Sysmon
IBM Security QRadar Sysmon Content Extension は、Sysmon ログを使用して Windows エンドポイント上の高度な脅威を検出します。
Sysinternals Sysmon サービスは、複数のイベント ID を Windows システムに追加します。 これらの新しいイベント ID は、システム・プロセス、ネットワーク・アクティビティー、およびファイルをモニターするためにシステム管理者が使用します。 Sysmon は、Windows セキュリティー・ログよりも詳細なビューを提供します。 Sysmon について詳しくは、 Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/) を参照してください。
このコンテンツ拡張は、PowerShell の濫用、隠れた Windows プロセス、ファイルレス・メモリー攻撃、コード難読化といった多数の高度な脅威を検出するための複数のユース・ケースを提供します。 このコンテンツ拡張には、こうした脅威を検出する上で役立つ新しいオフェンス・ルール、ビルディング・ブロック、リファレンス・セット、およびカスタム関数が組み込まれています。
このコンテンツ拡張で扱われているユース・ケースについて詳しくは、以下のビデオを参照してください。
Fix Central にあるこのパッケージには、< MONTH> < YEAR> 仮想デバイス・セキュリティー更新とオプション・パッケージのみが含まれています。このリリースをインストールしても、アプリケーション・ホストは更新されず、アプリケーション・ホストのバージョンは変更されません。 アプリケーション・ホストのインストールまたは更新には、アプリケーション・ホスト < VERSION> を使用してください。
| ビデオのタイトル | ビデオのリンク |
|---|---|
| Sysmon PowerShell Use Case 1 | https://youtu.be/PWiw-RpLIbw |
| Sysmon PowerShell Use Case 2 | https://youtu.be/_eaMMo8sPtA |
| Sysmon PowerShell Use Case 3 | https://youtu.be/sZUAuYpSe7Q |
| Sysmon Use Case 4 Bogus Windows Processes | https://youtu.be/gAS-B9gb3RY |
| Sysmon Use Case 5 Detecting other Libraries | https://youtu.be/omWnyACNEcM |
| Sysmon Use Case 6 Nasty Injection & Encoded Attacks | https://youtu.be/kC2hIJxqF8Q |
| QRadar Privilege Escalation Detection Use Case 7 | https://www.youtube.com/watch?v=yitGRL-WJCM |
| QRadar Privilege Escalation Continued Use Case 8 | https://www.youtube.com/watch?v=8u6G6SEw3kE |
| Sysmon Use Case 9 - More Privilege Escalation Detection | https://www.youtube.com/watch?v=0Wy59Otr_Ag |
| Sysmon Use Case 10 - Creating an Admin Account | https://www.youtube.com/watch?v=bJgaFSjuMSs |
| Sysmon Detecting Name Pipe Impersonation | https://www.youtube.com/watch?v=pSBQ7NabDUY |
| Sysmon Detecting Mimikatz | https://www.youtube.com/watch?v=gKa_CZAz3Jc |
| QRadar Lateral Movement Detection, Example One | https://www.youtube.com/watch?v=IBEIN9sl4lk |
| QRadar Lateral Movement Detection Example Two | https://www.youtube.com/watch?v=whjpScDYaY4 |
| QRadar Lateral Movement Detection Example Three (Plain Windows Features) | https://www.youtube.com/watch?v=7PXzi3pbmFo |
IBM セキュリティ QRadar シスモン
- IBM セキュリティ QRadar Sysmon Content Extension 1.3.2
- IBM Security QRadar Sysmon コンテンツ拡張 1.3.1
- IBM Security QRadar Sysmon コンテンツ拡張 1.3.0
- IBM Security QRadar Sysmon コンテンツ拡張 1.2.1
- IBM Security QRadar Sysmon コンテンツ拡張 1.2.0
- IBM Security QRadar Sysmon コンテンツ拡張 1.1.3
- IBM Security QRadar Sysmon コンテンツ拡張 1.1.2
- IBM Security QRadar コンテンツ拡張 1.1.1
- IBM Security QRadar Sysmon コンテンツ拡張 1.1.0
- IBM Security QRadar Sysmon コンテンツ拡張 1.0.0
IBM セキュリティ QRadar Sysmon Content Extension 1.3.2
以下の表は、 IBM Security QRadar Sysmon Content Extension 1.3.2 で名前が変更されるカスタムプロパティ、ルール、ビルディングブロックを示しています。
| 古い名前 | 新しい名前 |
|---|---|
| ServiceFileName | サービス・ファイル名 (Service Filename) |
| ParentCommandLine | 親コマンド (Parent Command) |
| TargetImage | ターゲット・プロセス・パス (Target Process Path) |
| プロセス・コマンド行 | コマンド |
| StartModule | 開始モジュール (Start Module) |
| RunLevel | 実行レベル (Run Level) |
| PS エンコードされたコマンド (PS Encoded Command) | エンコードされたコマンド (Encoded Command) |
| ターゲット・イメージ名 (Target Image Name) | ターゲット・プロセス名 (Target Process Name) |
| プロセス GUID (Process Guid) | プロセス GUID (Process GUID) |
| PipeName | パイプ名 (Pipe Name) |
| StartFunction | 開始関数 (Start Function) |
IBM Security QRadar Sysmon コンテンツ拡張 1.3.1
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.3.1で更新されたカスタム・プロパティーを示しています。
| 名前 | 説明 |
|---|---|
| イメージ | これで、 "\bImage:\s.?\\([\\]?)(?:FileVersion|CommandLine):\s" 式は "\bImage:\s.?\\([\\]?)\s(?:FileVersion|CommandLine):\s" になります。 |
IBM Security QRadar Sysmon コンテンツ拡張 1.3.0
「複数のホストでスケジュールされたタスクを検出しました (Detected a Scheduled Task over Multiple Hosts)」 カスタム・ルールが、そのルール・フィルターに対する更新を受け取りました。 この更新は、複数のコマンドが実行された場合にそれぞれが独自のオフェンスを取得するようにするための機能変更です。
IBM Security QRadar Sysmon コンテンツ拡張 1.2.1
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.2.1で更新されたカスタム・プロパティーを示しています。
| 名前 | 説明 |
|---|---|
