Sysmon: PowerShell
Sysmon は、システム・アクティビティーをモニターし、イベントを Windows イベント・ログに記録する Microsoft Windows システム・サービスおよびデバイス・ドライバーです。 Windows イベント・ログを QRadar® に転送して分析し、Windows エンドポイント上の高度な脅威を検出することができます。
Sysmon ユース・ケースでは、ユーザーが添付ファイルをダウンロードして Windows ワークステーションで実行した後に、 QRadar が疑わしい動作を検出する方法を示します。
ユーザーがダウンロードしたファイルをクリックすると、そのファイルは PowerShell スクリプトを実行するコマンド・シェルを開始し、外部の場所からファイルをダウンロードして実行します。これにより、ユーザーのコンピューターが危険にさらされます。 攻撃者は、自分の特権をシステム・レベルのアクセス許可に拡大し、ネットワーク用のユーザー名とパスワードをダウンロードします。 攻撃者は、ピア・コンピューターにログインすることで、ネットワーク上の複数のコンピューター間を移動して PowerShell スクリプトを実行し、それらのコンピューター上でプロセスを実行することができます。
Sysmon: PowerShell ユース・ケースをサポートするその他の QRadar コンテンツについては、 IBM® QRadar Content Extension for Sysmonをダウンロードしてください。 コンテンツ・パックには、 PowerShell の悪用、隠れた Windows プロセス、ファイル・レス・メモリー攻撃などの高度な脅威を検出するために使用できるルール、ビルディング・ブロック、リファレンス・セット、およびカスタム関数が含まれています。
脅威のシミュレーション
QRadar がどのように攻撃を検出するかを確認するには、 Sysmon: Powershell シミュレーション・ビデオをご覧ください。
- 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
- 「脅威シミュレーター」をクリックします。
- 「Sysmon: PowerShell」 シミュレーションを見つけ、 「実行」をクリックします。
| 内容 | 説明 |
|---|---|
| イベント | プロセス作成 FileCreate システムへのサービスのインストール CreateRemoteThread |
| ログ・ソース | エクスペリエンス・センター: WindowsAuthServer @ EC:<machine_name> エクスペリエンス・センター: WindowsAuthServer @ EC:<user_name> |
イベントはループで再生され、同じユース・ケースが複数回繰り返されます。 シミュレーションを停止するには、 「脅威シミュレーター」 タブで 「停止」 をクリックします。
脅威の検出: QRadar の動作
QRadar のカスタム・ルール・エンジン (CRE) コンポーネントは、着信イベントおよびフローの処理を担当します。 CRE は、イベントおよびフローを一連のテスト (ルールとも呼ばれる) と比較し、特定の条件が満たされた場合に、ルールによってオフェンスが作成されます。 CRE は、時間の経過に伴うルール・テストとインシデントの数を追跡します。
しかし、オフェンスの発生を把握することは、最初の一歩にすぎません。 QRadar を使用すると、より深く掘り下げて、どのように発生したのか、どこで発生したのか、誰が行ったのかを識別することが容易になります。 オフェンスに索引を付けると、同じ脅威名を持つすべてのイベントが 1 つのオフェンスとして表示されます。
脅威の調査
- IBM QRadar Experience Center アプリケーションを開きます。
- 「脅威シミュレーター (Threat simulator)」ウィンドウで、シミュレーションの「続きを読む (Read More)」リンクをクリックし、確認するコンテンツのタイプを選択します。
あるいは、「ログ・アクティビティー」タブから、クイック検索「EC: Sysmon イベント (EC: Sysmon events)」を実行して、オフェンスに関連するすべてのイベントを表示できます。