共有へのアクセス | $ADMIN 共有へのアクセスを検出します。 フロリアン・ロスによる Access to ADMIN$ Share シグマ・ルールに基づきます。 |
| ルール | Active Directory グループ/コンピューターの列挙 | グループまたはコンピューターが Active Directory内で列挙されるとトリガーされます。 に基づくActive Directoryグループ列挙Get-AdGroupそしてActive Directoryコンピュータの列挙Get-AdComputerシグマのルールfrack113 。 |
| ルール | Active Directory Kerberos DLL | Microsoft Office 製品によってロードされている Kerberos DLL を検出します。 Active Directory Kerberos DLL Loaded Via Office Application Sigma 規則に基づいています (アントネロ・ヴェスdnbによる)。 |
| ルール | Active Directory Office アプリケーション経由でロードされた DLL の構文解析 | Microsoft Office 製品によってロードされている DSParse DLL を検出します。 Active Directory Parsing DLL Loaded Via Office Application Sigma rule by アントネロヴェスdnbに基づいています。 |
| ルール | 代替データ・ストリーム書き込みファイル | 代替データ・ストリーム (ADS) 書き込みファイルを検出します。 ADS を使用して、構成ファイルを保管することができます。 Sami Ruohonen による NTFS 代替データ・ストリーム ・シグマ・ルールに基づきます。 |
| ルール | Windows Firewall Snap-In Hijacking を介して UAC のバイパスを試行する | Windows ファイアウォール・スナップインを介して UAC をバイパスする試行を検出します。 この攻撃の詳細については、「WindowsファイアウォールスナップインハイジャックによるUACバイパス」を参照してください。 |
| ルール | 自動コレクション・コマンド | 内部データを収集するための自動化された手法を使用して、攻撃者を検出します。 |
| ルール | Office アプリケーションを介してロードされた CLR DLL | Microsoft Office 製品によってロードされている CLR DLL を検出します。 Office Applications を介してロードされる CLR DLL Sigma 規則に基づいています (アントネロヴェスdnbにより)。 |
| ルール | スクリプト・アプリケーションを介してロードされた CLR DLL | スクリプト・アプリケーションによってロードされている CLR DLL を検出します。 DotNet CLR DLL Loaded By Scripting Applications Sigma rule by omkar72、および oscd.communityに基づいています。 |
| ルール | 疑わしいロケーションでの COM ハイジャック | 「サーバー」(入出力) が疑わしい場所を指している COM ハイジャックの可能性を検出します。 疑わしいロケーションでの永続性のための COM ハイジャック シグマ・ルールに基づいています。これは、nasreddine Bencherchali によるものです。 |
| ルール | Sdclt による COM ハイジャック | Scdclt による COM ハイジャックの可能性を検出します。 COM Hijack via Sdclt シグマ規則に基づいています (Omkar Gud憎悪による)。 |
| ルール | COM オブジェクトのダウンロード (Cradles) | CLSID によって PowerShell でファイルをダウンロードするために悪用される可能性がある COM オブジェクトの使用を検出します。 Potential COM Objects Download Cradles Usage-PS Script Sigma rule by frack113に基づいています。 |
| ルール | Certutil 開始接続 | certutil.exe ツールによって開始されたネットワーク接続を検出します。 攻撃者は、 certutil.exe を悪用してマルウェアや攻撃的なセキュリティー・ツールをダウンロードする可能性があります。 Certutil Initiated Connection Sigma rule by frack113および miniian Roth に基づいています。 |
| ルール | コマンド・ヒストリーのクリア | コマンド履歴のクリア・アクティビティーを検出します。 |
| ルール | ComRat Registry Service のインストール | Comネズミ・サービスがインストールされ、ペイロードがレジストリーに書き込まれるとトリガーされます。 これは、資格情報の漏えいや以前にインストールされたバックドアなどの既存のアクセスを示している可能性があります。 |
| ルール | コマンドの実行方法SettingContent-ms | 実行されたコマンドを検出しますSettingContent-ms 。 に基づくSettingcontent-Ms による任意のシェル コマンドの実行Sreeman によるシグマルール。 |
| ルール | 疑わしい URL と AppData 文字列を含むコマンドライン実行 | 複数のドロッパーで使用されているコマンドラインパラメータURL と AppDataを含む疑わしいコマンドライン実行を検出します。 Florian Roth、Jonhnathan Ribeiro、 oscd.community による 疑わしい URL および AppData 文字列を含むコマンドラインの実行 シグマ規則に基づく。 |
| ルール | EquationGroup C2 ツールへの通信 | C2 サーバーとの通信を検出します。 フロリアン・ロスによる Equation Group C2 Communication Sigma 規則に基づきます。 |
| ルール | 資格情報データを含む機密ファイルのコピー | 資格情報データを含む機密ファイルのコピーの試行を検出します。 「 資格情報データを含む機密ファイルのコピー 」シグマ・ルール (Teymur Kheirkhabarov、Daniil ユーゴスラビア slavsky、および oscd.community) に基づいています。 |
| ルール | Outlook C2 マクロ・ファイルの作成 | Outlook C2 マクロ・ファイルの作成を検出します。 に基づく見通しC2マクロ作成シグマルール@ScoubiMtl。 |
| ルール | 疑わしい実行可能ファイルの作成 | 疑わしい実行可能ファイルの作成を検出します。 frack113による 「疑わしい実行可能ファイルの作成 (Suspicious Executable File Creation)」 シグマ・ルールに基づきます。 |
| ルール | 支援テクノロジー・アプリケーションの作成または変更 | 支援技術アプリケーションの作成または変更を検出します。 Atbroker Registry Change Sigma rule by Mateusz ワイドラ、および oscd.communityに基づいています。 |
| ルール | 新しい GPO スケジュール・タスクまたはサービスの作成または変更 | 新規グループ・ポリシー・ベースのスケジュール済みタスクまたはサービスの作成または変更を検出します。 Samir Bousseaden の「 Persistence and Execution at Scale via GPO Scheduled Task 」シグマ・ルールに基づいています。 |
| ルール | 資格情報ダンプ・ツールの名前付きパイプ | 特定の名前付きパイプを介して既知の資格情報ダンプ・ツールの実行を検出します。 「 Cred Dump-Tools Named Pipe Sigma rule by Teymur Kheirkhabarov, and oscd.community」に基づいています。 |
| ルール | Curl のダウンロードと実行の組み合わせ | リモートでペイロードをダウンロードして実行するために curl を使用する潜在的な攻撃者を検出します。 Sreeman による Curl Download And Execute Combination シグマ・ルールと、Nareddine Bencherchali (Nextron Systems) に基づいています。 |
| ルール | DNS 引き出しツールの実行 (DNS Exfiltration Tools Execution) | DNS 引き出しツールの実行を検出します。 DNS 引き出しとトンネリング・ツールの実行 Danslavsky によるシグマ・ルール、および oscd.communityに基づいています。 |
| ルール | PowerShell での DNS の引き出し | PowerShell で DNS 引き出しを検出します。 Powershell DNSExfiltration frack113によるシグマ・ルールに基づきます。 |
| ルール | ドメイン名HybridConnectionManagerサービスバス | サービス・バスを照会している Hybrid Connection Manager を検出します。 に基づくドメイン名HybridConnectionManagerサービスバスロベルト・ロドリゲスによるシグマルール(Cyb3rWard0g)、OTR(Open Threat Research)などがあります。 |
| ルール | DarkSide ランサムウェア・アクティビティーの検出 | DarkSide ランサムウェア・アクティビティーを検出します。 フロリアン・ロスの DarkSide Ransomware Pattern シグマ・ルールに基づきます。 |
