Cryptomining

Rozszerzenie IBM® QRadar ® Cryptomining Content Extension służy do ścisłego monitorowania w celu kryptomiowania we wdrożeniu. W celu poprawnego wykonania funkcji Cryptomining wymagana jest wartość rozszerzenia 1.05 lub wyższej wersji bazowej konserwacji. Przed zainstalowaniem programu Cryptomining należy zainstalować rozszerzenie treści konserwacji wersji bazowej.

Ważne: Aby uniknąć błędów związanych z treścią w tym rozszerzeniu treści, należy pozostawić do tej pory powiązane z nią elementy DSM. Funkcje DSM są aktualizowane w ramach automatycznych aktualizacji. Jeśli aktualizacje automatyczne nie są włączone, należy pobrać najnowszą wersję powiązanych z nią pakietów DSM z serwisu IBM Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Cryptomining Content Extensions

IBM Security QRadar Cryptomining Content Extension 1.1.1
IBM Security QRadar Cryptomining Content Extension 1.1.0
IBM Security QRadar Cryptomining Content Extension 1.0.0

IBM Security QRadar Cryptomining Content Extension 1.1.1

W poniższej tabeli przedstawiono właściwości niestandardowe, które są zawarte w produkcie IBM Security QRadar Cryptomining Content Extension 1.1.1.

Tabela 1. Właściwości niestandardowe w programie IBM Security QRadar Cryptomining 1.1.1
Właściwość niestandardowa	Miejsce występowania
Argumenty komendy	Linux
Nazwa pliku	Amazon AWS Azure Platforma zabezpieczeń produktu Bit9 Marynarka niebieska Czarna Ochrona węgla AMP Cisco Firepower Cisco Cisco IronPort punktami końcowymi FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series poprawka Postfix Squid Sysmon VMware Microsoft 365 Defender
ID komputera	Linux Microsoft Windows
MD5 Hash	AMP Cisco Microsoft 365 Defender Microsoft Windows
Proces CommandLine	Czarna odpowiedź węglowa Kubernetes Microsoft Windows osquery Sysmon
Nazwa procesu	Czarna odpowiedź węglowa punktami końcowymi FireEye MPS Linux Microsoft Windows ObserveIT osquery
HashSHA256	AMP Cisco Microsoft 365 Defender osquery Sysmon
UrlHost	Marynarka niebieska Cisco IronPort Aplikacja IBM Cloud Discovery for QRadar McAfee EPO Squid Microsoft 365 Defender

W poniższej tabeli przedstawiono reguły w programie IBM Security QRadar Cryptomining 1.1.1.

Tabela 2. Reguły w programie IBM Security QRadar Cryptomining 1.1.1
Typ	Nazwa	Opis
Reguła	Eksploatacją, Po Której Następuje Akcja Eksploracji Kryptowalutowej	Wyzwalane, gdy po działaniu typu eksploatacją lub atakiem znajduje się działanie eksploracji kryptowalutowej na tym samym hoście. Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.

_{(Początek strony)}

IBM Security QRadar Cryptomining Content Extension 1.1.0

Uwaga: Niektóre właściwości niestandardowe, które są zawarte w tym rozszerzeniu treści, są obiektami zastępczymi. Istnieje możliwość pobrania innych rozszerzeń treści, które zawierają właściwości niestandardowe o tych nazwach, lub można utworzyć własne.

W poniższej tabeli przedstawiono właściwości niestandardowe, które są zawarte w produkcie IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tabela 3. Właściwości niestandardowe w programie IBM Security QRadar Cryptomining 1.1.0
Nazwa	Zoptymalizowane	Grupa przechwytywania	Wyrażenie regularne
Wartość mieszająca pliku	Tak	1	FILE_HASH = ([ ^ \s] +)
Nazwa zagrożenia	Tak	1	EVC_EV_VIRUS_NAME = ([ ^ \s] +)

W poniższej tabeli przedstawiono właściwości niestandardowe, które są dołączone jako obiekty zastępcze w produkcie IBM Security QRadar Cryptomining Content Extension 1.1.0.

