Sysmon

IBM Security QRadar Sysmon Content Extension은 Sysmon 로그를 사용하여 Windows 엔드포인트에서 지능형 위협을 탐지합니다.

Sysinternals Sysmon 서비스는 Windows 시스템에 몇 가지 이벤트 ID를 추가합니다. 이러한 새 이벤트 ID는 관리자가 시스템 프로세스, 네트워크 활동 및 파일을 모니터하기 위해 사용합니다. Sysmon은 Windows 보안 로그보다 더 자세한 세부사항 보기를 제공합니다. Sysmon에 대한 자세한 정보는 Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/) 을 참조하십시오.

이 컨텐츠 확장은 PowerShell 악용, 숨겨진 Windows 프로세스, 파일 없는 메모리 공격, 코드 난독화 외 다수의 고급 위협을 발견하기 위한 여러 가지 유스 케이스를 제공합니다. 이 컨텐츠 확장에는 이러한 위협을 발견할 수 있도록 해주는 새로운 오펜스 룰, 빌딩 블록, 참조 세트 및 사용자 정의 함수가 포함되어 있습니다.

참고: IBM QRadar Sysmon Content Extension을 설치하기 전에 Microsoft Windows DSM을 최신 버전으로 업데이트하십시오.

이 컨텐츠 확장에 적용되는 유스 케이스에 대한 자세한 정보는 다음 비디오를 참조하십시오.

Fix Central 의 이 패키지에는 < MONTH> < YEAR> 가상 디바이스 보안 업데이트 및 선택적 패키지만 포함되어 있습니다. 이 릴리스를 설치하면 앱 호스트가 업데이트되지 않으며 앱 호스트 버전이 변경되지 않습니다. 앱 호스트 설치 또는 업데이트를 위해 앱 호스트 < VERSION>을 (를) 사용하십시오.

비디오 제목	비디오 링크
Sysmon PowerShell 유스 케이스 1	https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell 유스 케이스 2	https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell 유스 케이스 3	https://youtu.be/sZUAuYpSe7Q
Sysmon 유스 케이스 4 가짜 Windows 프로세스	https://youtu.be/gAS-B9gb3RY
Sysmon 유스 케이스 5 다른 라이브러리 발견	https://youtu.be/omWnyACNEcM
Sysmon 유스 케이스 6 악성 삽입 및 인코딩 공격	https://youtu.be/kC2hIJxqF8Q
QRadar 권한 상승 발견 유스 케이스 7	https://www.youtube.com/watch?v=yitGRL-WJCM
QRadar 권한 상승 계속 유스 케이스 8	https://www.youtube.com/watch?v=8u6G6SEw3kE
Sysmon 유스 케이스 9 - 추가 권한 상승 발견	https://www.youtube.com/watch?v=0Wy59Otr_Ag
Sysmon 유스 케이스 10 - 관리자 계정 작성	https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon 이름 파이프 위장 발견	https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon Mimikatz 발견	https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar 측면 이동 발견 예제 1	https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar 측면 이동 발견 예제 2	https://www.youtube.com/watch?v=whjpScDYaY4
QRadar 측면 이동 발견 예제 3(일반 Windows 기능)	https://www.youtube.com/watch?v=7PXzi3pbmFo

중요: 이 컨텐츠 확장에서 컨텐츠 오류를 방지하려면 연관된 DSM을 최신 상태로 유지하십시오. DSM은 자동 업데이트의 일부로 업데이트됩니다. 자동 업데이트가 활성화되지 않은 경우 IBM® Fix Central에서 관련 DSM의 최신 버전을 다운로드하세요(https://www.ibm.com/support/fixcentral).

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.3.2

다음 표에는 IBM 보안 QRadar Sysmon 콘텐츠 확장 1.3.2 에서 이름이 변경된 사용자 지정 속성, 규칙 및 빌딩 블록이 나와 있습니다.

표 1. 사용자 지정 속성, 규칙, 빌딩 블록, 저장된 검색 및 참조 데이터의 이름이 변경된 IBM 보안 QRadar Sysmon 콘텐츠 확장 프로그램 1.3.2
이전 이름	새 이름
ServiceFileName	서비스 파일 이름
ParentCommandLine	상위 명령
TargetImage	대상 프로세스 경로
프로세스 명령행	명령
StartModule	시작 모듈
RunLevel	실행 레벨
PS 인코딩된 명령	인코딩된 명령
대상 이미지 이름	대상 프로세스 이름
프로세스 GUID	프로세스 GUID
PipeName	파이프 이름
StartFunction	시작 함수

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.3.1

다음 표는 IBM Security QRadar Sysmon Content Extension 1.3.1에서 업데이트된 사용자 정의 특성을 표시합니다.

표 2. IBM 보안 QRadar Sysmon Content Extension 1.3.1 의 업데이트된 사용자 정의 특성
이름	설명
이미지	`"\bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s"` 표현식은 이제 `"\bImage:\s.?\\([\\]?)\s(?:FileVersion\|CommandLine):\s"` 입니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.3.0

여러 호스트에서 스케줄된 태스크 발견 사용자 정의 규칙이 해당 규칙 필터에 대한 업데이트를 수신했습니다. 이 업데이트는 여러 명령이 실행되는 경우 각각 고유한 오펜스를 가져오도록 보장하기 위한 기능적 변경입니다.

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.2.1

다음 표는 IBM Security QRadar Sysmon Content Extension 1.2.1에서 업데이트된 사용자 정의 특성을 표시합니다.

표 3. IBM 보안 QRadar Sysmon Content Extension 1.2.1 의 업데이트된 사용자 정의 특성
이름	설명
이미지	`New Process Name:\s(.?)Token Elevation Type\:` 표현식은 이제 `New Process Name[:\s\\=](.*?)\s+(?:Token Elevation Type)` 입니다.
ShareName	`Share\sName\:\s(?:\\\\\\\)(.)\s\sShare\sPath` 표현식은 이제 `Share\sName\:\s(?:\\\\\\\)(.?)\s+Share\sPath` 입니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.2.0

다음 표는 IBM Security QRadar Sysmon Content Extension 1.2.0의 사용자 정의 특성을 표시합니다.