| ルール | データ分割から断片へ (Mac) | 分割されたデータを検出します。 Split A File Into Sigma rule by Igor Fits, ミハイル・ライン, and oscd.communityに基づいています。 |
| ルール | 複数の断片に分割されたデータ (Unix) | 分割されたデータを検出します。 Split A File Into- Linux Sigma rule by Igor Fits, and oscd.communityに基づいています。 |
| ルール | 使用されるデフォルト・アカウント | 使用されたデフォルト・アカウントを検出します。 「 デフォルト・アカウントの疑わしい操作 」ナスレディン・ベンチャリのシグマ・ルールに基づきます。 |
| ルール | レジストリー・キーによる Windows Defender 機能の無効化 | Windows レジストリーを使用して攻撃者が Windows Defender の機能を無効にした場合にそれを検出します。 に基づくレジストリキーでWindows Defenderの機能を無効にするシグマルールAlertIQ,ヤン・トレンチャンスキーfrack113 、ナスレディン・ベンチャーチャリ、スワッチャンダ・シュラワン・プーデル。 |
| ルール | レジストリー経由の CrashDump の無効化 | レジストリー変更によって無効にされた CrashDump を検出します。 CrashControl CrashDump Disabled シグマ・ルール (トビアス・ミハルスキー) に基づいています。 |
| ルール | Dllhost アウトバウンド・ネットワーク接続 | dllhost.exeによって開始されたアウトバウンド接続を検出します。 |
| ルール | Dllhost.exe 実行異常 (Execution Anomaly) | コマンド・ライン引数なしで dllhost.exe プロセスが spawn されたことを検出します。これはまれであり、プロセス注入アクティビティーやマルウェアが類似のシステム・プロセスを模倣していることを示している可能性があります。 Dllhost.EXE Execution Anomaly Sigma rule by nasreddine Bencherchali (Nextron Systems) に基づく。 |
| ルール | ドメイン・トラスト・ディスカバリー | ドメイン・トラスト・ディスカバリーの nltest.exe および dsquery.exe の実行を検出します。 この手法は、攻撃者が Active Directory 信頼を列挙するために使用します。 E.Mの ドメイン・トラスト・ディスカバリー シグマ・ルールに基づきます。 Anhaus (原典: アトミック・ブルー検出)、Tony Lambert、 oscd.community、および omkar72。 |
| ルール | DotNET Office アプリケーション経由でロードされた DLL | Microsoft Office 製品によってロードされているアセンブリー DLL を検出します。 DotNET Assembly DLL Loaded Via Office Application Sigma rule by アントネロヴェスdnbに基づきます。 |
| ルール | エッジ・ヘッドレス機能を使用したペイロードのダウンロード | Edge ヘッドレス機能を使用したペイロードのダウンロードを検出します。 フロリアン・ロス (Nextron Systems) による 「潜在的な任意のファイルのダウンロード」 MSEdge.EXE シグマ・ルールと、ナスレディン・ベンチャーチャリ (Nextron Systems) に基づきます。 |
| ルール | エッジを使用したコンソール経由のペイロードのダウンロード | Edge コンソールを使用したペイロードのダウンロードを検出します。 「コンソール経由でペイロードをダウンロードするためのエッジの悪用 (Edge 解く for payload download via console)」 シグマ・ルールに基づきます。 |
| ルール | PowerShell を使用した Windows Credential Manager からの資格情報のダンプ | ユーザー資格情報を取得するために共通パスワード保管場所を検索する攻撃者を検出します。 「 PowerShellを使用して Windows Credential Manager から資格情報をダンプします」 frack113によるシグマ・ルールに基づいています。 |
| ルール | ETW トレース使用不可 | ロギングの回避を示す可能性がある ETW トレース・ログを消去または使用不可にするコマンドを検出します。 「 Disable of ETW Trace Sigma rule by @neu5ron」、「フロリアン・ロス」、「Jonhnathan Ribeiro」、および「 oscd.community」に基づきます。 |
| ルール | Powershell からの E メール・アカウント・ディスカバリー | Powershell からの E メール・アカウント・ディスカバリーを検出します。 |
| ルール | 暗号化チャネル・アクティビティー | 暗号化チャネル・アクティビティーを検出します。 frack113による 「疑わしい SSL 接続 (Suspicious SSL Connection)」 シグマ・ルールに基づきます。 |
| ルール | PowerShell を使用した Windows Credential Manager からの資格情報の列挙 | ユーザー資格情報を取得するために共通パスワード保管場所を検索する攻撃者を検出します。 |
| ルール | Powershell からの nslookup の数が多すぎる | Powershell から過剰な数の nslookup を検出します。 Nslookup PowerShell Download Cradle- ProcessCreation Nareddine Bencherchali (Nextron Systems) によるシグマ・ルールに基づきます。 |
| ルール | 別の実行可能ファイルによって作成された実行可能ファイル | 実行可能ファイルが別の実行可能ファイルによって作成されるとトリガーされます。 実行可能ファイルによる実行可能ファイルの作成 frack113によるシグマ・ルールに基づきます。 |
| ルール | Dnscat の実行 | Dnscat の実行を検出します。 Dnscat Execution Sigma rule by Daniil kitslavsky、および oscd.communityに基づいています。 |
| ルール | 引き出しツールおよびトンネリング・ツールの実行 | 引き出しおよびトンネリング・ツールの実行を検出します。 Exfiltration and Tuneling Tools Execution Sigma rule by Daniil ユーゴスラビア slavsky、および oscd.communityに基づいています。 |
| ルール | Rundll32 を使用した非 DLL の実行 | 非 DLL を実行している rundll32.exe を検出します。 日枝トランザクションの 疑わしい Rundll32 Execution With Image Extension シグマ・ルールに基づいています。 |
| ルール | Tap インストーラー・ソフトウェアの実行 | タップ・インストーラー・ソフトウェアの実行を検出します。 Tap Installer Execution Sigma rule by Daniil ユーゴスラビア・スラフスキー、イアン・デービス、および oscd.communityに基づいています。 |
| ルール | EQNEDT32 の活用 | EQNEDT32.EXE を悪用して他のプロセスを spawn する CVE-2017-11882 を検出します。 Droppers Exploiting CVE-2017-11882 フロリアン・ロスのシグマ・ルールに基づいています。 |
| ルール | プログラム・ファイル・ディレクトリー内の非特権プロセスによるファイル作成 | Program Files ディレクトリー内の非特権プロセスによるファイル作成を検出します。 非特権プロセスによってプログラム・ファイルにドロップされたファイル Teymur Kheirkhabarov (アイデア)、Ryan Plas (ルール)、および oscd.communityによるシグマ・ルールに基づきます。 |
| ルール | Bitsadmin によるファイル・ダウンロード | ファイルをダウンロードする bitsadmin の使用を検出します。 Michael Haag による File Download Via Bitsadmin Sigma ルール、および FPT.EagleEye。 |
| ルール | ファイルおよびディレクトリーの許可の変更 (Windows) | Windows でのファイルとディレクトリーのアクセス権の変更を検出します。 「 ファイルまたはフォルダーの許可の変更 (File or Folder Permissions Modifications) 」に基づいて、ヤコブ・ワインゼトル、 oscd.community、およびナスレディン・ベンチャリによるシグマ・ルールが適用されます。 |
| ルール | ダウンロード後のファイルおよびディレクトリーの許可の変更 | ファイル・ダウンロード・イベント後のファイルおよびディレクトリーのアクセス権の変更を検出します。 |
| ルール | Finger 疑わしい呼び出し (Finger Suspicious Invocation) | 最近のマルウェア攻撃でよく使用される疑わしい finger.exe ツール実行を検出します。 フロリアン・ロス (Nextron Systems) による Finger.exe 疑わしい呼び出し シグマ・ルール、 omkar72、および oscd.communityに基づいています。 |