Tabela 4. Zastępcze właściwości niestandardowe w produkcie IBM Security QRadar Cryptomining Content Extension 1.1.0
Właściwość niestandardowa	Miejsce występowania
Argumenty komendy	Linux
ID komputera	Linux Microsoft Windows
MD5 Hash	AMP Cisco Microsoft 365 Defender Microsoft Windows
Nazwa procesu	Czarna odpowiedź węglowa punktami końcowymi FireEye MPS Linux Microsoft Windows ObserveIT osquery
HashSHA1	AMP Cisco Microsoft 365 Defender Microsoft Windows Sysmon
HashSHA256	AMP Cisco Microsoft 365 Defender osquery Sysmon

W poniższej tabeli przedstawiono reguły i elementy składowe w programie IBM Security QRadar Cryptomining 1.1.0.

Tabela 5. Reguły i bloki budowania w programie IBM Security QRadar Cryptomining 1.1.0
Typ	Nazwa	Opis
Blok budynku	BB: Threats: Communication to Cryptocurrency Mining URL for Events	Wyzwalana, gdy zostanie wykryta komunikacja z hostem górniczym kryptowalutowym. Zapełnij zestaw odwołań Cryptocurrency Mining Hosts odpowiednimi adresami URL.
Blok budynku	BB: Threats: Cryptocurrency Mining Ports	Wyzwalana, gdy zostanie wykryta komunikacja przy użyciu wspólnego portu eksploracji kryptowaluacji.
Blok budynku	BB: Zagrożenie: Wzorce nazw procesów eksploracji kryptowaluty	Wyzwalane, gdy uruchamiany jest proces eksploracji kryptowalutowej.
Blok budynku	BB: Threats: Cryptocurrency Mining Process Names	Wyzwalane, gdy uruchamiany jest proces eksploracji kryptowalutowej.
Blok budynku	BB: Zagrożenie: Cryptocurrency Mining Threat Hashes for Events	Wyzwalana, gdy obserwowana jest wartość mieszająca pliku eksploracji kryptograficznych. Zapełnij zestaw odwołań Cryptocurrency Mining Threat Hashes z odpowiednimi hashami plików.
Blok budynku	BB: Zagrożenie: Cryptocurrency Mining Threat Hashes for Flows	Wyzwalana, gdy obserwowana jest wartość mieszająca pliku eksploracji kryptograficznych. Zapełnij zestaw odwołań Cryptocurrency Mining Threat Hashes z odpowiednimi hashami plików.
Blok budynku	BB: Zagrożenia: Cryptocurrency Mining Threat Name Patterns	Wyzwalana, gdy zostanie wykryta nazwa zagrożenia dla eksploracji kryptowalutowej.
Blok budynku	BB: Zagrożenie: Kryptowalutowe Nazwy Zagrożeń Górniczych	Wyzwalana, gdy zostanie wykryta nazwa zagrożenia dla eksploracji kryptowalutowej.
Blok budynku	BB: Threats: X-Force Premium: Internal Connection to Host Categorized as Cryptocurrency Mining	Wyzwalane, gdy system wewnętrzny komunikuje się z adresem IP, który jest traktowany jako gospodarz górnictwa kryptowaluty. Może to być indykator szyfrowania szkodliwego oprogramowania górniczego. Domyślna ufność (75) wskazuje na silną możliwość, że jest to host górniczy kryptowalutowy.
Blok budynku	BB: Threats: X-Force Premium: Internal Host Communication with Cryptocurrency Mining URL for Events	Wyzwalane, gdy system wewnętrzny komunikuje się z adresem URL, który jest traktowany jako gospodarz górnictwa kryptowaluty. Może to być indykator szyfrowania szkodliwego oprogramowania górniczego.
Reguła	Wykonanie komendy Cryptocurrency Mining	Wyzwalane, gdy zostanie wykryta komenda eksploracji kryptowalutowej. Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.
Reguła	Mieszanie plików eksploracji kryptograficznych	Wyzwalana, gdy zostanie wykryta wartość mieszająca pliku eksploracji kryptowalutowej. Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.
Reguła	Proces eksploracji Cryptocurrency	Wyzwalane, gdy wykryty zostanie proces eksploracji kryptowaluacji. Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.
Reguła	Nazwa zagrożenia dla szyfrowania kryptowalutowego	Wyzwalane, gdy wykrywane są zagrożenia górnicze kryptowalutowe (np. wirus, złośliwe oprogramowanie). Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.
Reguła	Kryptoński Ruch Górniczy	Wyzwalane, gdy wykrywany jest ruch górniczy kryptowaluty. Może to oznaczać, że komputer komunikuje się z pulą górniczą kryptowaluty przy użyciu nieskategoryzowanego adresu IP.
Reguła	Eksploatacją, Po Której Następuje Akcja Eksploracji Kryptowalutowej	Wyzwalane, gdy po działaniu typu eksploatacją lub atakiem znajduje się działanie eksploracji kryptowalutowej na tym samym hoście. Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.
Reguła	In-Browser Cryptojacking- JavaScript File Hash	Wyzwala, gdy wykryto mieszanie plików JavaScript powiązane z kryptonim kryptograficznym. Może to oznaczać, że przeglądarka wysłała żądanie GET w celu załadowania pliku JavaScript do kryptografii i może zostać zainfekowany przez złośliwe oprogramowanie lub ujawnione niewłaściwe użycie korporacyjnego zasobu aplikacyjnego.
Reguła	In-Browser Cryptojacking- JavaScript Filename	Wyzwalana, gdy zostanie wykryta nazwa pliku JavaScript związanego z kryptonim kryptograficznym. Może to oznaczać, że przeglądarka wysłała żądanie GET w celu załadowania pliku JavaScript do kryptografii i może zostać zainfekowany przez złośliwe oprogramowanie lub ujawnione niewłaściwe użycie korporacyjnego zasobu aplikacyjnego.
Reguła	Pomyślna komunikacja z hostem eksploracji Cryptocurrency	Wyzwalana, gdy zostanie wykryta pomyślna komunikacja z hostem górniczym kryptowalutowym. Może to oznaczać, że komputer jest zainfekowany przez złośliwe oprogramowanie lub niewłaściwie używane przez zasób korporacyjny.