표 4. IBM 보안 QRadar Sysmon Content Extension 1.2.0 의 사용자 정의 특성
이름	설명
이미지	SourceImage\:\s(.)\sTargetProcessGuid 표현식은 이제 SourceImage\:\s(.?)\sTargetProcessGuid입니다. 이미지:\s(.)\s사용자\: 표현식은 이제 이미지:\s(.?)\s사용자\:입니다. 이미지:\s(.?)\s(FileVersion\|CommandLine): 표현식은 이제 \b이미지:\s(.?)\s(?:FileVersion\|CommandLine):입니다. 새\s프로세스\s이름:\s(.)\s{2}토큰\s고도\s유형\: 표현식은 이제 새 프로세스 이름:\s(.?)토큰 고도 유형\:입니다. SourceImage\:\s(.)\sTargetProcessG 표현식은 이제 SourceImage\:\s.?\\([^\\]?)\sTargetProcessG입니다. 다음 표현식을 사용할 수 없습니다. 이미지:\s(.)\sImageLoaded 이미지:\s(.)\sTargetFilename\: 이미지\:\s(.) 이미지\:\s(.)\s디바이스: 이미지\:\s(.)\sTargetObject Process\sName\:\s(.?)\sAccess\sRequest
ImageName	이미지:\s(?:.\\)?(.?)\s(?:FileVersion\|CommandLine):\s 표현식은 이제 \b이미지:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s입니다. 이미지:\s(?:.\\)?(.)\sImageLoaded 표현식은 이제 이미지:.?\\([^\\]?)\sImageLoaded입니다. 이미지:\s(?:.\\)?(.)\sTargetFilename\: 표현식은 이제 이미지:.?\\([^\\]?)\sTargetFilename입니다. 이미지:\s(?:.\\)?(.)\s사용자\: 표현식은 이제 이미지:\s.?\\([^\\]?)\s사용자\:입니다. 이미지\:\s(?:.\\)?(.)\sTargetObject 표현식은 이제 이미지\:\s.?\\([^\\]?)\sTargetObject입니다. SourceImage\:\s(?:.\\)?(.)\sTargetProcessGuid 표현식은 이제 SourceImage\:\s.?\\([^\\]?)\sTargetProcessGuid입니다. 새\s프로세스\s이름:\s(?:.\\)?(.)\s{2}토큰\s고도\s이미지\: 표현식은 이제 새 프로세스 이름:\s.?\\([^\\]?)토큰 고도 유형\:입니다. 다음 표현식을 사용할 수 없습니다. 이미지:\s(?:.\\)?(.) 이미지\:\s(?:.\\)?(.) 이미지\:\s(?:.\\)?(.)\sTargetObject 이미지\:\s(?:.\\)(.)\s디바이스: Process\sName\:\s(?:.\\)?(.?)\sAccess\sRequest SourceImage\:\s(?:.\\)?(.*)\sTargetProcessG
프로세스 명령행	프로세스 명령행:\s(.)\s토큰 고도 유형 표현식은 이제 프로세스 명령행[:\s\\=]+(.?)\s*(?:토큰 고도 유형)입니다.
ServiceName	서비스 이름\:\s(.)\s서비스\s파일 표현식은 이제 (?i)서비스 이름[\:\s\=\\](.?)\s+(?:서비스 파일 이름:\|&&)입니다.
SourceImage	이 사용자 정의 특성은 컨텐츠 확장자에서 제거됩니다.

다음 표는 IBM Security QRadar Sysmon Content Extension 1.2.0에서 업데이트된 룰을 표시합니다.

표 5. IBM 보안 QRadar Sysmon Content Extension 1.2.0 에서 업데이트된 규칙
이름	설명
공유 폴더에서 프로세스가 스레드 작성을 시작함	이제 SourceImage 사용자 정의 특성 대신 이미지 사용자 정의 특성을 사용합니다.

다음 규칙 및 빌딩 블록은 IBM 보안 QRadar 엔드포인트 콘텐츠 확장에 있는 규칙과 중복되므로 IBM 보안 QRadar 시스몬 콘텐츠 확장 1.2.0 에서 제거됩니다.

BB:BehaviorDefinition: 관리 공유 액세스됨
SAM 레지스트리 키를 사용하여 신임 정보 덤핑
프로그래밍 환경에서 인코딩된 명령 악성 사용
Fodhelper를 사용한 파일 없는 UAC 우회
sdclt를 사용한 파일 없는 UAC 우회
Windows 이벤트 뷰어를 사용한 파일 없는 UAC 우회
비정상 프로세스에서 프로세스를 시작함
권한이 있는 계정으로 프로그래밍 환경이 시작됨
Powershell을 사용하도록 구성된 서비스
의심스러운 PSExec 모듈 사용이 발견되었습니다.

의심스러운 PSExec 모듈 사용 발견 규칙은 Metasploit PSExec 모듈 사용이라고 합니다.

PowerShell 악성 사용 발견 규칙이 제거되고 엔드포인트 컨텐츠 팩의 파일 디코드 또는 다운로드 후 의심스러운 활동 으로 대체되었습니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.1.3

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.3의 사용자 정의 특성을 표시합니다.

표 6. IBM 보안 QRadar Sysmon Content Extension 1.1.3 의 사용자 정의 특성
이름	최적화 여부	캡처 그룹	정규식
서비스 이름	예	1	Service Name\:\s(.)\sService\sFile
ServiceFileName	예	1	Service\sFile\sName\:\s(.)\sService\sType

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.3의 룰 및 빌딩 블록을 표시합니다.

표 7. IBM 보안 QRadar Sysmon Content Extension 1.1.3 의 룰 및 빌딩 블록
유형	이름	설명
규칙	인코딩된 명령을 통한 다운로드가 시작됨	이 룰은 PowerShell 스크립트 다운로드가 프로그래밍 환경 유형 cmd 또는 Powershell에서 초기화되는 경우 트리거됩니다.
규칙	악성 서비스가 설치됨	이 룰은 악성으로 분류된 서비스가 설치된 경우 트리거됩니다.
규칙	Metasploit PSExec 모듈 사용	이 룰은 PSExec 모듈 사용이 발견되는 경우 트리거됩니다.
규칙	손상된 호스트에서 PSExec 프로세스가 발견됨	이 룰은 PsExec 프로세스가 손상된 호스트에서 발견된 경우 트리거됩니다.
규칙	원격 관리 서비스가 lsass 파이프에 연결됨	이 룰은 원격 관리 서비스가 lsass 파이프에 연결되는 경우 트리거됩니다.
규칙	서비스 2진이 공유 폴더에 있음	이 룰은 서비스 2진이 공유 폴더에 있는 경우 트리거됩니다.
규칙	서비스가 파이프를 사용하도록 구성됨	이 룰은 서비스가 파이프를 사용하도록 구성되는 경우 트리거됩니다.
규칙	Powershell을 사용하도록 구성된 서비스	이 룰은 서비스가 Powershell을 사용하도록 구성되는 경우 트리거됩니다.
규칙	서비스가 손상된 호스트에 설치됨	이 룰은 서비스가 손상된 호스트에서 작성된 경우 트리거됩니다.

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.3에서 이름이 변경된 사용자 정의 특성, 룰 및 빌딩 블록을 표시합니다.