| イメージ | これで、 New Process Name:\s(.*?)Token Elevation Type\: 式は New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type) になります。 |
| ShareName | これで、 Share\sName\:\s*(?:\\\\\*\\)(.*)\s\sShare\sPath 式は Share\sName\:\s*(?:\\\\\*\\)(.*?)\s+Share\sPath になります。 |
IBM Security QRadar Sysmon コンテンツ拡張 1.2.0
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.2.0のカスタム・プロパティーを示しています。
| 名前 | 説明 |
|---|---|
| イメージ | 「SourceImage\:\s(.*)\sTargetProcessGuid」式を「SourceImage\:\s(.*?)\sTargetProcessGuid」に変更 「Image:\s(.*)\sUser\:」式を「Image:\s(.*?)\sUser\:」に変更 「Image:\s(.*?)\s(FileVersion|CommandLine):」式を「\bImage:\s(.*?)\s(?:FileVersion|CommandLine):」に変更 「New\sProcess\sName:\s*(.*)\s{2}Token\sElevation\sType\:」式を「New Process Name:\s(.*?)Token Elevation Type\:」に変更 「SourceImage\:\s(.*)\sTargetProcessG」式を「SourceImage\:\s.*?\\([^\\]*?)\sTargetProcessG」に変更 以下の式は無効になりました。
|
| ImageName | 「Image:\s(?:.*\\)?(.*?)\s(?:FileVersion|CommandLine):\s」式を「\bImage:\s.*?\\([^\\]*?)(?:FileVersion|CommandLine):\s」に変更 「Image:\s(?:.*\\)?(.*)\sImageLoaded」式を「Image:.*?\\([^\\]*?)\sImageLoaded」に変更 「Image:\s(?:.*\\)?(.*)\sTargetFilename\:」式を「Image:.*?\\([^\\]*?)\sTargetFilename」に変更 「Image:\s(?:.*\\)?(.*)\sUser\:」式を「Image:\s.*?\\([^\\]*?)\sUser\:」に変更 「Image\:\s(?:.*\\)?(.*)\sTargetObject」式を「Image\:\s.*?\\([^\\]*?)\sTargetObject」に変更 「SourceImage\:\s(?:.*\\)?(.*)\sTargetProcessGuid」式を「SourceImage\:\s.*?\\([^\\]*?)\sTargetProcessGuid」に変更 「New\sProcess\sName:\s*(?:.*\\)?(.*)\s{2}Token\sElevation\sType\:」式を「New Process Name:\s.*?\\([^\\]*?)Token Elevation Type\:」に変更 以下の式は無効になりました。
|
| プロセス・コマンド行 | 「Process Command Line:\s(.*)\sToken Elevation Type」式を「Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type)」に変更 |
| ServiceName | 「Service Name\:\s*(.*)\sService\sFile」式を「(?i)Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)」に変更 |
| SourceImage | このカスタム・プロパティーは、コンテンツ拡張から削除されました。 |
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.2.0で更新されたルールを示しています。
| 名前 | 説明 |
|---|---|
| 共有フォルダーから起動されたプロセスによるスレッド作成 | SourceImage カスタム・プロパティーの代わりに Image カスタム・プロパティーを使用するようになりました。 |
IBM Security QRadar Sysmon Content Extension 1.2.0 の以下のルールとビルディングブロックは、 IBM Security QRadar Endpoint content extension のルールと重複しているため、削除されました。
- BB:BehaviorDefinition:管理用シェアにアクセスしました
- SAM レジストリー・キーを使用した資格情報ダンプ
- プログラミング環境でのエンコードされたコマンドの悪意のある使用
- Fodhelper を使用した Fileless UAC バイパス
- sdclt を使用したファイルなし UAC バイパス
- Windows イベント・ビューアーを使用したファイルなし UAC バイパス
- 通常ではないプロセスによって起動されるプロセス
- 特権アカウントで開始されたプログラミング環境
- Powershell を使用するように構成されたサービス
- Suspicious PSExec Module Usage Detected
「疑わしい PSExec モジュールの使用が検出されました (Suspicious PSExec Module Usage Detected)」 ルールは、以前は Metasploit PSExec Module Usageと呼ばれていました。
「PowerShell 悪意のある使用が検出されました」 ルールが削除され、エンドポイント・コンテンツ・パックの 「ファイルのデコードまたはダウンロードの後に疑わしいアクティビティーがあります」 に置き換えられました。
IBM Security QRadar Sysmon コンテンツ拡張 1.1.3
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.3のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| サービス名 | はい | 1 | Service Name¥:¥s*(.*)¥sService¥sFile |
| ServiceFileName | はい | 1 | Service\sFile\sName\:\s*(.*)\sService\sType |
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.3のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | エンコードされたコマンドによるダウンロードが開始されました | このルールは、PowerShell スクリプトのダウンロードがプログラミング環境タイプ cmd または Powershell から開始されたときにトリガーされます。 |
| ルール | 悪意のあるサービスがインストールされました | このルールは、悪意のあるサービスとして分類されたサービスがインストールされたときにトリガーされます。 |
| ルール | Metasploit PSExec モジュールの使用法 | このルールは、PSExec モジュールの使用が検出されたときにトリガーされます。 |
| ルール | 危殆化されたホストで監視された PSExec プロセス | このルールは、セキュリティーの危険があるホスト上で PsExec プロセスが検出されたときにトリガーされます。 |
| ルール | Remote Management Service Connected to lsass Pipe (lsass パイプに接続されたリモート管理サービス) | このルールは、リモート管理サービスが lsass パイプに接続されているときにトリガーされます。 |
| ルール | 共有フォルダーにあるサービス・バイナリー | このルールは、サービス・バイナリーが共有フォルダーにあるときにトリガーされます。 |
| ルール | パイプを使用するように構成されたサービス | このルールは、サービスがパイプを使用するように構成されているときにトリガーされます。 |
| ルール | Powershell を使用するように構成されたサービス | このルールは、サービスが Powershell を使用するように構成されているときにトリガーされます。 |
| ルール | 危殆化されたホストにインストールされたサービス | このルールは、セキュリティーの危険があるホスト上でサービスが作成されたときにトリガーされます。 |