| ルール | Office アプリケーション経由でロードされた GAC DLL | Microsoft Office 製品によってロードされている GAC DLL を検出します。 Office Applications を介してロードされる GAC DLL Sigma 規則に基づいています (アントノブ)。 |
| ルール | Get-ADUser ユーザー・ディスカバリーおよびエクスポート | Get-ADUser コマンドレットを使用してユーザー情報を収集し、それをファイルに出力するときにトリガーされます。 User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Nareddine Bencherchali (Nextron Systems) のシグマ・ルールに基づきます。 |
| ルール | Google Chrome DLL のサイドロード | Google Chromeで DLL サイドローディングを検出します。 Potential Chrome Frame Helper DLL Sideloading Sigma rule by Nareddine Bencherchali (Nextron Systems) および Wietze Beukema (project and research) に基づいています。 |
| ルール | Attrib でファイルを非表示にする | ユーザーに対してファイルを非表示にするための attrib.exe の使用を検出します。 Attrib.exe Sami Ruohonen によるシグマ・ルールに基づきます。 |
| ルール | Hybrid Connection Manager サービスのインストール | Hybrid Connection Manager サービスのインストールを検出します。 に基づくHybridConnectionManagerサービスのインストールロベルト・ロドリゲスによるシグマルール(Cyb3rWard0g)、OTR(Open Threat Research)などがあります。 |
| ルール | メモリー内 PowerShell | 使用される必須DLLの読み込みを検出しますPowerShell,しかしプロセスによってではないPowershell.exe。 Tom Kern、 oscd.community、ナタリア・ショルニコワ、およびティム・シェルトンの メモリー内 PowerShell シグマ・ルールに基づいています。 |
| ルール | マウス・ロックを使用した入力キャプチャー | マウス・ロック・ツールを使用して入力キャプチャーを検出します。 Cian Heasley による 「マウス・ロック資格情報収集 (マウス・ロック Credential Gathering)」 シグマ規則に基づきます。 |
| ルール | Linux Doas ツールの実行 | Linux doas ツールの実行を検出します。 Linux Doas Tool Execution Sigma rule by Sittikorn S, and Teoderick Contr元号に基づいています。 |
| ルール | ルックアップ・システム・ロケール | システム・ロケールの検索を検出します。 コンソール CodePage Lookup Via CHCP Sigma rule by _pete_0および TheDFIRReportに基づきます。 |
| ルール | レジストリー内の悪意のある Base64 | 攻撃者がエンコードされたコマンドを隠そうとするレジストリー書き込み変更を検出します。 「疑わしい環境変数が登録されました (Suspicious Environment Variable Has Been Registered)」 というシグマ・ルールに基づいています。 |
| ルール | 悪意のある名前付きパイプ | 既知の APT マルウェアによって名前付きパイプが作成されるとトリガーされます。 |
| ルール | 悪意のある PowerShell スクリプト | 悪用用の既知の Powershell スクリプトの作成を検出します。 Markus Neis、Nareddine Bencherchali (Nextron Systems)、Mustafa Kaan Demir、およびゲオルク・ラウエンシュタインによる 悪意のある PowerShell スクリプト- FileCreation シグマ・ルールに基づいています。 |
| ルール | コントロール・パネルの悪意のある使用 | コントロール・パネル項目の悪意のある使用を検出します。 「 コントロール・パネル項目 」、「チョー・ミン・テイン」、および「古館カリスカン」(@caliskanfurkan_) に基づいています。 |
| ルール | マスカレーディング・タスクまたはサービス | タスクまたはサービスのマスカレーディング時にトリガーされます。 |
| ルール | Microsoft バイナリー Github 通信 | github.comにアクセスする Windows フォルダー内の実行可能ファイルを検出します。 Michael Haag (アイデア) による Microsoft Binary Github Communication Sigma ルールに基づいています。フロリアン・ロス (ルール)。 |
| ルール | Microsoft Binary 疑わしい通信エンドポイント (Microsoft Binary Suspicious Communication Endpoint) | 疑わしいドメインにアクセスしている Windows フォルダー内の実行可能ファイルを検出します。 フロリアン・ロス (Nextron Systems) による Microsoft Binary Suspicious Communication Endpoint シグマ・ルールと、Nextron Systems (Nextron Systems) に基づく Nextron Bencherchali (Nextron Systems) によるシグマ・ルール。 |
| ルール | Microsoft Office DLL のサイドロード | Microsoft Office の一部である DLL の標準以外の場所からのサイドローディングを検出します。 Microsoft Office DLL Sideload Sigma rule by ナーゼ Bencherchali (Nextron Systems)、および Wietze Beukema (project and research) に基づいています。 |
| ルール | Microsoft Office テンプレートの作成 | Office 外部から Microsoft Office 用のテンプレート・ファイルの作成を検出します。 |
| ルール | Mimikatz の実行 | 既知の Mimikatz コマンド・ライン引数を検出します。 「 HackTool -Mimikatz Execution 」(Teymur Kheirkhaarov、 oscd.community、David ANDRE (追加キーワード)、および Tim shelton) に基づいています。 |
| ルール | パスワードが正しくないために複数のログインが失敗する | パスワード・スプレーを実行している攻撃者を検出します。 |
| ルール | ネットワーク共有ディスカバリー・アクティビティー | ネットワーク共有ディスカバリー・アクティビティーを検出します。 |
| ルール | ネットワーク・スニッフィング・アクティビティー | ネットワーク・スニッフィング・アクティビティーを検出します。 Network Sniffing Sigma rule by Timur Zinniatullin and oscd.communityに基づいています。 |
| ルール | 新規証明書が証明書ストアに追加されました | Windows レジストリーへの新しいルート証明書、CA 証明書、または AuthRoot 証明書の追加を検出します。 「 New Root or CA or AuthRoot Certificate to Store Sigma rule by frack113」に基づいています。 |
| ルール | Netsh 経由で追加された新規ポート転送規則 | 新しいポート転送 (PortProxy) ルールを構成する netsh コマンドの実行を検出します。 New Port Forwarding Rule Added Via Netsh.EXX Sigma rule by rosian Roth (Nextron Systems)、 omkar72、 oscd.community、および Swachchhanda Shrawan Poudel に基づいています。 |
| ルール | 新規サービスの作成 | 新規サービスの作成を検出します。 |
| ルール | 非標準ポート使用量 | 非標準ポートの使用を検出します。 フロリアン・ロス (Nextron Systems) による 疑わしい標準的なマルウェア・バック・コネクト・ポート のシグマ・ルールに基づきます。 |
| ルール | Outlook C2 マクロ作成 | Outlook 用のマクロ・ファイルの作成を検出します。 に基づく見通しC2マクロ作成シグマルール@ScoubiMtl。 |
| ルール | レジストリーで Outlook のセキュリティー設定が変更されました | Outlook E メール・セキュリティー設定の変更を検出します。 Change Outlook Security Setting in Registry Sigma rule by frack113に基づいています。 |
| ルール | 「ハッシュ・アクティビティーの受け渡し」 | ネットワーク内を横方向に移動するために使用されるハッシュを通過する攻撃技法を検出します。 |
| ルール | ごみ箱のパーシスタンス・レジストリー・キー | ごみ箱のパーシスタンス・レジストリー・キーを検出します。 frack113による 「ごみ箱内のレジストリー永続性メカニズム」 シグマ・ルールに基づいています。 |
| ルール | GPO スケジュール・タスクによるスケールでのパーシスタンスと実行 | GPO スケジュール・タスクを使用して水平移動を検出します。 Samir Bousseaden の「 Persistence and Execution at Scale via GPO Scheduled Task 」シグマ・ルールに基づいています。 |