W poniższej tabeli przedstawiono zestawy referencyjne w programie IBM Security QRadar Cryptomining 1.1.0.

Tabela 6. Zestawy referencyjne w programie IBM Security QRadar Cryptomining 1.1.0
Nazwa	Opis
Mieszanie Plików JavaScript Górnictwa Cryptocurrency	Zawiera listę haftów pliku JavaScript eksploracji szyfrowania.

W poniższej tabeli przedstawiono zapisane wyszukiwania w programie IBM Security QRadar Cryptomining 1.1.0.

Tabela 7. Zapisane wyszukiwania w programie IBM Security QRadar Cryptomining 1.1.0
Nazwa	Opis
Adresy docelowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie zdarzenia z działaniami eksploracji kryptowalut (wyzwolono jedną z reguł) i grupuje je według adresu docelowego i portu docelowego.
Adresy docelowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie przepływy z działaniami eksploracji kryptowalut (wyzwalana jedna z reguł) i grupuje je według adresu docelowego i portu docelowego.
Adresy źródłowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie zdarzenia z działaniami eksploracji kryptowalut (wyzwalana jedna z reguł) i grupuje je według adresu źródłowego i portu źródłowego.
Adresy źródłowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie przepływy z działaniami eksploracji kryptowalut (wyzwalana jedna z reguł) i grupuje je według adresu źródłowego i portu źródłowego.

_{(Początek strony)}

IBM Security QRadar Cryptomining Content Extension 1.0.0

W poniższej tabeli przedstawiono właściwości niestandardowe, które są zawarte w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0.

Uwaga: Właściwości niestandardowe, które są zawarte w tym rozszerzeniu treści, są obiektami zastępczymi. Istnieje możliwość pobrania innych rozszerzeń treści, które zawierają właściwości niestandardowe o tych nazwach, lub można utworzyć własne.

Tabela 8. Właściwości niestandardowe w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0
Właściwość niestandardowa	Miejsce występowania
Wartość mieszająca pliku	Platforma zabezpieczeń produktu Bit9 Czarna Ochrona węgla Czarna odpowiedź węglowa AMP Cisco Firepower Cisco FireEye MPS Przedsiębiorstwo Lastline McAfee EPO Microsoft 365 Defender osquery Sysmon
Hash pliku	punktami końcowymi QRadar Network Insights Content Extension
Nazwa pliku	Amazon AWS Azure Platforma zabezpieczeń produktu Bit9 Marynarka niebieska Czarna Ochrona węgla AMP Cisco Firepower Cisco Cisco IronPort punktami końcowymi FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series poprawka Postfix Squid Sysmon VMware Microsoft 365 Defender
Host HTTP	punktami końcowymi QRadar Network Insights Content Extension
ImageName	Sysmon
Proces CommandLine	Czarna odpowiedź węglowa Kubernetes Microsoft Windows osquery Sysmon
Nazwa procesu	Czarna odpowiedź węglowa punktami końcowymi FireEye MPS Linux Microsoft Windows ObserveIT osquery
Nazwa zagrożenia	Amazon AWS AMP Cisco Cisco IronPort Fortinet FortiAnalyzer McAfee EPO Monitorowanie zagrożeń Microsoft 365 Defender Zscaler
Adres URL	Marynarka niebieska Check Point Cisco IronPort IBM Ochrona QRadar Analizator DNS FireEye MPS Fortinet FortiAnalyzer Juniper SSL VPN McAfee EPO Palo Alto PA Series Squid Ochrona punktu końcowego firmy Symantec Monitorowanie zagrożeń Microsoft 365 Defender
host_URL	Marynarka niebieska Cisco IronPort Aplikacja IBM Cloud Discovery for QRadar McAfee EPO Squid Microsoft 365 Defender