표 8. IBM 보안 QRadar Sysmon Content Extension 1.1.3 에서 이름이 변경된 사용자 정의 특성, 룰, 빌딩 블록, 저장된 검색 및 참조 데이터
이전 이름	새 이름
숨겨진 네트워크 공유가 추가됨	숨겨진 네트워크 공유가 추가됨
시스템에 악성 서비스가 설치됨	악성 서비스가 설치됨
손상된 호스트에서 네트워크 공유에 액세스함	손상된 호스트에서 네트워크 공유에 액세스함
손상된 호스트에 네트워크 공유가 추가됨	손상된 호스트에 네트워크 공유가 추가됨
파이프가 작성된 후 작성된 파이프에 연결하도록 서비스 2진 경로가 업데이트됨	파이프가 작성된 후 서비스 2진 경로가 업데이트됨
원격 서비스에서 PowerShell 스크립트 파일을 작성함	원격 관리 서비스에서 Powershell 스크립트를 작성함
손상된 호스트에 스케줄된 태스크가 작성됨	손상된 호스트에 스케줄된 태스크가 작성됨
손상된 호스트에 서비스가 설치됨	서비스가 손상된 호스트에 설치됨
시스템 프로세스에 대한 비정상 상위	시스템 프로세스에 대한 비정상 상위
관리 공유에 액세스함	관리 공유에 액세스함
손상된 시스템에서 관리 공유에 액세스함	손상된 호스트에서 관리 공유에 액세스함
BB: 스케줄된 태스크가 작성됨	BB:CategoryDefinition: 예약된 작업 생성
BB: 관리 공유에 액세스함	BB:BehaviorDefinition: 관리 공유 액세스됨
BB: CreateRemoteThread 감지됨	BB:CategoryDefinition: 원격 스레드 생성
BB: CreateRemoteThread 제외된 경우	BB:BehaviorDefinition: 원격 스레드 생성 False-Positive
BB: Powershell 프로세스 발견	BB:CategoryDefinition: 프로그래밍 환경
BB: 프로세스 작성 이벤트 파트 2를 기반으로 스케줄된 태스크 발견	BB:CategoryDefinition: 프로세스에 의한 예약된 작업 생성
BB: 일반 Windows 프로세스 액세스 lsass.exe	BB:CategoryDefinition: lsass에 액세스할 수 있는 프로세스
BB: Pipe Has Been Created	BB:CategoryDefinition: 파이프 생성
BB: 프로세스가 네트워크 연결을 작성했습니다.	BB:CategoryDefinition: 네트워크 연결
BB: PsExec 발견	BB:BehaviorDefinition: PsExec 관찰된 프로세스
BB: 서비스 2진경로가 설정되었거나 업데이트됨	BB:BehaviorDefinition: 서비스 바이너리 경로 설정 또는 업데이트
하위 없는 프로세스에서 프로세스를 시작/생성함	비정상 프로세스에서 프로세스를 시작함
시스템 권한으로 명령 쉘이 시작됨	권한이 있는 계정으로 프로그래밍 환경이 시작됨
Fodhelper를 사용한 파일 없는 UAC 우회가 발견됨	Fodhelper를 사용한 파일 없는 UAC 우회
sdclt를 사용한 파일 없는 UAC 우회가 발견됨	sdclt를 사용한 파일 없는 UAC 우회
Windows 이벤트 뷰어를 사용한 파일 없는 UAC 우회가 발견됨	Windows 이벤트 뷰어를 사용한 파일 없는 UAC 우회
보이지 않는 새 해시를 사용하여 시작된 알려진 프로세스가 발견됨	해시가 다른 알려진 프로세스가 시작됨
Windows 레지스트리에서 Long 값이 발견됨	Windows 레지스트리의 비정상적인 값 크기
LSASS 프로세스에 대한 악성 액세스가 발견됨	lsass 프로세스에 대한 의심스러운 액세스
알 수 없는 호출 추적에서 LSASS 프로세스로의 악성 액세스가 발견됨	알 수 없는 호출 추적에서 lsass 프로세스로의 의심스러운 액세스
시스템 사용자 권한으로 시작된 보이지 않는 새 프로세스가 발견됨	권한이 있는 계정으로 새 프로세스가 시작됨
가능한 신임 정보 덤프 도구가 발견됨	잠재적인 신임 정보 덤핑 도구가 발겨됨
가능한 Keylogger가 발견됨	잠재적인 Keylogger가 발견됨
복수의 호스트에서 원격으로 실행된 프로세스가 발견됨	다중 호스트에서 원격 프로세스 실행
LSASS 파이프에 연결된 원격 서비스가 발견됨	원격 관리 서비스가 lsass 파이프에 연결됨
복수의 호스트에서 스케줄된 태스크가 발견됨	다중 호스트에 스케줄된 태스크가 작성됨
서비스 2진 경로가 변경된 후 사용자 또는 그룹이 추가된 것이 발견됨	서비스 2진 경로 업데이트 후에 사용자 또는 그룹 수정
파이프를 사용하도록 구성된 서비스가 발견됨	서비스가 파이프를 사용하도록 구성됨
Powershell을 사용하도록 구성된 서비스가 발견됨	Powershell을 사용하도록 구성된 서비스
공유 폴더에 있는 실행 가능 2진을 사용하는 서비스가 발견됨	서비스 2진이 공유 폴더에 있음
의심스러운 Svchost 프로세스가 발견됨	의심스러운 Svchost 프로세스
프로세스에 대한 비정상 상위가 발견됨	프로세스에 대한 비정상 상위
알 수 없는 / 보이지 않는 프로세스가 발견됨(프로세스 해시 기준)	알 수 없는 프로세스 해시가 발견됨
알 수 없는 / 보이지 않는 프로세스가 발견됨(프로세스 이름 기준)	알 수 없는 프로세스 이름이 관찰됨
과도한 SC 명령 실행이 발견됨	과도한 SC 명령 사용
단일 시스템으로부터 과도한 시스템 도구 사용이 발견됨	단일 호스트에서 과도한 시스템 도구 사용
IMP 해시를 기준으로 Mimikatz가 발견됨	Mimikatz IMP 해시가 발견됨
프로세스 이름이 다른 PSExec가 발견됨	PsExec 프로세스 위장
손상된 호스트에서 네트워크 공유 자원에 액세스하려는 시도가 과도하게 실패함	손상된 호스트에서 네트워크 공유 액세스가 과도하게 실패함
단일 소스에서 관리 공유에 액세스하려는 시도가 과도하게 실패함	동일한 호스트에서 관리 공유 액세스가 과도하게 실패함
Lsass 프로세스가 파이프에 연결됨	Lsass 프로세스가 파이프에 연결됨
Metasploit PSExec 모듈이 발견됨	Metasploit PSExec 모듈 사용
qwerty 인수가 포함된 rundll32를 기준으로 가능한 Locky 랜섬웨어가 발견됨	qwerty 인수를 사용하는 Rndll32
가능한 UAC 우회 - 최상위 권한으로 실행하도록 스케줄된 태스크가 구성됨	UAC 우회 - 최상위 권한으로 실행하도록 스케줄된 태스크가 구성됨
Powershell이 시작됨	Powershell 프로세스가 발견됨
손상된 호스트에서 Powershell이 시작됨	손상된 호스트에서 Powershell 프로세스가 발견됨
인코딩된 명령을 사용한 PowerShell 악성 사용이 발견됨	프로그래밍 환경에서 인코딩된 명령 악성 사용
인코딩된 명령을 사용하여 Powershell 스크립트 다운로드	인코딩된 명령을 통한 다운로드가 시작됨
프로세스 기준선 설정: 프로세스 해시	프로세스 기준선 설정: 프로세스 해시
프로세스 기준선 설정: 프로세스 이름	프로세스 기준선 설정: 프로세스 이름
프로세스 기준선 설정: 프로세스 이름 - 해시	프로세스 기준선 설정: 프로세스 이름 - 해시
프로세스 기준선 설정: 프로세스 이름 - 상위 프로세스	프로세스 기준선 설정: 프로세스 이름 - 상위 프로세스
프로세스 기준선 설정: 시스템 사용자 권한으로 프로세스가 시작됨	프로세스 기준선 설정: 시스템 사용자 권한으로 프로세스가 시작됨
프로세스가 임시 디렉토리에서 시작된 프로세스로부터 스레드를 작성함	임시 디렉토리에서 프로세스가 스레드 작성을 시작함
프로세스에서 다른 프로세스에 스레드를 작성함	초기와 다른 프로세스에 스레드 작성
프로세스에서 lsass 프로세스에 스레드를 작성함	lsass 프로세스에 스레드 작성
프로세스에서 시스템 프로세스에 스레드를 작성함	시스템 프로세스에 스레드 작성
공유 폴더에서 프로세스가 시작됨	공유 폴더에서 프로세스가 시작됨
공유 폴더에서 프로세스가 시작되고 다른 프로세스에 스레드가 작성됨	공유 폴더에서 프로세스가 스레드 작성을 시작함
임시 디렉토리에서 프로세스가 시작됨	임시 디렉토리에서 프로세스가 시작됨
프로세스가 임시 디렉토리에서 실행 파일을 로드함	임시 디렉토리에서 실행 파일이 로드됨
비정상 디렉토리(Recycle.bin, ..)에서 프로세스가 시작됨	비정상 디렉토리에서 프로세스가 시작됨
PsExec가 발견됨	PsExec 프로세스가 발견됨
손상된 호스트에서 PsExec가 시작됨	손상된 호스트에서 PSExec 프로세스가 발견됨
SAM 레지스트리 키 - 하위 키 열거(사용자)	SAM 레지스트리 키를 사용하여 신임 정보 덤핑
서비스 2진 경로가 업데이트된 후 동일한 프로세스에서 CreateRemoteThread가 발견됨	서비스 2진 경로 업데이트 후에 원격 스레드 작성
서비스 2진 경로가 업데이트된 후 동일한 프로세스에서 네트워크 연결이 수행됨	서비스 2진 경로 업데이트 후에 네트워크 연결
새도우 사본 삭제가 발견됨	새도우 사본 삭제
비정상 디렉토리에서 시스템 프로세스가 시작됨	비정상 디렉토리에서 시스템 프로세스가 시작됨
서명되지 않은 드라이버가 Windows 커널로 로드됨	Windows 커널에 서명되지 않은 드라이버가 로드됨
서명되지 않은 실행 파일이 LSASS.exe로 로드됨	서명되지 않은 실행 파일이 lsass로 로드됨
서명되지 않은 실행 파일이 민감한 시스템 프로세스로 로드됨	서명되지 않은 실행 파일이 민감한 시스템 프로세스에 로드됨
Whoami /그룹이 실행됨	그룹 또는 계정 감지