| ルール | サービス・レジストリー・キーによる永続性 | サービスの作成または既存のサービスの変更によって持続しようとしている攻撃者を検出します。 ServiceDll Hijack Sigma rule by frack113に基づいています。 |
| ルール | Persistence via Startup Folder (スタートアップ・フォルダーによるパーシスタンス) | 疑わしい拡張子を持つファイルが開始フォルダーに作成された場合にそれを検出します。 疑わしい始動フォルダーのパーシスタンス (Suspicious Startup Folder Persistence) というシグマ・ルールに基づいています。 |
| ルール | ISO アーカイブのフィッシング・パターン | アーカイブ・アプリケーションで ISO ファイルが開かれたときにそれを検出します。 フロリアン・ロスによる 「Phishing Pattern ISO in Archive」 シグマ・ルールに基づきます。 |
| ルール | ブルート・フォースの試み | ブルート・フォースを実行している攻撃者を検出します。 |
| ルール | 考えられる Turla LightNeuron バックドアの取り付け | Turla LightNeuron バックドアがインストールされるとトリガーされます。 LightNeuron は、トランスポート・エージェントを使用する Microsoft Exchange E メール・サーバーをターゲットとします。 |
| ルール | 収集されたデータの潜在的なアーカイブ | 引き出しのためにデータがアーカイブまたは圧縮されたときにトリガーされます。 攻撃者は、データをポータブルにしてネットワークを介して送信されるデータ量を最小化するために、引き出しの前に収集される機密文書などのデータを圧縮することができます。 |
| ルール | 潜在的なブート・スクリプトまたはログオン初期化スクリプト | ブート・スクリプトまたはログオン・スクリプトを初期化するために Windows ログオン・スクリプトが変更されたときにトリガーを検出します。 |
| ルール | 潜在的な C2 非アプリケーション層プロトコルを介した通信 | ホストと C2 サーバーの間、またはネットワーク内の感染したホストの間の通信に非アプリケーション層プロトコルを使用する攻撃者を検出します。 |
| ルール | 潜在的な炭素アクティビティー | C & C サーバーと通信してデータを抽出する Carbon アクティビティーを検出します。 |
| ルール | 潜在的な ComRAT アクティビティー | スケジュールされたタスクを作成するための PowerShell ローダーである ComRAT アクティビティーを検出します。 |
| ルール | 潜在的なコマンドおよびスクリプト・インタープリター | コマンドおよびスクリプト・インタープリターが検出されたときにトリガーされます。 |
| ルール | 潜在的な構成およびサービスのスキャン行為 | レジストリーからのスキャン行為の試行を検出します。 攻撃者は、Windows レジストリーと対話して、資格情報、システム、構成、およびインストール済みソフトウェアに関する情報を収集することができます。 Timur Zinniatullin による 照会レジストリー ・シグマ・ルールに基づいて、 oscd.communityを行います。 |
| ルール | 潜在的クラッチ・アクティビティー | データを暗号化して抽出するクラッチ・アクティビティーを検出します。 |
| ルール | 潜在的な DLL 注入パターンの検出 (Potential DLL Injection Pattern Detected) | 潜在的な使用を検出CreateRemoteThreadAPIとLoadLibraryプロセスに DLL を挿入する関数。 に基づくCreateRemoteThreadAPIとLoadLibraryロベルト・ロドリゲス@Cyb3rWard0g。 |
| ルール | 潜在的な DLL 検索順序のハイジャック | Slack、Teams、 OneDrive などの既知のデスクトップ・アプリケーション依存関係フォルダーに DLL ファイルを作成しようとすると、通常とは異なるプロセスによってトリガーされます。 これは、DLL 検索順序ハイジャックによって悪意のあるモジュールをロードしようとしたことを示している可能性があります。 「DLL Search Order Hijacking による潜在的な初期アクセス (Potential Initial Access via DLL Search Order Hijacking)」 シグマ・ルール (Tim Ra地 (ルール)、および Elastic (アイデア)) に基づいています。 |
| ルール | Curl による潜在的なデータ引き出し (Potential Data Exfiltration Via Curl) | upload フラグを指定した curl プロセスの実行を検出します。 これは、潜在的なデータ引き出しを示している可能性があります。 フロリアン・ロスの 疑わしい curl ファイルのアップロード ・シグマ・ルールに基づきます。 |
| ルール | 潜在的なエンパイア・アクティビティー | メールを介してデータを抽出するために Microsoft Outlook をハイジャックするエンパイア・アクティビティーを検出します。 |
| ルール | 潜在的なエピック・アクティビティー | 被害者システム内のさまざまな用語を検索する Turla Epic アクティビティーを検出します。 |
| ルール | 検出された潜在的な Exchange エクスプロイト・アクティビティー | 潜在的な Exchange エクスプロイト・アクティビティーを検出します。 フロリアン・ロスによる 交換悪用アクティビティー のシグマ・ルールに基づきます。 |
| ルール | 潜在的なファイルおよびディレクトリーのディスカバリー | 情報ディスカバリーのためにファイルまたはディレクトリーが検索されたときにトリガーされます。 攻撃者は、ファイルとディレクトリーを列挙したり、ファイル・システム内の特定の情報をホストまたはネットワーク共有の特定の場所で検索したりすることができます。 |
| ルール | 実行ハイジャックの潜在的なフロー | 疑わしいフォルダーまたはファイルから DLL がロードまたは削除されたときにトリガーされます。 |
| ルール | 潜在的なガザー・アクティビティー | 永続性のためにさまざまな手法を使用するバックドアである Turla ガス・アクティビティーを検出します。 |
| ルール | 潜在的な隠しファイルまたはディレクトリー | ユーザーに対して成果物を非表示にするためにファイル属性またはディレクトリー属性が変更または変更されたときにトリガーされます。 |
| ルール | 潜在的な HyperStack アクティビティー | バックドアである Turla HyperStack アクティビティーを検出します。 |
| ルール | ホスト上の潜在的なインディケーターの削除アクティビティー | ホスト・システムで生成された成果物を攻撃者が削除または変更して、その存在の証拠を削除したり、防御を妨げている場合にトリガーされます。 |
| ルール | 潜在的な Ingress ツール転送 | 不審な電話を検出Invoke-WebRequest, curl または wget を実行すると、出力が疑わしい場所に配置されます。 に基づく疑わしいInvoke-WebRequest使用法Nasreddine Bencherchali によるシグマルール。 |
| ルール | 潜在的な一度のアクティビティー | ショートカット作成であり、HKCU レジストリー・パスの下に追加されたサブキーである、一時アクティビティーを検出します。 |
| ルール | 潜在的な LOLBIN アクティビティー (Potential LOLBIN Activity) | 指定されたバイナリーのコードを実行するために LOLBIN が使用されたときにトリガーされます。 |
| ルール | PowerShell を介した潜在的な水平移動 | 水平移動中に一般的に悪用されるプロセスの子プロセスまたは孫プロセスとして作成された PowerShell プロセスを検出します。 モーリシオ・ベラスコの 「考えられる担保移動」 PowerShell 「Spawn」 「シグマ」ルール、および Splunkに基づきます。 |
| ルール | 潜在的な MSExchange メールボックスのエクスポート | Exchange メールボックス・データがファイルにエクスポートされるとトリガーされます。 |
| ルール | 潜在的な悪意のある MSExchange トランスポート・エージェントのインストール | Exchange トランスポート・エージェントのインストールを検出します。 |
| ルール | 潜在的な蚊の活動 (Potential Mosquito Activity) | モスキート・アクティビティー ( Win32 バックドア) を検出します。 |
| ルール | 潜在的な PowerShell ReverseShell 接続 | の使用を検出します'TcpClient'クラス。 これは、リモート接続およびリバース・シェルを確立するために悪用される可能性があります。 に基づく潜在的なPowershellReverseShell繋がりシグマルールFPT.EagleEye, wagga 氏、および Nasreddine Bencherchali 氏 (Nextron Systems)。 |
| ルール | 潜在的なプロキシー転送構成 (Potential Proxy Forwarding Configuration) | 転送で使用するようにプロキシー・ポートが構成されている場合にトリガーされます。 攻撃者は、トンネリングによってネットワーク制限をバイパスするようにプロキシー・ポートを構成することができます。 |
| ルール | 潜在的なレジストリーまたは環境変数のアンロード | 環境変数またはレジストリーに変更が加えられるとトリガーされます。 これは、ランサムウェア攻撃の前兆を示している可能性があります。 |