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.3で名前変更されたカスタム・プロパティー、ルール、およびビルディング・ブロックを示しています。
| 古い名前 | 新しい名前 |
|---|---|
| A Hidden Network Share Has Been Added | 追加された非表示のネットワーク共有 |
| A Malicious Service Has Been Installed in a System | 悪意のあるサービスがインストールされました |
| A Network Share Has Been Accessed From a Compromised Host | 危殆化されたホストからアクセスされたネットワーク共有 |
| 危殆化されたホストでネットワーク共有が追加された | 危殆化されたホストへのネットワーク共有の追加 |
| パイプが作成され、その後、作成されたパイプに接続するためのサービス・バイナリー・パスが更新されました | 作成されたパイプの後にサービス・バイナリー・パスの更新 |
| a Remoting Service Created a Powershell Script File (Powershell スクリプト・ファイルを作成したリモート・サービス) | リモート管理サービスによって作成された Powershell スクリプト |
| A Scheduled Task Has Been Created in a Compromised Host | 危殆化されたホストで作成されたスケジュール・タスク |
| 危殆化されたホストにサービスがインストールされました | 危殆化されたホストにインストールされたサービス |
| Abnormal Parent for a System Process | システム・プロセスの異常な親 |
| An Administrative share Has Been Accessed | アクセスされた管理共有 |
| An Administrative share Has Been Accessed From a Compromised Machine | 危殆化されたホストからアクセスされた管理共有 |
| BB: スケジュール済みタスクが作成されました (BB: A Scheduled Task Has Been Created) | BB:CategoryDefinition:スケジュールタスクの作成 |
| BB: 管理共有がアクセスされました (BB: An Administrative share Has Been Accessed) | BB:BehaviorDefinition:管理用シェアにアクセスしました |
| BB: CreateRemoteThreadが検出されました | BB:CategoryDefinition: リモートスレッド作成 |
| BB: CreateRemoteThreadが除外されたケース | BB:BehaviorDefinition: リモート・スレッド作成の誤検出 |
| BB: Powershell プロセスの検出 | BB:CategoryDefinition: プログラミング環境 |
| BB: プロセス作成イベント・パート 2 に基づいてスケジュール済みタスクを検出しました | BB:CategoryDefinition: プロセスによるスケジュールタスクの作成 |
| BB: アクセスされた通常の Windows プロセス lsass.exe | BB:CategoryDefinition: lsassへのアクセスを許可されたプロセス |
| BB: Pipe Has Been Created | BB:CategoryDefinition: パイプの作成 |
| BB: プロセスがネットワーク接続を作成した | BB:CategoryDefinition: ネットワーク接続 |
| BB: PsExec が検出されました | BB:BehaviorDefinition: PsExec 観測されるプロセス |
| BB: サービス・バイナリー・パスが設定または更新されました (Service Binary Path Has Been Set or Updated) | BB:BehaviorDefinition: サービス・バイナリ・パスの設定または更新 |
| Childless Process Launched/Spawned a Process | 通常ではないプロセスによって起動されるプロセス |
| Command Shell Started With a System Privileges | 特権アカウントで開始されたプログラミング環境 |
| Fodhelper を使用したファイルなし UAC バイパスの検出 | Fodhelper を使用した Fileless UAC バイパス |
| Detected a Fileless UAC Bypass using sdclt (sdclt を使用したファイルなし UAC バイパスの検出) | sdclt を使用したファイルなし UAC バイパス |
| Windows イベント・ビューアーを使用したファイルなし UAC バイパスの検出 | Windows イベント・ビューアーを使用したファイルなし UAC バイパス |
| 新しい未確認ハッシュで開始された既知のプロセスを検出しました | 異なるハッシュで開始された既知のプロセス |
| Windows レジストリーで長い値を検出しました (Detected a Long Value in Windows Registry) | Windows レジストリーでの異常な値のサイズ |
| lsass プロセスへの悪意のあるアクセスの検出 | lsass プロセスへの疑わしいアクセス |
| 不明な呼び出しトレースから lsass プロセスへの悪意のあるアクセスが検出されました | 不明な呼び出しトレースからの lsass プロセスへの疑わしいアクセス |
| Detected a New Unseen Process Started with a System User Privileges | 特権アカウントで開始された新規プロセス |
| Detected a Possible Credential Dumping Tool | 潜在的な資格情報ダンプ・ツールの検出 |
| Detected a Possible Keylogger | 検出された潜在的なキー・ロガー |
| Detected a Remotely Executed Process over Multiple Hosts | 複数のホストでのリモート・プロセス実行 |
| Lsass Pipe に接続されたリモート・サービスの検出 (Detected a Remoting Service Connected to Lsass Pipe) | Remote Management Service Connected to lsass Pipe (lsass パイプに接続されたリモート管理サービス) |
| Detected a Scheduled Task over Multiple Hosts (複数のホストにわたるスケジュール済みタスクの検出) | 複数のホストで作成されたスケジュール済みタスク |
| 変更されたサービス・バイナリー・パスの後にユーザーまたはグループが追加されたことを検出しました | サービス・バイナリー・パスの更新後にユーザーまたはグループの変更が続く |
| Detected a Service Configured to Use a Pipe | パイプを使用するように構成されたサービス |
| Detected a Service Configured to Use Powershell | Powershell を使用するように構成されたサービス |
| Detected a Service with an Executable Binary Located in a Shared Folder (共有フォルダーにある実行可能バイナリーを持つサービスの検出) | 共有フォルダーにあるサービス・バイナリー |
| Detected a Suspicious Svchost Process | 疑わしい Svchost プロセス |
| Detected Abnormal Parent for a Process | プロセスの通常ではない親 |
| Detected An Unknown/Unseen Process (Based On The Process Hash) (不明/未確認プロセス (プロセス・ハッシュに基づく) を検出しました) | 不明なプロセス・ハッシュの監視 (Unknown Process Hash Observed) |
| Detected an Unknown/Unseen Process (Based on The Process Name) (不明/未確認のプロセスの検出 (プロセス名に基づく)) | 不明なプロセス名の監視 (Unknown Process Name Observed) |