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.1.2

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.2의 사용자 정의 특성을 표시합니다.

표 9. IBM 보안 QRadar Sysmon Content Extension 1.1.2 의 사용자 정의 특성
이름	정규식
이미지	이미지:\s(.*?)\s(FileVersion\|CommandLine):
ImageName	이미지:\s(?:.\\)?(.?)\s(?:FileVersion\|CommandLine):\s
LoadedImage	ImageLoaded:\s(.*?)\s(FileVersion\|Hashes)\:
LoadedImageName	ImageLoaded\:\s(?:.\\)(.?)\s*(FileVersion\|Hashes)\:

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.2의 룰 및 빌딩 블록을 표시합니다.

표 10. IBM 보안 QRadar Sysmon Content Extension 1.1.2 의 규칙
이름	설명
프로세스 기준선 설정: 프로세스 이름 - 해시	프로세스 이름 - 세트의 해시 참조 맵 키 참조 세트를 채우기 위한 룰 응답이 추가되었습니다.
프로세스 기준선 설정: 프로세스 이름 - 상위 프로세스	프로세스 - 상위 프로세스 경로 참조 맵 키 참조 세트를 채우기 위한 룰 응답이 추가되었습니다.
보이지 않는 새 해시를 사용하여 시작된 알려진 프로세스가 발견됨	보이지 않는 새 해시를 사용하여 알려진 프로세스가 시작되는 경우 이를 발견합니다.
프로세스에 대한 비정상 상위가 발견됨	프로세스에 대한 비정상 상위를 발견합니다.
프로세스 기준선 설정: 프로세스 해시	프로세스 해시에 대한 기준선을 제공합니다.
프로세스 기준선 설정: 프로세스 이름	표준 Windows 로그 또는 Sysmon 로그를 사용하여 프로세스 이름에 대한 기준선을 제공합니다.
알 수 없는 / 보이지 않는 프로세스가 발견됨(프로세스 해시 기준)	비정상이거나 알 수 없는 프로세스 해시를 발견합니다.
알 수 없는 / 보이지 않는 프로세스가 발견됨(프로세스 이름 기준)	비정상이거나 알 수 없는 프로세스 이름을 발견합니다.
공유 폴더에서 프로세스가 시작되고 다른 프로세스에 스레드가 작성됨	룰 테스트 중 하나가 업데이트되었습니다.

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.2의 참조 데이터를 표시합니다.

표 11. IBM 보안 QRadar Sysmon Content Extension 1.1.2 의 참조 데이터
유형	이름	설명
참조 세트	프로파일링된 프로세스 이름	프로세스 이름의 기준선 목록을 저장합니다.
참조 세트	프로파일링된 프로세스 해시	프로세스 해시의 기준선 목록을 저장합니다.
참조 세트	ProcessNametoHashRefMapOfSetKeys	프로세스 이름을 해당 해시로 맵핑하는 세트의 맵에서 사용되는 키를 저장합니다.
참조 세트	ProcesstoParentProcessPathRefMapKeys	프로세스 이름을 해당 상위 프로세스로 맵핑하는 세트의 맵에서 사용되는 키를 저장합니다.
세트의 참조 맵	ProcessMaptoProcessParentPath	요소 유형이 대소문자를 구분하지 않는 영숫자로 변경되었습니다.
세트의 참조 맵	ProcessNametoHash	요소 유형이 대소문자를 구분하지 않는 영숫자로 변경되었습니다.