| ルール | 作成された潜在的なスケジュール済みタスク | 作成されたスケジュール済みタスクを検出します。 |
| ルール | 潜在的なセキュリティー・ソフトウェア・ディスカバリー | セキュリティー・ソフトウェアがディスカバーされたときにトリガーされます。 攻撃者は、システムまたはクラウド環境にインストールされているセキュリティー・ソフトウェア、構成、防御ツール、およびセンサーのリストを取得しようとする可能性があります。 これには、ファイアウォール・ルールやアンチウィルスなどが含まれる場合があります。 |
| ルール | 潜在的な svchost メモリー・アクセス | winRM Windows イベント・ロギング・サービスを強制終了するために Invoke-Phantom によって使用されるものなど、svchost プロセス・メモリーへの潜在的なアクセスを検出します。 Tim Burrell の 「疑わしい Svchost Memory Asccess」 シグマ・ルールに基づきます。 |
| ルール | 非システム・ロケーションからの潜在的なシステム DLL サイドローディング | 通常、 System32や SysWOW64などのシステム・ロケーションに配置されている DLL のサイド・ロードを検出します。 に基づくシステム以外の場所からのシステム DLL サイドローディングシグマルール、Nasreddine Bencherchali、Wietze Beukema(プロジェクトと研究)、Chris Spehn(WFH Dridexの研究)、およびXForceIR(SideLoadHunterプロジェクト)。 |
| ルール | 潜在的な TinyTurla アクティビティー | w64time.dllという偽の DLL を使用する TinyTurla アクティビティーを検出します。 Windows Legit バージョンは w32time.dllです。これにより、マルウェアの認識が低下します。 |
| ルール | 潜在的な Turla Recon アクティビティー (Potential Turla Recon Activity) | 一般的な Turla アクティビティーを検出します。このアクティビティーは、被害者のマシンを検出するために複数のスキャン行為コマンドを実行し、さらに横方向に移動します。 |
| ルール | 潜在的な Unix シェル・コマンドおよびスクリプト・インタープリター | 疑わしいシェル・コマンドまたはプログラム・コードがコマンドおよびスクリプト・インタープリターに対して実行された場合にトリガーを検出します。 |
| ルール | 除去された可能性のある Web シェル | 除去された潜在的な Web シェルを検出します。 フロリアン・ロス (ルール)、MSTI (クエリー、アイデア) による 「疑わしい ASPX ファイルの交換によるドロップ (Suspicious ASPX File Drop by Exchange)」 シグマ・ルールに基づいています。 |
| ルール | PowerShell スクリプトを介した潜在的な WinAPI 呼び出し | PowerShell スクリプトでの WinAPI 関数の使用を検出します。 Potential WinAPI Calls Via PowerShell Scripts Sigma rule by Nikita ナザロフ、 oscd.community、および Tim shelton に基づきます。 |
| ルール | 潜在的な Windows コマンド・シェル・インタープリター | コマンド/引数の混乱/ハイジャックの可能性を示す、 cmd.exe でのパス・トラバーサルの使用時にトリガーされます。 Cmd.exe CommandLine パス・トラバーサル xknow @xknow_infosecおよび Tim shelton によるシグマ・ルールに基づきます。 |
| ルール | 潜在的な Windows スケジュール・タスクの作成 | 攻撃者がスケジュールされたタスクを作成しようとするとトリガーされます。 |
| ルール | 潜在的な Windows ソフトウェア・ディスカバリー | Windows ソフトウェアがディスカバーされたときにトリガーされます。 攻撃者は、どのようなセキュリティー対策が存在するか、侵害されたシステムに脆弱性のあるソフトウェアのバージョンがあるかなど、さまざまな理由でソフトウェアを列挙しようとする可能性があります。 |
| ルール | PowerShell DownloadFile | 単一のコマンド・ラインでの PowerShell の実行、 WebClient オブジェクトの作成、および DownloadFile の呼び出しを検出します。 フロリアン・ロスの PowerShell DownloadFile シグマ・ルールに基づきます。 |
| ルール | PowerShell プロファイルの変更 | PowerShell プロファイルが作成または変更されたときにトリガーされます。これは、プロファイルをパーシスタンスの手段として使用できるため、疑わしいアクティビティーを示す可能性があります。 「 PowerShell Profile Modification Sigma rule by HieuTT35」、および「nasreddine Bencherchali」に基づいています。 |
| ルール | Powershell キー・ロギング・アクティビティー | Powershell キー・ロギング・アクティビティーを検出します。 Powershell Keylogging frack113のシグマ・ルールに基づいています。 |
| ルール | Powershell ローカル E メール・コレクション | 機密情報を収集するために、ローカル・システム上のユーザー E メールをターゲットとする攻撃者を検出します。 frack113による Powershell ローカル E メール・コレクション に基づきます。 |
| ルール | Powershell リモート・スレッド作成 | 重要な Windows プロセスにコードを注入する Powershell を検出します。 |
| ルール | Maldoc を介したプロセス・インジェクション | maldoc を使用したプロセス注入を検出します。 LittleCorporal Generated Maldoc Injection に基づく、クリスチャン・バーカードによるシグマ・ルール。 |
| ルール | Psexec Accepteula 契約が検出されました | psexec アクセプテラ・アクティビティーを検出します。 omkar72による Psexec Accepteula Condition シグマ・ルールに基づいています。 |
| ルール | Python コア・イメージ・ロードの検出 | Python Core イメージのロードを検出します。 Python Py2Exe Image Load シグマ・ルール (パトリック・セントジョン) および OTR (Open Threat Research) に基づいています。 |
| ルール | Python Py2Exe イメージのロード | Py2Exeにバンドルされている Python スクリプトを示す Python Core のイメージ・ロードを検出します。 Python Py2Exe Image Load シグマ・ルール (パトリック・セントジョン) および OTR (Open Threat Research) に基づいています。 |
| ルール | ループバック・アドレスを介した RDP 通信 | ループバック・アドレスを介した RDP 通信を検出します。 Samir Bousseaden の RDP over Reverse SSH Tunnel WFP シグマ・ルールに基づきます。 |
| ルール | BuiltIn コマンドを使用したスキャン行為アクティビティー | さまざまな攻撃グループによって recon ステージで頻繁に使用される一連の組み込みコマンドの実行を検出します。 juju4による 一連の疑わしいコマンドのクイック実行 シグマ・ルールに基づいています。 |
| ルール | Regedit が TrustedInstaller 特権で開始されました | TrustedInstaller 特権または ProcessHacker.exeで開始された regedit を検出します。 フロリアン・ロスの「 Regedit as Trusted Installer 」シグマ・ルールに基づいています。 |
| ルール | 実行キーのレジストリー変更 | 実行キーのレジストリー変更を検出します。 に基づく疑わしいドライバのインストールpnputil.exeハイ・ヴァクニンによるシグマルール@LuxNoBulIshit, Avihay eldad @aloneliassaf、Austin Songer @austinsonger。 |
| ルール | Regsvr32 アウトバウンド・ネットワーク接続 | regsvr32.exeによって開始されたアウトバウンド接続を検出します。 |
| ルール | リモート PowerShell セッション | 非ネットワーク・サービス・アカウントからポート 5985 または 5986 へのネットワーク・アウトバウンド接続をモニターすることにより、リモート PowerShell 接続を検出します。 Remote PowerShell Session (Network) Sigma rule by Roberto ロドリゲス (@Cyb3rWard0g) に基づきます。 |
| ルール | リモート・スケジュール・タスクの作成 | スケジュールされたリモート・タスクの作成を検出します。 |
| ルール | SVCCTL 名前付きパイプを介したリモート・サービス・アクティビティー | svcctl 名前付きパイプへのリモート・アクセスによるリモート・サービス・アクティビティーを検出します。 名前付きパイプを使用したリモート・サービス作成 シグマ・ルール (減分) に基づきます。 |