| SC コマンドの過剰な実行の検出 | SC コマンドの過剰使用 |
| Detected Excessive Usage of System Tools From a Single Machine | 単一ホストからの過剰なシステム・ツールの使用 |
| IMP ハッシュに基づく Mimikatz の検出 (Detected Mimikatz Based on IMP Hash) | Mimikatz IMP Hash Observed (Mimikatz IMP ハッシュの観測) |
| Detected PsExec (異なるプロセス名を持つ) | PsExec プロセス・マスカレーディング |
| Excessive Failed Attempts to Access a Network Shared Resource From a Compromised Host | 危殆化されたホストからの過度のネットワーク共有アクセス失敗 |
| Excessive Failed Attempts to Access an Administrative Share From a Single source | 同じホストからの過剰な管理共有アクセスの失敗 |
| パイプに接続された Lsass プロセス | パイプに接続された Lsass プロセス |
| Metasploit PSExec モジュールが検出されました (Metasploit PSExec Module has been detected) | Metasploit PSExec モジュールの使用法 |
| qwerty 引数を指定した rundll32 に基づいて検出された可能性のある Locky ランサムウェア | qwerty 引数を使用したRundll32 |
| UAC バイパスの可能性-スケジュールされたタスクは最高特権で実行するように構成されています | UAC バイパス-最高特権で実行するように構成されたスケジュール済みタスク |
| PowerShell が起動されました | Powershell プロセスの監視 (Powershell Process Observed) |
| Powershell Has Been Launched in a Compromised Host | 危殆化したホストで監視された PowerShell プロセス |
| Powershell Malicious Usage Detected with Encoded Command | プログラミング環境でのエンコードされたコマンドの悪意のある使用 |
| EncodedCommandを使用した Powershell スクリプトのダウンロード | エンコードされたコマンドによるダウンロードが開始されました |
| プロセス・ベースライン: プロセス・ハッシュ | プロセス・ベースライン: プロセス・ハッシュ |
| プロセス・ベースライン: プロセス名 | プロセス・ベースライン: プロセス名 |
| プロセス・ベースライン: ハッシュするプロセス名 (Process Baselining: Process Name to Hash) | プロセス・ベースライン: ハッシュするプロセス名 (Process Baselining: Process Name to Hash) |
| プロセス・ベースライン: プロセス名から親プロセス | プロセス・ベースライン: プロセス名から親プロセス |
| プロセス・ベースライン: システム・ユーザー特権で開始されたプロセス | プロセス・ベースライン: システム・ユーザー特権で開始されたプロセス |
| 一時ディレクトリーから起動されたプロセスからスレッドが作成されたプロセス | 一時ディレクトリーから起動されるプロセスによるスレッド作成 |
| プロセスが別のプロセスにスレッドを作成した | 初期プロセスとは異なるプロセスへのスレッド作成 |
| プロセスがスレッドを作成して lsass プロセスに入れる | lsass プロセスへのスレッド作成 (Thread Creation into lsass Process) |
| プロセスがシステム・プロセスにスレッドを作成 | システム・プロセスへのスレッド作成 |
| 共有フォルダーから起動されるプロセス | 共有フォルダーから起動されるプロセス |
| Process Launched From a Shared Folder and Created Thread into Another Process | 共有フォルダーから起動されたプロセスによるスレッド作成 |
| Process Launched From Temp Directory | 一時ディレクトリーから起動されたプロセス |
| 一時ディレクトリーからロードされたプロセス実行可能ファイル | 一時ディレクトリーからロードされた実行可能ファイル |
| Process Started from Unusual Directories (Recycle.bin, ..) | 通常ではないディレクトリーから起動されたプロセス |
| PsExec が検出されました | PsExec プロセスの監視 (Observed) |
| PsExec Has Been Launched From a Compromised Host | 危殆化されたホストで監視されたPsExec プロセス |
| SAM レジストリー・キー-サブキー (ユーザー) の列挙 | SAM レジストリー・キーを使用した資格情報ダンプ |
| サービスのバイナリパスが更新され、同じプロセスからCreateRemoteThreadが検出されました | サービス・バイナリー・パスの更新後にリモート・スレッドが作成される |
| サービス・バイナリー・パスが更新され、続いて同じプロセスからのネットワーク接続が更新されました | サービス・バイナリー・パスの更新に続いてネットワーク接続 |
| シャドー・コピーの削除が検出されました | シャドー・コピー削除 |
| システム・プロセスが通常とは異なるディレクトリーから開始されました | 通常とは異なるディレクトリーから起動されるシステム・プロセス |
| 署名されていないドライバーが Windows カーネルにロードされました | 署名されていないドライバーが Windows カーネルにロードされました |
| lsass.exeにロードされた未署名の実行可能ファイル | Unsigned 実行可能ファイルが lsass にロードされました |
| 機密システム・プロセスにロードされた署名されていない実行可能ファイル | 署名されていない実行可能ファイルが機密システム・プロセスにロードされました |
| Whoami /groups Has Been Executed | グループまたはアカウントのディスカバリー |
IBM Security QRadar Sysmon コンテンツ拡張 1.1.2
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.2のカスタム・プロパティーを示しています。
| 名前 | 正規表現 |
|---|---|
| イメージ | Image:\s(.*?)\s(FileVersion|CommandLine): |
| ImageName | Image:\s(?:.*\\)?(.*?)\s(?:FileVersion|CommandLine):\s |
| LoadedImage | ImageLoaded:\s(.*?)\s(FileVersion|Hashes)\: |
| LoadedImageName | ImageLoaded\:\s(?:.*\\)(.*?)\s*(FileVersion|Hashes)\: |
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.2のルールおよびビルディング・ブロックを示しています。
| 名前 | 説明 |
|---|---|
| プロセス・ベースライン: ハッシュするプロセス名 (Process Baselining: Process Name to Hash) | 「ProcessNametoHashRefMapOfSetKeys」リファレンス・セットに取り込むルール応答を追加しました。 |
| プロセス・ベースライン: プロセス名から親プロセス | 「ProcesstoParentProcessPathRefMapKeys」リファレンス・セットに取り込むルール応答を追加しました。 |
| 新しい未確認ハッシュで開始された既知のプロセスを検出しました | 既知のプロセスが新しい不明なハッシュで開始された場合にそれを検出します。 |
| Detected Abnormal Parent for a Process | プロセスの異常な親を検出します。 |
| プロセス・ベースライン: プロセス・ハッシュ | プロセス・ハッシュのベースラインを設定します。 |
| プロセス・ベースライン: プロセス名 | 標準の Windows ログまたは Sysmon ログを使用してプロセス名のベースラインを設定します。 |