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.2의 저장된 검색을 표시합니다.

표 12. IBM 보안 QRadar Sysmon Content Extension 1.1.2 의 저장된 검색
이름	설명
알 수 없는 프로세스 해시가 시작됨	검색 기준이 업데이트되었습니다.
프로세스에 대한 비정상 상위	검색 기준이 업데이트되었습니다.
알 수 없는 프로세스 이름이 시작됨	이 검색은 프로세스 이름을 기준으로 알 수 없는 프로세스를 보여줍니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar 콘텐츠 확장 1.1.1

1.1.1에서는 가능한 성능 문제로 인해 두 개의 룰 및 두 개의 AQL 함수가 제거되었습니다.

룰: 보이지 않는 해시를 사용하여 시작된 알려진 프로세스가 발견됨
룰: 프로세스에 대한 비정상 상위가 발견됨
사용자 정의 함수: checkWithMapOfSets
사용자 정의 함수: IsItWhiteListedProcess

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 에는 기준선 프로세스를 설정하고 다음 활동을 발견하기 위한 새 룰이 포함되어 있습니다.

권한 상승
파일 없는 사용자 계정 제어(UAC) 우회
신임 정보 덤프
측면 이동 기술
Metasploit PSExec 구현
악성 PowerShell 사용

이 버전에는 새로운 사용자 정의 특성, 저장된 검색 및 AQL 사용자 정의 함수도 포함되어 있습니다. Sysmon 사용자 정의 기능에 대한 인증 토큰을 구성하기 위해 QRadar 관리자 설정에 새 아이콘이 추가되었습니다.

다음 표는 IBM Security QRadar Sysmon Content Extension 1.1.0 에 포함된 변경사항을 설명합니다.