| ルール | 疑わしいターゲットでのリモート・スレッド作成 | 疑わしいターゲット・イメージでのリモート・スレッド作成を検出します。 フロリアン・ロスによる 「疑わしいターゲットでのリモート・スレッドの作成 (Remote Thread Creation in Suspicious Targets)」 に基づいています。 |
| ルール | ルート証明書がインストールされました | 侵害されたシステムにルート証明書をインストールする攻撃者を検出して、攻撃者が制御する Web サーバーに接続する際の警告を回避します。 |
| ルール | RunDLL32 アウトバウンド・ネットワーク接続 | rundll32.exeによって開始されたアウトバウンド接続を検出します。 |
| ルール | 疑わしいプロセス・リネージュを持つRundll32 | 異常な親プロセスからの rundll32.exe の実行を検出します。 |
| ルール | ハイジャックされたバイナリーの実行が検出されました | ハイジャックされたバイナリーの実行を検出します。 に基づく使用SettingSyncHost.exe を LOLBin としてアントン・クテポフのシグマルール、そしてoscd.community。 |
| ルール | Ransomware コマンド・ライン・アクティビティーの検出 (Ransomware Command Line Activity Detected) | ホークランサムウェア・コマンド・ライン・アクティビティーを検出します。 Vasiliy Bu直通の 「Ransomware コマンド・ライン・アクティビティー」 シグマ・ルールに基づいています。 |
| ルール | SMB リモート・ファイル管理共有の作成 | C$などの管理共有経由で書き込み (0x2) アクセス・マスクを使用してファイルにアクセスする非システム・アカウント SMB を検出します。 SMB Create Remote File Admin Share Sigma rule by Jose ロドリゲス (@Cyb3rPandaH)、および OTR (Open Threat Research) に基づいています。
|
| ルール | SSH ファイアウォール構成 | SSH ファイアウォール構成を検出します。 Windows (コマンド) 上の OpenSSH サーバー・ファイアウォール構成に基づく シグマ・ルール (減分数)。 |
| ルール | スクリプト開始接続 | ネットワーク接続を開くスクリプト・インタープリター wscript/cscript を検出します。 攻撃者は、スクリプトを使用して悪意のあるペイロードをダウンロードする可能性があります。 frack113による 「スクリプト開始接続 (Script Initiated Connection)」 シグマ・ルールに基づきます。 |
| ルール | サービス・ DLL のハイジャック | レジストリー内のサービスに関連する ServiceDLL 値の変更を検出します。 これは、多くの場合、パーシスタンスの方法として使用されます。 ServiceDll Hijack Sigma rule by frack113に基づいています。 |
| ルール | サービス・レジストリー権限の脆弱性チェック | サービス開始時に独自のコードを起動するために、攻撃者が、最初に指定された実行可能ファイルから制御する実行可能ファイルにリダイレクトするために、レジストリー内の許可の欠陥を検査することを検出します。 frack113による 「サービス・レジストリー権限の脆弱性チェック」 シグマ・ルールに基づきます。 |
| ルール | SetupComplete.cmd の活用 | SetupComplete.cmd および PartnerSetupComplete.cmdを介した特権エスカレーション脆弱性の悪用の試行を検出します。 |
| ルール | オペレーティング・システム・ユーティリティーを使用したシャドー・コピー作成 | オペレーティング・システム・ユーティリティーを使用してシャドー・コピーが作成される資格情報アクセスの考えられるシナリオを検出します。 「 Shadow Copies Creation Using Operating Systems Utilities 」(Teymur Kheirkhabarov、Daniil もとslavsky、および oscd.communityによるシグマ・ルール) に基づいています。 |
| ルール | Web サーバーによって作成されたシェル | 正常に配置された Web シェルまたは別の攻撃の結果である可能性があるシェル・プロセスを spawn する Web サーバーを検出します。 Thomas Patzke、Florian Roth (Nextron Systems)、Zach スタンフォード @svch0st、Tim shelton、および nasreddine Bencherchali (Nextron Systems) の 「Web サーバーによって作成されたシェル」 シグマ・ルールに基づきます。 |
| ルール | 検出されたランサムウェア・アクティビティーの検出 (Snatch Ransomware Activity Detected) | Snatch ランサムウェア・アクティビティーを検出します。 フロリアン・ロスによる Snatch Ransomware シグマ・ルールに基づきます。 |
| ルール | 検出された静的 Mimikatz ドライバー名 (Static Mimikatz Driver Name Detected) | 既知の悪用された mimikatz ドライバー名を検出します。 PrinterNightmare Mimikatz Driver Name Sigma rule by Markus Neis, @markus_neis, and Florian Roth に基づきます。 |
| ルール | ステガノグラフィによるファイルの埋め込み | steganography ファイルの埋め込みを検出します。 Pawel マズールの「 Steganography Unzip Hidden Information From Picture File 」シグマ・ルールに基づいています。 |
| ルール | Steganography ファイルの抽出 | steganography ファイルの抽出を検出します。 「 Steganography Extract Files with Steghide 」シグマ・ルール (Pawel マズール) に基づいています。 |
| ルール | RAR によるステガノグラフィ | 不正な Windows ディレクトリー環境変数による特権エスカレーションの試行を検出します。 Rar.EXE X__ジュニア (Nextron Systems) およびフロリアン・ロス (Nextron Systems) によるシグマ・ルールに基づきます。 |
| ルール | SOURGUM アクターによる疑わしい動作 | SOURGUM アクターによる疑わしい動作を検出します。 |
| ルール | 疑わしいバイナリー DLL 実行 (Suspicious Binary DLL Execution) | 指定されたディレクトリーから DLL が実行されたときにトリガーされます。 |
| ルール | 疑わしいバイナリー・ロードと実行 (Suspicious Binary Load and Execution) | 指定されたバイナリーから任意の DLL がロードまたは実行されるとトリガーされます。 |
| ルール | 疑わしい CLR ログの作成 | 疑わしい .NET アセンブリー実行を検出します。 疑わしい CLR ログの作成 (Suspicious CLR Logs Creation) Sigma rule by omkar72、 oscd.community、および Wojciech Lesicki に基づいています。 |
| ルール | 疑わしいユーザー・エージェントの変更 (Suspicious changing of User Agent) | 疑わしいユーザー・エージェントの変更を検出します。 攻撃者は、Web トラフィックに関連付けられたアプリケーション層プロトコルを使用して通信し、既存のトラフィックとブレンドすることで検出/ネットワーク・フィルタリングを回避することができます。 |
| ルール | 管理共有からの疑わしいコピー・コマンド (Suspicious Copy Command from Admin Share) | 管理共有からの疑わしいコピー・コマンドを検出します。 に基づく管理者共有からコピーFlorian Roth (Nextron Systems) によるシグマルール、 oscd.community、テイムル・ケイルカバロフ@HeirhabarovT,ザック・スタンフォード@svch0st、ナスレッディン・ベンチェルチャリ。 |
| ルール | Get-Variable File の疑わしい作成 | get-variable.exe ファイルの疑わしい作成を検出します。 Suspicious Get-Variable.exe Creation Sigma rule by frack113に基づきます。 |
| ルール | 疑わしいクーロン・スケジュール・タスク/ジョブ | クーロン・ユーティリティーの不正使用を検出して、悪意のあるコードの初期実行または繰り返し実行のためのタスク・スケジューリングを実行します。 |
| ルール | 疑わしい Curl ダウンロード (Suspicious Curl Download) | Windows 上で疑わしい curl プロセスの開始を検出し、要求された文書をローカル・ファイルに出力します。 Suspicious Curl.EXE Download Sigma rule by Florian Roth (Nextron Systems), and Nareddine Bencherchali (Nextron Systems) に基づいています。 |
| ルール | 疑わしい二重ファイル拡張子プロセス (Suspicious Double File Extension Process) | 二重ファイル拡張子を持つプロセスを検出します。 フロリアン・ロス (Nextron Systems)、 @blu3_team (アイデア)、および shadow reddine Bencherchali (Nextron Systems) による 疑わしいダブル・エクステンション・ファイル実行 シグマ・ルールに基づいています。 |