| Detected An Unknown/Unseen Process (Based On The Process Hash) (不明/未確認プロセス (プロセス・ハッシュに基づく) を検出しました) | 異常または不明なプロセス・ハッシュを検出します。 |
| Detected an Unknown/Unseen Process (Based on The Process Name) (不明/未確認のプロセスの検出 (プロセス名に基づく)) | 異常または不明なプロセス名を検出します。 |
| Process Launched From a Shared Folder and Created Thread into Another Process | ルール・テストの 1 つを更新しました。 |
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.2のリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | プロファイルされたプロセス名 | プロセス名のベースライン・リストを保管します。 |
| リファレンス・セット | プロファイルされたプロセス・ハッシュ | プロセス・ハッシュのベースライン・リストを保管します。 |
| リファレンス・セット | ProcessNametoHashRefMapOfSetKeys | プロセス名をそのハッシュにマップするセットのマップで使用されるキーを保管します。 |
| リファレンス・セット | ProcesstoParentProcessPathRefMapKeys | プロセス名をその親プロセスにマップするセットのマップで使用されるキーを保管します。 |
| セットのリファレンス・マップ | ProcessMaptoProcessParentPath | エレメント・タイプを英数字 (大/小文字は無視) に変更しました。 |
| セットのリファレンス・マップ | ProcessNametoHash | エレメント・タイプを英数字 (大/小文字は無視) に変更しました。 |
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.2の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| 不明なプロセス・ハッシュが開始されました | 検索基準を更新しました。 |
| Abnormal Parent for a Process (プロセスの異常な親) | 検索基準を更新しました。 |
| 不明なプロセス名が開始されました | この検索では、プロセス名に基づいて不明なプロセスが示されます。 |
IBM Security QRadar コンテンツ拡張 1.1.1
- ルール: Detected a Known Process Started With Unseen Hash
- ルール: Detected Abnormal Parent for a Process
- カスタム関数: checkWithMapOfSets
- カスタム関数: IsItWhiteListedProcess
IBM Security QRadar Sysmon コンテンツ拡張 1.1.0
- 特権のエスカレーション
- ファイルレスのユーザー・アカウント制御 (UAC) のバイパス
- 資格情報のダンプ
- 側方移動技法
- Metasploit PSExec の実装
- 悪意のある PowerShell 使用
このバージョンには、新しいカスタム・プロパティー、保存済み検索、および AQL カスタム関数も組み込まれています。 Sysmon カスタム関数の許可トークンを構成するために、新しいアイコンが QRadar 管理設定に追加されました。
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.1.0 に含まれる変更内容について説明しています。
| タイプ | 名前 | 変更の説明 |
|---|---|---|
| ルール | Unusual Process (ex: word, iexplore, AcroRd..) Launched a Command Shell | MS Word、Internet Explorer、Acrobat Reader などの通常とは異なるプロセスがコマンド・シェルまたは PowerShell を開始する場合にそれを検出します。 |
| ルール | Detected a Remotely Executed Process over Multiple Hosts | PowerShell、wmi、または PSExec を既知の側方移動技法として使用する、リモート側で実行されるプロセスを検出します。 |
| ルール | Detected a Scheduled Task over Multiple Hosts (複数のホストにわたるスケジュール済みタスクの検出) | 複数のホストでスケジュールされたタスクを検出します。 |
| ルール | Metasploit PSExec モジュールが検出されました (Metasploit PSExec Module has been detected) | PSExec ツールの Metasploit 実装を検出します。 |
| ルール | PsExec Has Been Launched From a Compromised Host | セキュリティーの危険があるホストとしてマークされたホストから PSExec が起動される予定の場合にそれを検出します。 |
| ルール | PSExec が検出されました (PSExec has been Detected) | ホストが PSExec を起動した場合にそれを検出します。 |
| ルール | Detected PSExec with a Different Process Name (異なるプロセス名を持つ検出された PSExec) | PSExec が別の名前でアップロードされた場合にそれを検出します。 |
| ルール | Command Shell Started With a System Privileges | エスカレートされた特権でコマンド・シェルが開始された場合にそれを検出します。 例えば、一般ユーザーが Windows システム・ユーザーとしてコマンド・シェルを開始する場合です。 |
| ルール | プロセス・ベースライン: システム・ユーザー特権で開始されたプロセス | どのプロセスが通常はシステム特権で開始されるかに関するベースラインを設定します。 このベースラインは、新規プロセスがシステム特権で開始された場合にそれを検出するために他のルールによって使用されます。 このベースラインは、特権のエスカレーションが試行されたかどうかを示すことができます。 |
| ルール | Detected a New Unseen Process Started with a System User Privileges | 新規または異常なプロセスがシステム特権で開始された場合にそれを検出します。 デフォルトでは、このルールは無効になっています。 このルールを有効にする前に、保守ルーチンの一環としてプロセス・ベースライン・ルールを 1 週間実行してください。 |
| ルール | プロセス・ベースライン: プロセス名から親プロセス | 各プロセスの親プロセスを識別するためのベースラインを設定します。 このベースラインは、異常なプロセスの検出に役立ちます。 |
| ルール | プロセス・ベースライン: ハッシュするプロセス名 (Process Baselining: Process Name to Hash) | プロセス名および対応するハッシュのベースラインを設定します。 このベースラインは、不明なプロセスが開始された場合やプロセスが新しいハッシュで開始された場合に検出する上で役立ちます。 この情報は、Sysmon ログを他のログと統合するためにも使用できます。 |
| ルール | Detected Excessive Usage of System Tools From a Single Machine | 単一マシンからの次のような複数のシステム・ツールの過剰な使用を検出します。
|
| ルール | Detected a Service Configured to Use Powershell | サービスが PowerShell を使用するように構成されている場合にそれを検出します。 |
| ルール | Windows レジストリーで長い値を検出しました (Detected a Long Value in Windows Registry) | 攻撃者が PowerShell でエンコードされたコマンドなど、長い値を使用してレジストリー・キーの追加または設定を試行した場合にそれを検出します。 |
| ルール | Detected a Service with an Executable Binary Located in a Shared Folder (共有フォルダーにある実行可能バイナリーを持つサービスの検出) | サービスが共有フォルダーから実行可能バイナリーを開始するように構成されている場合にそれを検出します。 |