유형	이름	변경사항에 대한 설명
규칙	비정상적인 프로세스(예: word, iexplore, AcroRd..) 명령 쉘을 시작함	비정상 프로세스(예: MS Word, Internet Explorer, Acrobat Reader)에서 명령 쉘 또는 PowerShell을 시작하는 경우 이를 발견합니다.
규칙	복수의 호스트에서 원격으로 실행된 프로세스가 발견됨	잘 알려진 측면 이동 기술인 PowerShell, wmi 또는 PSExec를 사용하는 원격 실행 프로세스를 발견합니다.
규칙	복수의 호스트에서 스케줄된 태스크가 발견됨	복수의 호스트에서 스케줄된 태스크를 발견합니다.
규칙	Metasploit PSExec 모듈이 발견됨	PSExec 도구의 Metasploit 구현을 발견합니다.
규칙	손상된 호스트에서 PsExec가 시작됨	손상된 호스트로 표시된 호스트에서 PSExec를 시작할 경우 이를 발견합니다.
규칙	PsExec가 발견됨	임의의 호스트에서 PSExec를 시작하는 경우 이를 발견합니다.
규칙	프로세스 이름이 다른 PSExec가 발견됨	다른 이름으로 PSExec가 업로드되는 경우 이를 발견합니다.
규칙	시스템 권한으로 명령 쉘이 시작됨	상승된 권한으로 명령 쉘이 시작되는 경우 이를 발견합니다. 예를 들어 일반 사용자가 Windows 시스템 사용자로 명령 쉘을 시작하는 경우입니다.
규칙	프로세스 기준선 설정: 시스템 사용자 권한으로 프로세스가 시작됨	일반적으로 시스템 권한으로 시작하는 프로세스에 대한 기준선을 제공합니다. 이 기준선은 다른 룰에서 시스템 권한으로 새 프로세스가 시작되는 경우 이를 발견하기 위해 사용됩니다. 이 기준선은 특정 사용자가 권한 상승을 시도하는지 여부를 나타냅니다.
규칙	시스템 사용자 권한으로 시작된 보이지 않는 새 프로세스가 발견됨	시스템 권한으로 새 프로세스 또는 비정상 프로세스가 시작되는 경우 이를 발견합니다. 이 룰은 기본적으로 사용 안함으로 설정되어 있습니다. 유지보수 루틴의 일환으로 이 룰을 사용하기 1주일 전에 해당하는 프로세스 기준선 룰을 실행하십시오.
규칙	프로세스 기준선 설정: 프로세스 이름 - 상위 프로세스	각각의 프로세스에 대한 상위 프로세스를 식별하는 기준선을 제공합니다. 이 기준선은 비정상 프로세스를 발견하는 데 도움이 될 수 있습니다.
규칙	프로세스 기준선 설정: 프로세스 이름 - 해시	프로세스 이름 및 해당 해시에 대한 기준선을 제공합니다. 이 기준선은 알 수 없는 프로세스가 시작되거나 새 해시를 사용하여 프로세스가 시작되는 경우 이를 발견하는데 도움이 될 수 있습니다. 이 정보는 Sysmon 로그를 다른 로그와 통합하기 위해 사용할 수도 있습니다.
규칙	단일 시스템으로부터 과도한 시스템 도구 사용이 발견됨	단일 시스템으로부터 다음과 같은 몇 가지 시스템 도구의 과도한 사용을 발견합니다. lcacl.exe procdump.exe vssadmin.exe accesschk.exe netsh.exe arp.exe systeminfo.exe whoami.exe
규칙	Powershell을 사용하도록 구성된 서비스가 발견됨	PowerShell을 사용하도록 서비스가 구성되는 경우 이를 발견합니다.
규칙	Windows 레지스트리에서 Long 값이 발견됨	공격자가 long 값을 사용하여 레지스트리 키를 추가 또는 설정하려고 시도하는 경우(예: PowerShell 인코딩된 명령) 이를 발견합니다.
규칙	공유 폴더에 있는 실행 가능 2진을 사용하는 서비스가 발견됨	공유 폴더에서 실행 가능 2진을 시작하도록 서비스가 구성되는 경우 이를 발견합니다.
규칙	파이프를 사용하도록 구성된 서비스가 발견됨	파이프에 연결하도록 서비스가 구성되는 경우 이를 발견합니다.
규칙	파이프가 작성된 후 작성된 파이프에 연결하도록 서비스 2진 경로가 업데이트됨	권한 상승 기술인 이름 지정된 파이프 위장을 발견합니다.
규칙	서비스 2진 경로가 변경된 후 사용자 또는 그룹이 추가된 것이 발견됨	서비스 2진 경로가 변경된 후 사용자 또는 그룹이 추가되는 경우 이를 발견합니다.
규칙	서비스 2진 경로가 업데이트된 후 동일한 프로세스에서 네트워크 연결이 수행됨	프로세스에서 서비스를 구성 또는 추가하려고 시도하는 경우 및 동일한 프로세스에서 아웃바운드 연결을 작성하는 경우 이를 발견합니다.
규칙	과도한 SC 명령 실행이 발견됨	서비스 컨트롤러 명령이 과도하게 사용되는 경우 이를 발견합니다.
규칙	공백이 포함된 상태에서 따옴표가 없는 서비스 2진 경로가 발견됨	따옴표가 없는 서비스 2진 경로에 공백이 포함된 경우 이를 발견합니다. 따옴표로 묶지 않은 상태에서 해당 경로에 공백이 포함된 파일 경로는 활용할 수 있습니다. 예를 들면 C:\Program Files (x86)\입니다.
규칙	가능한 UAC 우회 - 최상위 권한으로 실행하도록 스케줄된 태스크가 구성됨	최상위 권한을 사용하여 실행하도록 스케줄된 태스크가 작성되는 경우 이를 발견합니다.
규칙	서비스 2진 경로가 업데이트된 후 동일한 프로세스에서 CreateRemoteThread가 발견됨	프로세스에서 서비스를 구성 또는 추가하려고 시도하는 경우 및 동일한 프로세스에서 다른 프로세스에 스레드를 작성하는 경우 이를 발견합니다.
규칙	공유 폴더에서 프로세스가 시작됨	공유 폴더에서 프로세스가 시작되는 경우 이를 발견합니다.
규칙	공유 폴더에서 프로세스가 시작되고 다른 프로세스에 스레드가 작성됨	공유 폴더에서 프로세스가 시작되고 다른 프로세스에서 스레드가 작성되는 경우 이를 발견합니다.
규칙	원격 서비스에서 PowerShell 스크립트 파일을 작성함	원격 서비스(예: `wsmprovhost`, `psexesvc` 또는 `wmiprvse`)에서 PowerShell 스크립트 파일을 작성하는 경우 이를 발견합니다.
규칙	Lsass 프로세스가 파이프에 연결됨	신임 정보 덤프를 유발할 수 있는 LSASS(Local Security Authority Subsystem Service) 프로세스에서 시작된 활동에 파일프가 연결되는 경우 이를 발견합니다.
규칙	LSASS 파이프에 연결된 원격 서비스가 발견됨	원격 서비스(예: `wsmprovhost`, `psexesvc` 또는 `wmiprvse`)에서 LSASS라는 파이프에 연결하려고 시도하는 경우 이를 발견합니다.
규칙	sdclt를 사용한 파일 없는 UAC 우회가 발견됨	사용자가 백업 및 복원 조작을 실행할 수 있도록 해주는 Windows 프로세스인 sdclt.exe를 사용하는 사용자 계정 제어(UAC) 우회 시도를 발견합니다. sdclt.exe는 기본적으로 높은 무결성 레벨에서 실행됩니다. 프로세스가 시작된 후에는 레지스트리에서 특정 키를 검색합니다. 키가 존재하는 경우 해당 키를 실행합니다.
규칙	Fodhelper를 사용한 파일 없는 UAC 우회가 발견됨	레지스트리에서 특수 키를 하이재킹하여 Windows 10의 UAC를 우회하기 위해 Fodhelper 프로세스가 사용되는 경우 이를 발견합니다.
규칙	Windows 이벤트 뷰어를 사용한 파일 없는 UAC 우회가 발견됨	UAC를 우회하기 위해 Windows 이벤트 뷰어가 사용되는 경우 이를 발견합니다.
규칙	서명되지 않은 드라이버가 Windows 커널로 로드됨	서명되지 않은 드라이버를 Windows 커널로 로드하려는 시도를 발견합니다.
규칙	손상된 호스트에 서비스가 설치됨	손상된 호스트로 표시된 호스트에 서비스가 설치되는 경우 이를 발견합니다.
규칙	손상된 호스트에 스케줄된 태스크가 작성됨	손상된 호스트로 표시된 호스트에 스케줄된 태스크를 작성하려고 시도하는 경우 이를 발견합니다.
규칙	손상된 호스트에서 SMB 트래픽이 과도하게 거부됨	손상된 호스트에서 SMB 트래픽이 과도하게 거부되는 경우 이를 발견합니다.
규칙	단일 소스에서 관리 공유에 액세스하려는 시도가 과도하게 실패함	단일 소스 호스트에서 관리 공유에 액세스하려는 시도가 과도하게 실패하는 경우 이를 발견합니다.
규칙	손상된 호스트에서 네트워크 공유 자원에 액세스하려는 시도가 과도하게 실패함	손상된 호스트에서 네트워크에 있는 여러 호스트에 걸친 공유 폴더에 액세스하려는 시도가 과도하게 실패하는 경우 이를 발견합니다.
규칙	손상된 호스트에서 네트워크 공유에 액세스함	손상된 호스트에서 공유 폴더에 정상적으로 액세스하는 경우 이를 발견합니다.
규칙	손상된 호스트에 네트워크 공유가 추가됨	손상된 호스트에서 공유 폴더 또는 파일을 추가하는 경우 이를 발견합니다.
