Sysmon: PowerShell

Sysmon to sterownik usługi i urządzenia systemu Microsoft Windows , który monitoruje aktywność systemu i rejestruje zdarzenia w dzienniku zdarzeń systemu Windows. Można przesłać dzienniki zdarzeń systemu Windows do programu QRadar ® i przeanalizować je w celu wykrycia zaawansowanych zagrożeń na punktach końcowych Windows.

Przypadek użycia produktu Sysmon pokazuje, w jaki sposób produkt QRadar wykrywa podejrzane zachowanie po pobraniu przez użytkownika załącznika do pliku i uruchomieniu go na stacji roboczej z systemem Windows.

Gdy użytkownik kliknie pobrany plik, uruchamia powłokę komend, która uruchamia skrypt PowerShell w celu pobrania i uruchomienia pliku z zewnętrznego położenia, który comobiecuje komputer użytkownika. Atakujący teraz eskaluje swoje uprawnienia do uprawnień dostępu na poziomie systemu, a następnie pobiera nazwy użytkowników i hasła dla sieci. Logując się do komputerów równorzędnych, atakujący może poruszać się po bokach i uruchamiać skrypty PowerShell w celu uruchamiania procesów na wielu komputerach w sieci.

Więcej informacji na temat treści produktu QRadar , które obsługują przypadek użycia produktu Sysmon: PowerShell , można pobrać z Rozszerzenie treści produktu IBM® QRadar dla Sysmon. Pakiet treści zawiera reguły, elementy składowe, zestawy odwołań i funkcje niestandardowe, które mogą być używane do wykrywania zaawansowanych zagrożeń, takich jak nadużycie PowerShell , ukryte procesy Windows i ataki pamięci o mniej plikowej pamięci masowej.

Symulowanie zagrożenia

Aby sprawdzić, w jaki sposób program QRadar wykryje atak, obejrzyj film wideo z symulacji Sysmon: Powershell .

Aby uruchomić symulację w programie QRadar, należy wykonać następujące czynności:
  1. Na karcie Aktywność dziennika kliknij opcję Pokaż centrum doświadczenia.
  2. Kliknij przycisk Symulator zagrożenia.
  3. Znajdź symulację Sysmon: PowerShell i kliknij przycisk Uruchom.
Na karcie Aktywność dziennika można wyświetlić następujące zdarzenia przychodzące, które są używane do symulowania przypadku użycia:
Tabela 1. Zdarzenia przychodzące dla systemu Sysmon: PowerShell -przypadek użycia
Sieć Opis
Wydarzenia Tworzenie procesu

FileCreate

Usługa została zainstalowana w systemie

WątekCreateRemote
Źródła dzienników Centrum doświadczenia: WindowsAuthServer @ EC: < nazwa_komputera>

Centrum doświadczenia: WindowsAuthServer @ EC: < nazwa_użytkownika>

Zdarzenia są powtarzane w pętli, a ten sam przypadek użycia powtarza się wiele razy. Aby zatrzymać symulację, kliknij opcję Zatrzymaj na karcie Symulator zagrożenia .

Wykrywanie zagrożenia: QRadar w działaniu

Komponent niestandardowego mechanizmu reguł (Custom Rules Engine-CRE) produktu QRadar jest odpowiedzialny za przetwarzanie przychodzących zdarzeń i przepływów. CRE porównuje zdarzenia i przepływy z kolekcją testów, które są określane jako reguły, a reguły tworzą obrazy, gdy spełnione są określone warunki. CRE śledzi testy reguł i liczbę incydentów w czasie.

Ale świadomość, że nastąpiło wykroczenie, jest tylko pierwszym krokiem. QRadar ułatwia głębsze nurkowanie i identyfikuje, jak to się stało, gdzie się stało, i kto to zrobił. Indeksowanie wykroczenia powoduje, że wszystkie zdarzenia o takiej samej nazwie zagrożenia pojawiają się jako pojedyncze wykroczenie.

Badanie zagrożenia

Aby wyświetlić listę treści produktu QRadar , która ma wpływ na tę symulację, w tym reguły, zapisane wyszukiwania, wykroczenia i zestawy odwołań, należy wykonać następujące czynności:
  1. Otwórz aplikację IBM QRadar Experience Center .
  2. W oknie Symulator zagrożenia kliknij odsyłacz Czytaj więcej dla symulacji, a następnie wybierz typ treści, która ma zostać przejrzana.

    Alternatywnie na karcie Aktywność dziennika można uruchomić szybkie wyszukiwanie o nazwie EC: Zdarzenia Sysmon , aby wyświetlić wszystkie zdarzenia, które są powiązane z przestępczym.