| ルール | Detected a Service Configured to Use a Pipe | サービスがパイプに接続するように構成されている場合にそれを検出します。 |
| ルール | パイプが作成され、その後、作成されたパイプに接続するためのサービス・バイナリー・パスが更新されました | 特権のエスカレーションの技法である名前付きパイプのなりすましを検出します。 |
| ルール | 変更されたサービス・バイナリー・パスの後にユーザーまたはグループが追加されたことを検出しました | サービス・バイナリー・パスが変更された後でユーザーまたはグループが追加された場合にそれを検出します。 |
| ルール | サービス・バイナリー・パスが更新され、続いて同じプロセスからのネットワーク接続が更新されました | プロセスでサービスの構成または追加が試行された場合、および同じプロセスでアウトバウンド接続が作成された場合にそれを検出します。 |
| ルール | SC コマンドの過剰な実行の検出 | サービス・コントローラー・コマンドが過剰に使用されている場合にそれを検出します。 |
| ルール | スペースを含む引用符で囲まれていないサービス・バイナリー・パスが検出されました | 引用符で囲まれていないサービス・バイナリー・パスにスペースが含まれている場合にそれを検出します。 引用符で囲まれておらず、パスにスペースが含まれているファイル・パスを活用することはできません。 例えば、C:\Program Files (x86)\などです。 |
| ルール | UAC バイパスの可能性-スケジュールされたタスクは最高特権で実行するように構成されています | スケジュールされたタスクが最高の特権を使用して実行するように作成されている場合にそれを検出します。 |
| ルール | サービスのバイナリパスが更新され、同じプロセスからCreateRemoteThreadが検出されました | プロセスでサービスの構成または追加が試行された場合、および同じプロセスで他のプロセスへのスレッドが作成された場合にそれを検出します。 |
| ルール | 共有フォルダーから起動されるプロセス | プロセスが共有フォルダーから開始された場合にそれを検出します。 |
| ルール | Process Launched From a Shared Folder and Created Thread into Another Process | プロセスが共有フォルダーから開始され、別のプロセスにスレッドを作成した場合にそれを検出します。 |
| ルール | リモート・サービスが PowerShell スクリプト・ファイルを作成しました | wsmprovhost、psexesvc、またはwmiprvse などのリモート・サービスが PowerShell スクリプト・ファイルを作成した場合にそれを検出します。 |
| ルール | パイプに接続された LSASS プロセス | 資格情報のダンプの原因となる可能性がある、Local Security Authority Subsystem Service (LSASS) プロセスから開始されたアクティビティーにパイプが接続した場合にそれを検出します。 |
| ルール | Detected a Remoting Service Connected to LSASS Pipe (LSASS パイプに接続されたリモート・サービスを検出しました) | wsmprovhost、psexesvc、または wmiprvse などのリモート・サービスで LSASS というパイプへの接続が試行された場合にそれを検出します。 |
| ルール | Detected a Fileless UAC Bypass using sdclt (sdclt を使用したファイルなし UAC バイパスの検出) | ユーザーがバックアップとリストアの操作を実行できる Windows プロセスである sdclt.exe を使用するユーザー・アカウント制御 (UAC) のバイパスの試行を検出します。 デフォルトでは、sdclt.exe は高保全性レベルで実行されます。 このプロセスは開始後にレジストリー内の特定のキーを検索します。 キーが存在する場合、それらのキーを実行します。 |
| ルール | Fodhelper を使用したファイルなし UAC バイパスの検出 | レジストリー内の特殊キーをハイジャックすることによって Windows 10 で UAC をバイパスするために Fodhelper プロセスが使用されている場合にそれを検出します。 |
| ルール | Windows イベント・ビューアーを使用したファイルなし UAC バイパスの検出 | UAC をバイパスするために Windows イベント・ビューアーが使用されている場合にそれを検出します。 |
| ルール | 署名されていないドライバーが Windows カーネルにロードされました | 署名されていないドライバーを Windows カーネルにロードする試行を検出します。 |
| ルール | 危殆化されたホストにサービスがインストールされました | セキュリティーの危険があるホストとしてマークされたホストへのサービスのインストールを検出します。 |
| ルール | A Scheduled Task Has Been Created in a Compromised Host | セキュリティーの危険があるホストとしてマークされたホストでスケジュールされたタスクを作成しようとする試行を検出します。 |
| ルール | 危殆化されたホストからの過度の拒否された SMB トラフィック | セキュリティーの危険があるホストからの拒否された過剰な SMB トラフィックを検出します。 |
| ルール | Excessive Failed Attempts to Access an Administrative Share From a Single source | 単一のソース・ホストから管理共有へのアクセスが失敗した過剰な試行を検出します。 |
| ルール | Excessive Failed Attempts to Access a Network Shared Resource From a Compromised Host | セキュリティーの危険があるホストからネットワーク内の複数のホスト上の共有フォルダーへのアクセスが失敗した過剰な試行を検出します。 |
| ルール | A Network Share Has Been Accessed From a Compromised Host | セキュリティーの危険があるホストが共有フォルダーに正常にアクセスした場合にそれを検出します。 |
| ルール | 危殆化されたホストでネットワーク共有が追加された | セキュリティーの危険があるホストが共有フォルダーまたは共有ファイルを追加した場合にそれを検出します。 |
| ルール | Detected SMB Traffic From a Compromised Host Into Other Hosts | セキュリティーの危険があるホストから他のホストへのアウトバウンド SMB トラフィックを検出します。 |
| ルール | Detected a Successful Login From a Compromised Host Into Other Hosts | セキュリティーの危険があるホストから他のホストへの正常なログインを検出します。 |
| ルール | An Administrative share Has Been Accessed | 管理共有がアクセスされた場合にそれを検出します。 |
| ルール | A Hidden Network Share Has Been Added | 非表示の共有ファイルの作成を検出します。 |
| ルール | PowerShell が起動しました | ホストが PowerShell を開始した場合にそれを検出します。 |
| ルール | Powershell Has Been Launched in a Compromised Host | セキュリティーの危険があるホストが PowerShell を開始した場合にそれを検出します。 |
| ルール | A Malicious Service Has Been Installed in a System | 既知の悪意のあるサービスがシステムにインストールされた場合にそれを検出します。 |
| ルール | Childless Process Launched/Spawned a Process | 子がないことが意図されているプロセスが子プロセスを起動した場合にそれを検出します。 |
| ルール | シャドー・コピーの削除が検出されました | シャドー・コピーが削除された場合にそれを検出します。 |
| ルール | Detected a Suspicious Svchost Process | 悪意のある svchost プロセスを検出します。 |