규칙	손상된 호스트에서 다른 호스트로의 SMB 트래픽이 발견됨	손상된 호스트에서 다른 호스트로의 아웃바운드 SMB 트래픽을 발견합니다.
규칙	손상된 호스트에서 다른 호스트로의 정상적인 로그인이 발견됨	손상된 호스트에서 다른 호스트로의 정상적인 로그인을 발견합니다.
규칙	관리 공유에 액세스함	관리 공유에 액세스하는 경우 이를 발견합니다.
규칙	숨겨진 네트워크 공유가 추가됨	숨겨진 공유 파일을 작성하는 경우 이를 발견합니다.
규칙	Powershell이 시작됨	호스트에서 PowerShell을 시작하는 경우 이를 발견합니다.
규칙	손상된 호스트에서 Powershell이 시작됨	손상된 호스트에서 PowerShell을 시작하는 경우 이를 발견합니다.
규칙	시스템에 악성 서비스가 설치됨	시스템에 알려진 악성 서비스가 설치되는 경우 이를 발견합니다.
규칙	하위 없는 프로세스에서 프로세스를 시작/생성함	하위가 없도록 의도된 프로세스에서 하위 프로세스를 시작하는 경우 이를 발견합니다.
규칙	새도우 사본 삭제가 발견됨	새도우 사본이 삭제되는 경우 이를 발견합니다.
규칙	의심스러운 Svchost 프로세스가 발견됨	악성 svchost 프로세스를 발견합니다.
규칙	IMP 해시를 기준으로 Mimikatz가 발견됨	IMP(Invoke Mimikatz PowerShell) 해시가 사용되는지 여부에 따라 Mimikatz 사후 공격 도구를 발견합니다.
규칙	원격 시스템에서 명령 쉘 또는 Powershell이 시작됨	원격 서비스(예: `wsmprovhost`, `psexesvc` 또는 `wmiprvse`)가 원격 시스템에서 명령 쉘 또는 PowerShell을 시작하는 경우 이를 발견합니다.
규칙	Whoami /그룹이 실행됨	권한 상승 기술 이전에 `whoami` 또는 그룹 명령이 사용되는 경우 이를 발견합니다.
규칙	SAM 레지스트리 키 - 하위 키 열거(사용자)	SAM 레지스트리 키를 열거하려고 시도하는 경우 이를 발견합니다.
규칙	SAM 또는 시스템 키에 대한 레지스트리 덤프가 발견됨	SAM 레지스트리를 덤프하려고 시도하는 경우 이를 발견합니다.
규칙	SAM 레지스트리 키에 액세스함 - regedit 사용	SAM 레지시트리 키에 액세스하려고 시도하는 경우 이를 발견합니다.
규칙	프로세스에서 lsass 프로세스에 스레드를 작성함	LSASS 프로세스에 스레드를 작성하려고 시도하는 경우 이를 발견합니다.
규칙	서명되지 않은 실행 파일이 LSASS.exe로 로드됨	서명되지 않은 실행 파일을 LSASS 프로세스로 로드하려고 시도하는 경우 이를 발견합니다.
규칙	LSASS 프로세스에 대한 악성 액세스가 발견됨	LSASS 프로세스에 대한 악성 액세스를 발견합니다.
규칙	알 수 없는 호출 추적에서 LSASS 프로세스로의 악성 액세스가 발견됨	파일 없이 LSASS 프로세스에 액세스하려고 시도하는 경우 이를 발견합니다.
규칙	비정상 디렉토리(Recycle.bin, ..)에서 프로세스가 시작됨	비정상 디렉토리(예: 휴지통)에서 프로세스가 시작되는 경우 이를 발견합니다.
규칙	가능한 신임 정보 덤프 도구가 발견됨	다음 룰과 일치하는 경우 추가 표시로 사용됩니다. LSASS 프로세스에 대한 악성 액세스가 발견됨 알 수 없는 호출 추적에서 LSASS 프로세스로의 악성 액세스가 발견됨 SAM 또는 시스템 키에 대한 레지스트리 덤프가 발견됨 프로세스에서 lsass 프로세스에 스레드를 작성함 SAM 레지스트리 키 - 하위 키 열거(사용자) SAM 레지스트리 키에 액세스함 - regedit 사용 IMP 해시를 기준으로 Mimikatz가 발견됨 LSASS 파이프에 연결된 원격 서비스가 발견됨 Lsass 프로세스가 파이프에 연결됨
규칙	가능한 Keylogger가 발견됨	시스템이 Keylogger에 감염되는 경우 이를 발견합니다.
규칙	qwerty 인수가 포함된 rundll32를 기준으로 가능한 Locky 랜섬웨어가 발견됨	Locky 랜섬웨어에 대해 알려진 시그니처를 발견합니다.
규칙	인코딩된 명령을 사용한 PowerShell 악성 사용이 발견됨	추가적인 PowerShell의 악성 사용을 발견하기 위해 업데이트되었습니다.
규칙	PowerShell 악성 사용이 발견됨	추가적인 PowerShell의 악성 사용을 발견하기 위해 업데이트되었습니다.
빌딩 블록	BB: PSExec이 발견됨	PSExec 룰에서 사용됩니다.
빌딩 블록	BB: 프로세스가 네트워크 연결을 작성했습니다.	네트워크 연결을 다른 활동과 상관시키는 룰에서 사용됩니다.
빌딩 블록	BB: 관리 공유에 액세스함	공유 폴더와 관련된 악성 활동을 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: CreateRemoteThread 감지됨	원격 스레드 작성을 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: 일반 Windows 프로세스 액세스 LSASS.exe	LSASS 프로세스를 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: PowerShell 프로세스 발견	PowerShell 프로세스를 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: 스케줄된 태스크가 작성됨	스케줄된 태스크를 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: 프로세스 작성 이벤트 파트 1을 기반으로 스케줄된 태스크 발견	프로세스 이벤트 작성을 기준으로 스케줄된 태스크를 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: Pipe Has Been Created	파이프 작성을 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: 프로세스 작성 이벤트 파트 2를 기반으로 스케줄된 태스크 발견	프로세스 이벤트 작성을 기준으로 스케줄된 태스크를 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: 서비스 2진경로가 설정되었거나 업데이트됨	서비스 경로 2진이 설정 또는 업데이트되는 경우 이를 발견하는 룰에서 사용됩니다.
빌딩 블록	BB: CreateRemoteThread 제외된 경우	원격 스레드 작성을 발견하는 룰에서 사용됩니다.
저장된 검색	프로세스에 대한 비정상 상위	이 검색은 기준선이 설정된 데이터를 기준으로 비정상 상위가 있는 프로세스를 보여줍니다.
저장된 검색	Windows 민감한 프로세스의 네트워크 연결이 발견됨	이 검색은 Windows 민감한 프로세스에서 시작된 연결을 보여줍니다.
저장된 검색	LSASS에 대한 프로세스 액세스	이 검색은 LSASS에 액세스한 프로세스를 보여줍니다.
저장된 검색	실행 파일이 WMI 또는 PowerShell을 통해 원격으로 시작됨	이 검색은 원격으로 실행된 프로세스를 보여줍니다.
저장된 검색	서비스 2진 경로가 설정 또는 업데이트됨	이 검색은 서비스가 새로 작성되거나 서비스 2진의 위치가 변경되는 경우 이를 보여줍니다.
저장된 검색	알 수 없는 프로세스 해시가 시작됨	이 검색은 보이지 않는 프로세스 해시를 보여줍니다.
저장된 검색	서명되지 않은 실행 파일이 민감한 시스템 프로세스로 로드됨	이 검색은 서명되지 않은 실행 파일을 민감한 시스템 프로세스로 로드하려고 시도하는 경우 이를 보여줍니다.
저장된 검색	매우 긴 명령행이 발견됨	이 검색은 긴 명령행 텍스트를 보여줍니다.
참조 세트	화이트리스트에 있는 해시	화이트리스트 해시의 목록이 포함되어 있습니다.
참조 세트	시스톨 (Systools)	시스템 관리자가 사용하는 도구의 목록이 포함되어 있습니다.
참조 세트	시스템 사용자로 시작하는 프로세스 해시	시스템 레벨 권한으로 시작할 수 있는 프로세스 해시의 목록이 포함되어 있습니다.
참조 세트	손상된 호스트	손상된 호스트로 채워진 목록이 포함되어 있습니다.
참조 세트	해시에 대한 프로세스 이름	해당 해시로 맵핑된 프로세스 이름의 목록이 포함되어 있습니다.
참조 세트	IOC - 악성 서비스 이름	잘 알려진 악성 서비스 이름의 목록이 포함되어 있습니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar Sysmon 콘텐츠 확장 1.0.0