| ルール | 疑わしい昇格されたシステム・シェル | Windows コマンド・プロンプトや PowerShell などのシェル・プログラムがシステム特権で起動されるとトリガーされます。 frack113による 疑わしい昇格されたシステム・シェル のシグマ・ルール、および Tim shelton に基づいています。 |
| ルール | 疑わしい EventLog 消去 (Suspicious) | wevtutil、 powershell 、および wmicを使用したイベント・ログの消去を検出します。 |
| ルール | GRP ファイル変換の疑わしい実行 | .grp ファイル変換の疑わしい実行を検出します。 フロリアン・ロス (Nextron Systems) による 疑わしい GrpConv 実行 シグマ・ルールに基づきます。 |
| ルール | 一時ディレクトリーからの Outlook の疑わしい実行 | 一時ディレクトリから実行された Outlook を検出します。 フロリアン・ロス (Nextron Systems) の 「Outlook 一時フォルダーでの実行 (Execution in Outlook Temp Folder)」 シグマ・ルールに基づきます。 |
| ルール | Colorcpl を使用した疑わしい実行 | colorcpl.exeの疑わしい実行を検出します。 frack113による Colorcpl による疑わしい作成 シグマ・ルールに基づいています。 |
| ルール | Office アプリケーションによって作成された疑わしいファイル | Microsoft Office アプリケーションによる実行可能ファイルとスクリプト・ファイルの作成を検出します。 Vadim Khrykov (ThreatIntel) および Cyb3rEng (ルール) による 「Created Files by Office Applications」 シグマ・ルールに基づきます。 |
| ルール | Office アプリケーションを使用した疑わしいファイルのダウンロード | 任意のファイルをダウンロードするために使用されている Microsoft Word、Microsoft Excel、または Microsoft PowerPoint の使用を検出します。 「Office Application を使用した疑わしいファイルのダウンロード (Suspicious File Download Using Office Application)」 シグマ・ルール (Beユ・デニス、および oscd.community) に基づいています。 |
| ルール | 疑わしい変数取得の作成 (Suspicious Get-Variable Creation) | ハイジャック Get-Variable.exeによる PowerShell Persistence を検出します。 Suspicious Get-Variable.exe Creation Sigma rule by frack113に基づきます。 |
| ルール | 疑わしいGetTypeFromCLSIDShellExecute | COM オブジェクトを実行する疑わしい Powershell コードを検出します。 に基づく疑わしいGetTypeFromCLSIDShellExecuteシグマルールfrack113 。 |
| ルール | 疑わしいグループおよびアカウントのスキャン行為アクティビティー | Windows システム上の疑わしいスキャン行為コマンド・ライン・アクティビティーを検出します。 |
| ルール | 疑わしいホスト・ファイル削除アクティビティー (Suspicious Host File Deletion Activity) | ホスト・ファイルがシステムから削除されたときにトリガーされます。 |
| ルール | 疑わしいメモリー内モジュール実行 (Suspicious in-Memory Module Execution) | メモリー・スペースにライブラリーを反射的にロードした疑わしいプロセスによるプロセス・アクセス・イベントを検出します。 Suspicious In-Memory Module Execution Sigma rule by Perez Diego (@darkquassar)、 oscd.community、および Jonhnathan Ribeiro に基づいています。 |
| ルール | 疑わしい Linux ログのクリア | システム上のログをクリアしようとするとトリガーされます。 攻撃者は、侵入の証拠を隠すためにシステム・ログを消去することができます。 「 Clear Linux Logs Sigma rule by オマー・ギュナル, and oscd.community」に基づきます。 |
| ルール | 消去された疑わしい Mac システム・ログ | ローカル監査ログが削除されたときにトリガーされます。 ホスト上のインジケーターの削除-Mac システム・ログのクリア シグマ・ルール (リモート電話と oscd.communityによる) に基づきます。 |
| ルール | 疑わしい Microsoft OneNote 子プロセス | 疑わしい Microsoft Onenote 子プロセスの spawn を検出します。 Suspicious Microsoft OneNote Child Process Sigma rule by Tim Ra地 (Nextron Systems), Nareddine Bencherchali (Nextron Systems), and Elastic (アイデア) に基づいています。 |
| ルール | 疑わしい NTDS プロセス・パターンの引き出し (Suspicious NTDS Process Patterns Exfiltration) | Active Directory データベース (ntds.dit) ファイルを書き込む (コピーする) 疑わしいプロセスを検出します。 NTDS.DIT Creation By Uncommon Process Sigma rule」。 |
| ルール | 疑わしい NTDS プロセス書き込み | NTDS.DIT exfiltration」。 「疑わしいプロセス・パターン (Suspicious Process Patterns)」 NTDS.DIT Exfil シグマ・ルール。 |
| ルール | Office COM オブジェクトの疑わしい新規インスタンス (Suspicious New Instance of an Office COM Object) | Word.Application、 Excel.Applicationなどのいずれかの Office COM オブジェクトのインスタンスを作成する Microsoft Office アプリケーションを検出します。 これは、悪意のあるアクターがマクロを使用して悪意のある Office 文書を作成するために使用できます。 「 Suspicious New Instance Of An Office COM Object 」(ナスレディン・ベンチェルチャリ (Nextron Systems)) に基づいています。 |
| ルール | 疑わしいアウトバウンド SMTP 接続 | SMTP プロトコルを介した引き出しの可能性を検出します。 frack113による 「疑わしいアウトバウンド SMTP 接続 (Suspicious Outbound SMTP Connections)」 シグマ・ルールに基づいています。 |
| ルール | 疑わしい PowerShell キーワード | PowerShell エクスプロイト・フレームワークの使用を示す可能性があるキーワードを検出します。 フロリアン・ロス (Nextron Systems)、ペレスディエゴ (@darkquassar)、トゥアン・ル (NCSGroup) による 潜在的な疑わしい PowerShell キーワード ・シグマ・ルールに基づきます。 |
| ルール | Get-Process を使用した疑わしいプロセス検出 (Suspicious Process Discovery With Get-Process) | ディスカバリーを実行している攻撃者を検出し、ローカル・コンピューター上で実行されているプロセスを取得します。 frack113の 「Get-Process による疑わしいプロセス・ディスカバリー (Suspicious Process Discovery With Get-Process)」 シグマ・ルールに基づいています。 |
| ルール | Microsoft HTML ヘルプからの疑わしいプロセス | Microsoft HTML ヘルプから作成された疑わしいプロセスを検出します。 HTML Help HH.EXE 疑わしい子プロセス Maxim Pavlunin、および Nareddine Bencherchali (Nextron Systems) によるシグマ・ルール。 |
| ルール | 疑わしいプログラム・ロケーションとネットワーク接続 (Suspicious Program Location with Network Connections) | 疑わしいファイル・システム・ロケーションで実行されているネットワーク接続を持つプログラムを検出します。 フロリアン・ロスの「 Suspicious Program Location with Network Connections 」に基づいています。 |
| ルール | 疑わしいプロキシー・バイナリー実行 (Suspicious Proxy Binary Execution) | システム・バイナリーがプロキシーから実行されたときにトリガーされます。 |
| ルール | 疑わしい PsExec アクティビティー | 疑わしい PsExec アクティビティーを検出します。 Impacket PsExec Execution Sigma rule by Bhabesh ベッシ・ラージに基づいています。 |