W poniższej tabeli przedstawiono reguły i elementy składowe w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabela 9. Reguły i bloki budowlane w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0
Typ	Nazwa	Opis
Blok budynku	BB:DeviceDefinition: system operacyjny	Ta reguła definiuje wszystkie systemy operacyjne w systemie.
Blok budynku	BB: Threats: Communication to Cryptocurrency Mining IP	Wykrywa połączenia z adresami IP do szyfrowania kryptowalutowego. Zaktualizuj zestaw odwołań do strojenia.
Blok budynku	BB: Threats: Communication to Cryptocurrency Mining URL for Events	Wykrywa połączenia z hostami górniczymi kryptowalutami. Zaktualizuj zestaw odwołań do strojenia.
Blok budynku	BB: Threats: Communication to Cryptocurrency Mining URL for Flows	Wykrywa połączenia z hostami górniczymi kryptowalutami. Zaktualizuj zestaw odwołań do strojenia.
Blok budynku	BB: Zagrożenie: Wzorce nazw procesów eksploracji kryptowaluty	Wykrywa, kiedy zaczyna się dobrze znany proces eksploracji kryptowaluty.
Blok budynku	BB: Threats: Cryptocurrency Mining Process Names	Wykrywa, kiedy zaczyna się dobrze znany proces eksploracji kryptowaluty.
Blok budynku	BB: Zagrożenie: Cryptocurrency Mining Threat Hashes for Events	Wykrywa zagrożenia związane z górnictwem kryptowaluty przy użyciu Hash SHA256 . Zaktualizuj zestaw odwołań do strojenia.
Blok budynku	BB: Zagrożenie: Cryptocurrency Mining Threat Hashes for Flows	Wykrywa połączenia z hostami górniczymi kryptowalutami. Zaktualizuj zestaw odwołań do strojenia.
Blok budynku	BB: Zagrożenia: Cryptocurrency Mining Threat Name Patterns	Wykrywa zagrożenia dla górnictwa kryptowalutowego z często używani terminami, takimi jak moneta, krypta i kopalnia. Zaktualizuj wyrażenie regularne do strojenia.
Blok budynku	BB: Zagrożenie: Kryptowalutowe Nazwy Zagrożeń Górniczych	Wykrywa zagrożenia związane z górnictwem kryptowaluty. Zaktualizuj zestaw odwołań do strojenia.
Blok budynku	BB: Threats: X-Force Premium: Internal Connection to Host Categorized as Cryptocurrency Mining	Ta reguła powiadamia o tym, kiedy system wewnętrzny komunikuje się z adresem IP uważanym za udostępniający górnictwo kryptowaluty. Może to być indykator szyfrowania szkodliwego oprogramowania górniczego. Domyślna ufność (75) wskazuje na silną możliwość, że jest to host górniczy kryptowalutowy.
Blok budynku	BB: Threats: X-Force Premium: Internal Host Communication with Cryptocurrency Mining URL for Events	Ta reguła powiadamia o tym, kiedy klient wewnętrzny ładuje adres URL WWW znany pod kątem działania eksploracji kryptowalutowej.
Blok budynku	BB: Threats: X-Force Premium: Internal Host Communication with Cryptocurrency Mining URL for Flows	Ta reguła powiadamia o tym, kiedy system wewnętrzny komunikuje się z hostem HTTP, który jest traktowany jako host obsługujący górnictwo kryptowalutowe. Może to być indykator szyfrowania szkodliwego oprogramowania górniczego.
Reguła	Wykryto komunikat do hosta Cryptocurrency Mining Host	Wykrywa komunikację z miejscem docelowym eksploracji kryptograficznym. Może to oznaczać naruszenie przez szkodliwe oprogramowanie górnicze kryptowalutowe.
Reguła	Wykryto działanie eksploracji Cryptocurrency w oparciu o plik Hash	Wykrywa hafty pliku eksploracji kryptowaluacji.
Reguła	Wykryto działanie eksploracji kryptowaluacji oparte na wierszu komend procesu	Wykrywa, kiedy eksploracja kryptowalutowa jest oparta na wierszu komend procesu.
Reguła	Wykryto działanie eksploracji kryptowaluacji oparte na nazwie zagrożenia	Wykrywa zagrożenia związane z górnictwem kryptowaluty.
Reguła	Wykryto proces eksploracji Cryptocurrency	Wykrywa, kiedy zaczyna się dobrze znany proces eksploracji kryptowaluty.
Reguła	Wykryto in-Browser Cryptojacking w oparciu o załadowany plik Hhash pliku JavaScript	Wykrywa, kiedy przeglądarka wysyła żądanie GET w celu załadowania pliku javascript kryptojacego. Reguła używa skrótu do pliku w celu wykrycia tego działania.
Reguła	Wykryte w przeglądarce kryptograficzne oparte na załadowanej nazwie pliku JavaScript	Wykrywa, kiedy przeglądarka wysyła żądanie GET w celu załadowania pliku javascript kryptojacego. Reguła używa komponentu nazwy pliku URL do wykrywania tego działania.
Reguła	Eksploatacją, Po Której Następuje Akcja Eksploracji Kryptowalutowej	Raportuje działanie typu eksploatacją lub atakiem z tego samego źródłowego adresu IP, po którym następuje kryptowalutowa akcja eksploracji z tego samego docelowego adresu IP, co oryginalne zdarzenie w ciągu 15 minut.