다음 표에서는 IBM Security QRadar Sysmon Content Extension 1.0.0 에 포함된 변경사항을 설명합니다.

유형	이름	변경사항에 대한 설명
규칙	임시 디렉토리에서 서명되지 않은 실행 파일 또는 DLL이 로드됨	임시 디렉토리에서 서명되지 않은 실행 파일 또는 DLL이 로드되는 경우 이를 발견합니다.
규칙	임시 디렉토리에서 프로세스가 시작됨	임시 디렉토리에서 프로세스가 시작되는 경우 이를 발견합니다.
규칙	서명되지 않은 실행 파일 또는 DLL이 민감한 시스템 프로세스로 로드됨	지정되지 않은 실행 파일 또는 DLL이 다른 민감한 시스템 프로세스로 로드되는 경우 이를 발견합니다.
규칙	프로세스에서 시스템 프로세스에 스레드를 작성함	프로세스에서 시스템 프로세스에 스레드를 작성하는 경우 이를 발견합니다.
규칙	프로세스가 임시 디렉토리에서 시작된 프로세스로부터 스레드를 작성함	프로세스가 임시 디렉토리에서 시작된 프로세스로부터 스레드를 작성하는 경우 이를 발견합니다.
규칙	프로세스에서 다른 프로세스에 스레드를 작성함	프로세스에서 다른 프로세스에 스레드를 작성하는 경우 이를 발견합니다.
규칙	PowerShell 악성 사용이 발견됨	악성 PowerShell 사용을 발견합니다.
규칙	인코딩된 명령을 사용한 PowerShell 악성 사용이 발견됨	인코딩된 명령을 사용한 악성 PowerShell 사용을 발견합니다.
규칙	PowerShell 스크립트가 다운로드됨	PowerShell 스크립트가 다운로드되는 경우 이를 발견합니다.
규칙	비정상 디렉토리에서 시스템 프로세스가 시작됨	비정상 디렉토리에서 시스템 프로세스가 시작되는 경우 이를 발견합니다.
규칙	시스템 프로세스에 대한 비정상 상위	시스템 프로세스에 대한 비정상 상위가 존재하는 경우 이를 발견합니다.
규칙	의심스러운 svchost 프로세스가 발견됨	의심스러운 svchost 프로세스를 발견합니다.
규칙	새도우 사본 삭제가 발견됨	새도우 사본 파일이 삭제되는 경우 이를 발견합니다.
빌딩 블록	BB: 서명되지 않은 실행 파일 또는 DLL이 민감한 시스템 프로세스 파트 1에 로드됨	서명되지 않은 실행 파일 또는 DLL이 민감한 시스템 프로세스로 로드됨 룰에서 사용됩니다.
빌딩 블록	BB: 다운로드된 PowerShell 스크립트 발견	PowerShell 스크립트가 다운로드됨 룰에서 사용됩니다.
빌딩 블록	BB: EncodedCommand를 사용하여 다운로드된 PowerShell 스크립트 발견	인코딩된 명령을 사용한 PowerShell 악성 사용이 발견됨 룰에서 사용됩니다.
사용자 정의 특성	이미지	`Image:\s(.*)\sImageLoaded`
사용자 정의 특성	ImageName	`Image:\s(?:.\\)(.)\sImageLoaded`
사용자 정의 특성	서명됨	`Signed:\s(true\|false)`
사용자 정의 특성	서명	`Signature:\s(.*)\sSignatureStatus`
사용자 정의 특성	SignatureStatus	`SignatureStatus:\s(Valid)`
사용자 정의 특성	LoadedImage	`ImageLoaded:\s(.*)\sHashes`
사용자 정의 특성	이미지	`Image:\s(.*)\sCommandLine`
사용자 정의 특성	ImageName	`Image:\s(?:.\\)(.)\sCommandLine`
사용자 정의 특성	ParentImage	`ParentImage:\s(.*)\sParentCommandLine`
사용자 정의 특성	ParentImageName	`ParentImage:\s(?:.\\)(.)\sParentCommandLine`
사용자 정의 특성	대상 이미지 이름	`TargetImage:\s(?:.\\)(.)\sNewThreadId`
사용자 정의 특성	SourceImage	`SourceImage:\s(.*)\sTargetProcessGuid`
사용자 정의 특성	TargetImage	`TargetImage:\s(.*)\sNewThreadId`
사용자 정의 특성	PS 인코딩된 명령	`[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)`
사용자 정의 특성	프로세스 명령행	`CommandLine:\s(.*)\sCurrentDirectory`
사용자 정의 특성	SourceImageTempPath	`SourceImage:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
사용자 정의 특성	ImageTempPath	`Image:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
사용자 정의 특성	ImageLoadedTempPath	`ImageLoaded:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
사용자 정의 특성	프로세스 명령행	`Process Command Line:\s(.)\s*Token Elevation Type`
사용자 정의 특성	PS 인코딩된 명령	`Process Command Line:\spowershell.[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^][\s^]+(\S+)\sToken Elevation Type`
사용자 정의 특성	ImageName	`New Process Name:\s(?:.\\)(\S)\sToken\sElevation\sType\:`
사용자 정의 특성	SHA1 해시	`SHA1=(\w+)`
사용자 정의 특성	MD5 해시	`MD5=(\w*)`
사용자 정의 특성	SHA256 해시	`SHA256=(\w*)`
사용자 정의 특성	IMP 해시	`IMPHASH=(\w*)`
사용자 정의 특성	이미지	`New Process Name:\s(\S)\s*Token\sElevation\sType\:`
사용자 정의 기능	base64Decode	PowerShell 인코딩된 명령의 Base-64 텍스트를 읽을 수 있는 보통 문자열로 디코딩합니다.
사용자 정의 기능	PScmdFilter	Sysmon 이벤트에서 프로세스 명령행을 필터링합니다.
저장된 검색	매우 긴 명령행이 발견됨	Sysmon 이벤트에서 긴 프로세스 명령행을 일치시키기 위한 이벤트 검색입니다.
참조 세트	TempFilePath	임시 디렉토리에 대한 파일 경로의 목록이 포함되어 있습니다.
참조 세트	Windows 민감한 프로세스	모든 Windows 민감한 프로세스의 목록이 포함되어 있습니다.
참조 세트	ProcessMaptoProcessPath	프로세스 이름 및 해당 프로세스에 대한 경로의 목록이 포함되어 있습니다.
참조 세트	ProcessMaptoProcessParentPath	프로세스 이름 및 상위 프로세스에 대한 경로의 목록이 포함되어 있습니다.

_{(맨 위로 돌아가기)}