| ルール | IMP ハッシュに基づく Mimikatz の検出 (Detected Mimikatz Based on IMP Hash) | Invoke Mimikatz PowerShell (IMP) ハッシュが使用されたかどうかに基づいて Mimikatz post-exploitation ツールを検出します。 |
| ルール | A Command Shell or Powershell Has been Launched From a Remote System | wsmprovhost、psexesvc、またはwmiprvse などのリモート・サービスがリモート・システムでコマンド・シェルまたは PowerShell を開始した場合にそれを検出します。 |
| ルール | Whoami /groups Has Been Executed | 特権エスカレーション技法の前に whoami コマンドまたは group コマンドが使用された場合にそれを検出します。 |
| ルール | SAM レジストリー・キー-サブキー (ユーザー) の列挙 | SAM レジストリー・キーを列挙する試行を検出します。 |
| ルール | SAM またはシステム・キーのレジストリー・ダンプの検出 | SAM レジストリーをダンプする試行を検出します。 |
| ルール | SAM レジストリー・キーがアクセスされた-regedit を使用 | SAM レジストリー・キーにアクセスする試行を検出します。 |
| ルール | プロセスがスレッドを LSASS プロセスに作成 | LSASS プロセスにスレッドを作成する試行を検出します。 |
| ルール | LSASS.exeにロードされた符号なし実行可能ファイル | 署名されていない実行可能ファイルを LSASS プロセスにロードする試行を検出します。 |
| ルール | LSASS プロセスへの悪意のあるアクセスの検出 | LSASS プロセスへの悪意のあるアクセスを検出します。 |
| ルール | 不明な呼び出しトレースからの LSASS プロセスへの悪意のあるアクセスの検出 | LSASS プロセスにアクセスするファイルレスの試行を検出します。 |
| ルール | Process Started from Unusual Directories (Recycle.bin, ..) | ごみ箱など、通常とは異なるディレクトリーからプロセスが開始された場合にそれを検出します。 |
| ルール | Detected a Possible Credential Dumping Tool | 以下のいずれかのルールに一致した場合に追加のマークとして使用されます。
|
| ルール | Detected a Possible Keylogger | マシンがキー・ロガーに感染している場合にそれを検出します。 |
| ルール | qwerty 引数を指定した rundll32 に基づいて検出された可能性のある Locky ランサムウェア | Locky ランサムウェアの既知のシグネチャーを検出します。 |
| ルール | Powershell Malicious Usage Detected with Encoded Command | 悪意のある PowerShell 使用をさらに検出するように更新されました。 |
| ルール | Powershell Malicious Usage Detected | 悪意のある PowerShell 使用をさらに検出するように更新されました。 |
| ビルディング・ブロック | BB: PSExec が検出されました (BB: PSExec has been Detected) | PSExec ルールで使用されます。 |
| ビルディング・ブロック | BB: プロセスがネットワーク接続を作成した | ネットワーク接続を他のアクティビティーと相関付けるルールで使用されます。 |
| ビルディング・ブロック | BB: 管理共有がアクセスされました (BB: An Administrative share Has Been Accessed) | 共有フォルダーを使用する悪意のあるアクティビティーを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: CreateRemoteThreadが検出されました | リモート・スレッドの作成を検出するルールで使用されます。 |
| ビルディング・ブロック | BB: アクセスされた通常の Windows プロセス LSASS.exe | LSASS プロセスを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: PowerShell プロセスを検出しました | PowerShell プロセスを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: スケジュール済みタスクが作成されました (BB: A Scheduled Task Has Been Created) | スケジュールされたタスクを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: プロセス作成イベント・パート 1 に基づいてスケジュール済みタスクを検出しました | プロセス・イベントの作成に基づいてスケジュールされたタスクを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: Pipe Has Been Created | パイプの作成を検出するルールで使用されます。 |
| ビルディング・ブロック | BB: プロセス作成イベント・パート 2 に基づいてスケジュール済みタスクを検出しました | プロセス・イベントの作成に基づいてスケジュールされたタスクを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: サービス・バイナリー・パスが設定または更新されました (Service Binary Path Has Been Set or Updated) | サービス・パス・バイナリーが設定または更新された場合にそれを検出するルールで使用されます。 |
| ビルディング・ブロック | BB: CreateRemoteThreadが除外されたケース | リモート・スレッドの作成を検出するルールで使用されます。 |
| 保存済み検索 | Abnormal Parent for a Process (プロセスの異常な親) | この検索では、ベースライン・データに基づいて異常な親を使用するプロセスを示します。 |
| 保存済み検索 | Windows 機密プロセスによって検出されたネットワーク接続 | この検索では、Windows 機密プロセスから開始された接続が示されます。 |
| 保存済み検索 | LSASS へのプロセス・アクセス | この検索では、LSASS にアクセスしたプロセスが示されます。 |
| 保存済み検索 | WMI または PowerShell | この検索では、リモート側で実行されたプロセスが示されます。 |
| 保存済み検索 | サービス・バイナリー・パスが設定または更新されました | この検索では、新規サービス、またはサービス・バイナリーのロケーションが変更されたかどうかが示されます。 |
| 保存済み検索 | 不明なプロセス・ハッシュが開始されました | この検索では、不明なプロセス・ハッシュが示されます。 |
| 保存済み検索 | 機密システム・プロセスにロードされた署名されていない実行可能ファイル | この検索では、署名されていない実行可能ファイルを機密システム・プロセスにロードする試行が示されます。 |
| 保存済み検索 | 非常に長いコマンド行が検出されました | この検索では、長いコマンド・ライン・テキストが示されます。 |
| リファレンス・セット | ホワイトリストに登録されたハッシュ (Whitelisted Hashes) | ホワイトリストに登録されているハッシュのリストが含まれます。 |
| リファレンス・セット | システム | システム管理者によって使用されているツールのリストが含まれます。 |
| リファレンス・セット | システム・ユーザーとして開始されたプロセス・ハッシュ | システム・レベルの特権で開始できるプロセス・ハッシュのリストが含まれます。 |
| リファレンス・セット | セキュリティーの危険があるホスト | セキュリティーの危険があるホストが取り込まれたリストが含まれます。 |
| リファレンス・セット | ハッシュするプロセス名 (Process Name to Hash) | ハッシュにマップされているプロセス名のリストが含まれます。 |
| リファレンス・セット | IOC-悪意のあるサービス名 | 既知の悪意のあるサービス名のリストが含まれます。 |
IBM Security QRadar Sysmon コンテンツ拡張 1.0.0
次の表では、 IBM Security QRadar Sysmon コンテンツ拡張 1.0.0 に含まれる変更内容について説明しています。