| ルール | 疑わしいリモート名前付きパイプ (Suspicious Remote Named Pipe) | リモートからアクセスされた新しく監視された名前付きパイプを使用して、水平移動およびリモート実行のシナリオを検出します。 Samir Bousseaden の 「First Time Seen Remote Named Pipe」 シグマ・ルールに基づいています。 |
| ルール | 疑わしいスケジュール済みタスク (Suspicious Scheduled Task) | パスやコマンド・ライン・フラグなどの属性に基づいて、疑わしいスケジュール済みタスクの作成イベントまたは更新イベントを検出します。 「 疑わしいスケジュール済みタスクの作成 (Suspicious Scheduled Task Creation) 」に基づいています。 |
| ルール | WMI コンシューマーでの疑わしいスクリプト (Suspicious Scripting in a WMI Consumer) | WMI イベント・コンシューマーのスクリプト /PowerShell に関連する疑わしいコマンドを検出します。 フロリアン・ロス (Nextron Systems) と Jonhnathan Ribeiro による WMI コンシューマーの疑わしいスクリプティング シグマ・ルールに基づきます。 |
| ルール | RazerInstaller | RazerInstaller.exeから疑わしいサブプロセスを検出します。 Suspicious RazerInstaller Explorer Subprocess Sigma rule by Florian Roth, and Maxime Thiebaut に基づきます。 |
| ルール | 疑わしい Svchost 実行異常 (Suspicious Svchost Execution Anomaly) | 悪意のあるプロセスがプロセスを spawn し、プロセス・メモリー・スペースにコードを注入したときに通常観察される、CLI 引数なしで実行された svchost.exe を検出します。 David Burkett の 「疑わしい Svchost アクティビティー (疑わしい Svchost Activity)」 シグマ・ルール、および @signalblurに基づきます。 |
| ルール | PowerShell スクリプトを介した疑わしい TCP トンネル | トンネリング・アクティビティーを示す可能性があるソケット/リスナーを作成する PowerShell スクリプトを検出します。 「 Suspicious TCP Tunnel Via PowerShell Script Sigma rule by Nareddine Bencherchali (Nextron Systems)」に基づいています。 |
| ルール | 疑わしい有効なアカウントのログオン (Suspicious Valid Accounts Logon) | 有効なアカウントからの疑わしいログインが検出されたときにトリガーされます。 |
| ルール | 疑わしい WMIC の実行 (Suspicious WMIC Execution) | 疑わしいコマンドまたは調整コマンドを実行している WMIC を検出します。 Suspicious WMIC Execution Sigma rule by Michael Haag, Sigian Roth, juju4, and oscd.communityに基づいています。 |
| ルール | 疑わしい WebDav クライアント実行 | WebDav サーバーでホストされているコードを起動するための WebDav の引き出しの試行または使用を検出します。 WebDav Client Execution Sigma rule by Roberto ロドリゲス (Cyb3rWard0g)、および OTR (Open Threat Research) に基づいています。 |
| ルール | 作成されたパスワードへの Symlink | /etc/passwd ディレクトリーに作成された symlink を検出します。 フロリアン・ロスの Symlink 同等 Passwd シグマ規則に基づきます。 |
| ルール | システム所有者またはユーザーのディスカバー (Linux) | システム所有者またはユーザーのディスカバリー・アクティビティーを検出します。 Timur Zinniatullin による システム所有者またはユーザー・ディスカバリー ・シグマ・ルール、および oscd.communityに基づいています。 |
| ルール | システム所有者またはユーザー・ディスカバリー (Windows) | システム所有者またはユーザーのディスカバリー・アクティビティーを検出します。 Timur Zinniatullin、Danslavsky、および oscd.communityによる ローカル・アカウント・ディスカバリー ・シグマ・ルールに基づきます。 |
| ルール | システム時間ディスカバリー・アクティビティー | システム時刻ディスカバリー・アクティビティーを検出します。 |
| ルール | PowerShell によるトークンの偽名の使用 | トークンの偽名の使用または盗難に関連する Windows API 機能を利用して、攻撃者を検出します。 |
| ルール | ネットワーク共有を介した資格情報データを使用したファイルの転送 | ネットワーク共有を使用して、既知のファイル名を持つファイル (資格情報データを持つ機密ファイルなど) を転送しようとする試みを検出します。 ネットワーク共有を介した資格情報データを使用したファイルの転送 Teymur Kheirkhabarov および oscd.communityによるシグマ・ルールに基づいています。 |
| ルール | インストール済み Turla サービス | 悪意のある APT によって認識される悪意のあるサービスがインストールされるとトリガーされます。 |
| ルール | UAC リモート制限が無効 | リモート管理アクションを許可するレジストリー変更を検出します。 Steven ディック、Teoderick コントレラス、および Splunkによる Disable UAC Remote Restriction のシグマ・ルールに基づいています。 |
| ルール | HWP から作成された非共通プロセス (Uncommon Process Spawn from HWP) | ハングル・ワード・プロセッサー (Hanword) から作成された一般的でないプロセスを検出します。 フロリアン・ロス (Nextron Systems) による 「Suspicious HWP Sub Processes」 シグマ・ルールに基づきます。 |
| ルール | 異なるプロセスからの異常な子プロセス | 異なるプロセスからの異常な子プロセスを検出します。 Abused Debug Privilege by 任意 Parent Processes Sigma rule by Semanur guneysu @semanurtg、および oscd.communityに基づいています。 |
| ルール | 複数の明示的な資格情報によるユーザー認証 | 明示的な資格情報を使用して複数のターゲット・ユーザーで認証しようとしているユーザーを検出します。 |
| ルール | Fortinet 脆弱性を悪用したユーザー作成 | Fortinet の脆弱性を悪用してユーザーの作成を検出します。 Windows (ユーザー) での Fortinet APT グループの悪用 シグマ・ルール (減分数) に基づいています。 |
| ルール | Office アプリケーション経由でロードされた VBA DLL | VBA マクロの存在を示す可能性がある、Microsoft Office アプリケーションによってロードされた VB DLL を検出します。 「 VBA DLL Loaded Via Office Application 」Sigma rule by テロヴェスdnbに基づいています。 |
| ルール | VirtualBox ドライバーのインストールまたは開始 | VirtualBox ドライバーのインストールまたは仮想マシンの開始を検出します。 Janantha Marasingへの Detect Virtualbox Driver Installation OR Starting Of VMs シグマ・ルールに基づきます。 |
| ルール | 脆弱なドライバーがロードされました | 脆弱なドライバーがロードされたときにトリガーされます。 Michael Haag、および Splunkによる Windows Vulnerable Driver Loaded Sigma 規則に基づいています。 |
| ルール | WMI イベント・コンシューマー・パーシスタンス | WMI コマンド行イベント・コンシューマーを検出します。 Thomas Patzke の「 WMI Persistence-Command Line Event Consumer 」シグマ・ルールに基づきます。 |
| ルール | WScript または CScript ドロップ・ファイル | jse、 vbe、 js、 vba、または vbs で終わるファイルが cscript.exe または wscript.exeによって書き込まれていることを検出します。 WScript or CScript Dropper-File Sigma rule by Tim shelton に基づきます。 |
| ルール | レジストリー経由での Windows イベント・ロギングの無効化 | Windows イベント・チャネルの Windows ロギングを無効にするための「Enabled」レジストリー・キーの改ざんを検出します。 「 Disable Windows Event Logging Via Registry Sigma rule by frack113」および「nasreddine Bencherchali」に基づきます。 |
| ルール | Windows レジストリー信頼レコードの変更 | Windows レジストリー・トラスト・レコードの変更を検出します。 Windows レジストリー・トラスト・レコードの変更 Sigma rule by キャリー lovesdnb に基づきます。 |