시스템: PowerShell

Sysmon은 시스템 활동을 모니터하고 Windows 이벤트 로그에 이벤트를 기록하는 Microsoft Windows 시스템 서비스 및 장치 드라이버입니다. Windows 이벤트 로그를 QRadar® 로 전달하고 분석하여 Windows 엔드포인트에서 고급 위협을 발견할 수 있습니다.

Sysmon 유스 케이스는 사용자가 파일 첨부 파일을 다운로드하여 Windows 워크스테이션에서 실행한 후 QRadar 가 의심스러운 동작을 발견하는 방법을 보여줍니다.

사용자가 다운로드한 파일을 클릭하면 파일은 PowerShell 스크립트를 실행하는 명령 쉘을 시작하여 외부 위치에서 파일을 다운로드하고 실행합니다. 이로 인해 사용자의 컴퓨터가 손상됩니다. 공격자가 이제 해당 권한을 시스템 레벨 액세스 권한으로 에스컬레이션하고 네트워크에 대한 사용자 이름 및 비밀번호를 다운로드합니다. 피어 컴퓨터에 로그인하면 공격자가 측면으로 이동하고 PowerShell 스크립트를 실행하여 네트워크 전체의 여러 컴퓨터에서 프로세스를 실행할 수 있습니다.

Sysmon: PowerShell 유스 케이스를 지원하는 추가 QRadar 컨텐츠를 보려면 IBM® QRadar Content Extension for Sysmon을 다운로드하십시오. 컨텐츠 팩에는 PowerShell 남용, 숨겨진 Windows 프로세스 및 파일 없는 메모리 공격과 같은 고급 위협을 발견하는 데 사용할 수 있는 규칙, 빌딩 블록, 참조 세트 및 사용자 정의 함수가 포함되어 있습니다.

위협 시뮬레이션

QRadar 가 공격을 발견하는 방법을 보려면 Sysmon: Powershell 시뮬레이션 비디오를 보십시오.

QRadar에서 시뮬레이션을 실행하려면 다음 단계를 수행하십시오.
  1. 로그 보기 탭에서 Experience Center 표시를 클릭하십시오.
  2. 위협 시뮬레이터를 클릭하십시오.
  3. Sysmon: PowerShell 시뮬레이션을 찾아 실행을 클릭하십시오.
로그 보기 탭에서 유스 케이스를 시뮬레이션하는 데 사용되는 다음 수신 이벤트를 볼 수 있습니다.
표 1. Sysmon에 대한 수신 이벤트: PowerShell 유스 케이스
컨텐츠 설명
이벤트 프로세스 작성

FileCreate

서비스가 시스템에 설치되었습니다.

CreateRemoteThread
로그 소스 체험 센터: WindowsAuthServer @ EC: <기계_이름>

체험 센터: WindowsAuthServer @ EC: <사용자 이름>

이벤트가 루프에서 재생되고 동일한 유스 케이스가 여러 번 반복됩니다. 시뮬레이션을 중지하려면 위협 시뮬레이터 탭에서 중지 를 클릭하십시오.

위협 발견: 작동 중인 QRadar

QRadar 의 사용자 정의 룰 엔진 (CRE) 구성요소는 수신 이벤트 및 플로우 처리를 담당합니다. CRE는 룰이라고 하는 테스트 콜렉션에 대해 이벤트 및 플로우를 비교하고, 룰은 특정 조건이 충족될 때 오펜스를 작성합니다. CRE는 시간 경과에 따라 룰 테스트 및 인시던트 수를 추적합니다.

그러나 오펜스가 발생했음을 아는 것은 단지 첫 번째 단계입니다. QRadar 를 사용하면 더 자세히 살펴보고 발생한 방법, 발생한 위치 및 수행한 사용자를 쉽게 식별할 수 있습니다. 오펜스를 인덱싱하면 위협 이름이 동일한 모든 이벤트가 단일 오펜스로 표시됩니다.

위협 조사

규칙, 저장된 검색, 오펜스 및 참조 세트를 포함하여 이 시뮬레이션에 기여하는 QRadar 컨텐츠의 목록을 보려면 다음 단계를 수행하십시오.
  1. IBM QRadar Experience Center 앱을 여십시오.
  2. 위협 시뮬레이터 창에서 시뮬레이션에 대한 자세히 읽기 링크를 클릭하고 검토할 컨텐츠 유형을 선택하십시오.

    또는 로그 보기 탭에서 EC: Sysmon 이벤트 라는 빠른 검색을 실행하여 오펜스와 연관된 모든 이벤트를 볼 수 있습니다.