| タイプ | 名前 | 変更の説明 |
|---|---|---|
| ルール | 一時ディレクトリーからロードされた署名されていない実行可能ファイルまたは DLL | 署名されていない実行可能ファイルまたは DLL が一時ディレクトリーからロードされた場合にそれを検出します。 |
| ルール | Process Launched From Temp Directory | プロセスが一時ディレクトリーから起動された場合にそれを検出します。 |
| ルール | 機密システム・プロセスにロードされた署名されていない実行可能プログラムまたは DLL | 署名されていない実行可能ファイルまたは DLL が別の機密システム・プロセスにロードされた場合にそれを検出します。 |
| ルール | プロセスがシステム・プロセスにスレッドを作成 | プロセスでシステム・プロセス内にスレッドが作成された場合にそれを検出します。 |
| ルール | 一時ディレクターから起動されたプロセスからスレッドが作成されたプロセス | プロセスで一時ディレクトリーから起動されたプロセスからスレッドが作成された場合にそれを検出します。 |
| ルール | プロセスが別のプロセスにスレッドを作成した | プロセスで別のプロセス内にスレッドが作成された場合にそれを検出します。 |
| ルール | Powershell Malicious Usage Detected | 悪意のある PowerShell 使用を検出します。 |
| ルール | Powershell Malicious Usage Detected with Encoded Command | エンコードされたコマンドによる悪意のある PowerShell 使用を検出します。 |
| ルール | PowerShell スクリプトがダウンロードされました | PowerShell スクリプトがダウンロードされた場合にそれを検出します。 |
| ルール | 通常ではないディレクトリーから開始されたシステム・プロセス | システム・プロセスが通常とは異なるディレクトリーから開始された場合にそれを検出します。 |
| ルール | Abnormal Parent for a System Process | システム・プロセスに異常な親が存在する場合にそれを検出します。 |
| ルール | 疑わしい svchost プロセスの検出 | 疑わしい svchost プロセスを検出します。 |
| ルール | シャドー・コピーの削除が検出されました | シャドー・コピー・ファイルが削除された場合にそれを検出します。 |
| ビルディング・ブロック | BB: 機密システム・プロセス・パート 1 にロードされた未署名の実行可能ファイルまたは DLL | 「Unsigned Executable or DLL Loaded Into Sensitive System Process」ルールで使用されます。 |
| ビルディング・ブロック | BB: ダウンロードされた PowerShell スクリプトを検出しました | 「PowerShell script has been downloaded」ルールで使用されます。 |
| ビルディング・ブロック | BB: ダウンロードされた PowerShell スクリプトを EncodedCommandで検出しました | 「PowerShell Malicious Usage Detected with Encoded Command」ルールで使用されます。 |
| カスタム・プロパティー | イメージ | Image:\s(.*)\sImageLoaded |
| カスタム・プロパティー | ImageName | Image:\s(?:.*\\)(.*)\sImageLoaded |
| カスタム・プロパティー | 署名済み | Signed:\s(true|false) |
| カスタム・プロパティー | シグネチャー | Signature:\s(.*)\sSignatureStatus |
| カスタム・プロパティー | SignatureStatus | SignatureStatus:\s(Valid) |
| カスタム・プロパティー | LoadedImage | ImageLoaded:\s(.*)\sHashes |
| カスタム・プロパティー | イメージ | Image:\s(.*)\sCommandLine |
| カスタム・プロパティー | ImageName | Image:\s(?:.*\\)(.*)\sCommandLine |
| カスタム・プロパティー | ParentImage | ParentImage:\s(.*)\sParentCommandLine |
| カスタム・プロパティー | ParentImageName | ParentImage:\s(?:.*\\)(.*)\sParentCommandLine |
| カスタム・プロパティー | ターゲット・イメージ名 (Target Image Name) | TargetImage:\s(?:.*\\)(.*)\sNewThreadId |
| カスタム・プロパティー | SourceImage | SourceImage:\s(.*)\sTargetProcessGuid |
| カスタム・プロパティー | TargetImage | TargetImage:\s(.*)\sNewThreadId |
| カスタム・プロパティー | PS エンコードされたコマンド (PS Encoded Command) | [\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+) |
| カスタム・プロパティー | プロセス・コマンド行 | CommandLine:\s(.*)\sCurrentDirectory |
| カスタム・プロパティー | SourceImageTempPath | SourceImage:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.* |
| カスタム・プロパティー | ImageTempPath | Image:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.* |
| カスタム・プロパティー | ImageLoadedTempPath | ImageLoaded:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.* |
| カスタム・プロパティー | プロセス・コマンド行 | Process Command Line:\s*(.*)\s*Token Elevation Type |
| カスタム・プロパティー | PS エンコードされたコマンド (PS Encoded Command) | Process Command Line:\s*powershell.*[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)\s*Token Elevation Type |
| カスタム・プロパティー | ImageName | New Process Name:\s*(?:.*\\)(\S*)\s*Token\sElevation\sType\: |
| カスタム・プロパティー | SHA1 ハッシュ | SHA1=(\w+) |
| カスタム・プロパティー | MD5 ハッシュ | MD5=(\w*) |
| カスタム・プロパティー | SHA256 ハッシュ | SHA256=(\w*) |
| カスタム・プロパティー | IMP ハッシュ (IMP Hash) | IMPHASH=(\w*) |
| カスタム・プロパティー | イメージ | New Process Name:\s*(\S*)\s*Token\sElevation\sType\: |
| カスタム関数 | base64Decode | base64 テキストを PowerShell でエンコードされたコマンドから通常の判読可能なストリングにデコードします。 |
| カスタム関数 | PScmdFilter | Sysmon イベントからのプロセス・コマンド・ラインをフィルタリングします。 |
| 保存済み検索 | 非常に長いコマンド行が検出されました | これは、Sysmon イベントからの長いプロセス・コマンド・ラインと照合するためのイベント検索です。 |
| リファレンス・セット | TempFilePath | 一時ディレクトリーのファイル・パスのリストが含まれます。 |
| リファレンス・セット | Windows 機密プロセス | すべての Windows 機密プロセスのリストが含まれます。 |
| リファレンス・セット | ProcessMaptoProcessPath | プロセス名とそれらのプロセスへのパスのリストが含まれます。 |
| リファレンス・セット | ProcessMaptoProcessParentPath | プロセス名と親プロセスへのパスのリストが含まれます。 |