W poniższej tabeli przedstawiono raporty w IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabela 10. Raporty w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0
Nazwa raportu	Wyszukaj nazwę i zależności
Procesory IPP z działaniami eksploracji kryptograficznej	Ten raport zawiera przegląd adresów IP związanych z górnictwem kryptowaluty. Zaktualizuj filtr wyszukiwania, aby uzyskać więcej strojenia.

W poniższej tabeli przedstawiono zestawy odwołań w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0.

Uwaga: Elementy w zestawach odwołań nie tracą ważności domyślnie. Aby upewnić się, że zestawy referencyjne nie są przepełnione, można ustawić datę ważności na elementy.

Tabela 11. Zestawy referencyjne w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0
Nazwa	Opis
Hosty górnicze kryptowalutowe	Zawiera listę hostów eksploracji kryptograficznych.
Mieszanie plików JavaScript eksploracji danych Cryptocurrency Mining	Zawiera listę mieszających plików JavaScript eksploracji kryptograficznych.
Zagrożenia górnicze cryptocurrency-Hashes	Zawiera listę mieszających plików zagrożeń dla eksploracji kryptograficznych.
Nazwy plików JavaScript eksploracji danych szyfrującego	Zawiera listę nazw plików Javascript eksploracji kryptograficznych.
IPs eksploracji Cryptocurrency	Zawiera listę adresów IP eksploracji kryptowalutowej.
Nazwy Zagrożeń Górniczych (cryptocurrency mining)	Zawiera listę nazw plików zagrożeń dla górnictwa kryptowalutowego.
Nazwy procesów eksploracji Cryptocurrency	Zawiera listę procesów eksploracji kryptowaluty.

Poniższa tabela zawiera zapisane wyszukiwania w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0.

Tabela 12. Zapisane wyszukiwania w produkcie IBM Security QRadar Cryptomining Content Extension 1.0.0
Nazwa	Opis
Adresy źródłowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie zdarzenia z działaniami eksploracji kryptowalut (wyzwalana jedna z reguł) i grupuje je według adresu źródłowego i portu źródłowego.
Adresy docelowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie zdarzenia z działaniami eksploracji kryptowalut (wyzwolono jedną z reguł) i grupuje je według adresu docelowego i portu docelowego.
Adresy źródłowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie przepływy z działaniami eksploracji kryptowalut (wyzwalana jedna z reguł) i grupuje je według adresu źródłowego i portu źródłowego.
Adresy docelowe z działaniami eksploracji Cryptocurrency	Wyświetla wszystkie przepływy z działaniami eksploracji kryptowalut (wyzwalana jedna z reguł) i grupuje je według adresu docelowego i portu docelowego.

_{(Początek strony)}