Sysmon: PowerShell

O Sysmon é um driver de sistema e dispositivo do sistema Microsoft Windows que monitora a atividade do sistema e registra eventos no log de eventos do Windows. É possível encaminhar os logs de eventos do Windows para o QRadar® e analisá-los para detectar ameaças avançadas nos terminais do Windows

O caso de uso do Sysmon mostra como o QRadar detecta comportamento suspeito depois que um usuário faz download de um anexo do arquivo e o executa em uma estação de trabalho Windows.

Quando um usuário clica no arquivo transferido por download, o arquivo inicia um shell de comando que executa um script PowerShell para fazer download e executar um arquivo a partir de um local externo, que compromete o computador de um usuário. O invasor agora escala seus privilégios para permissões de acesso de nível de sistema e faz download de nomes de usuários e senhas para a rede. Ao efetuar login em computadores peer, o invasor pode mover-se lateralmente e executar scripts PowerShell para executar processos em vários computadores em toda a rede.

Para obter mais conteúdo do QRadar que suporte o caso de uso do Sysmon: PowerShell , faça download do IBM® QRadar Content Extension for Sysmon. O pacote de conteúdo inclui regras, blocos de construção, conjuntos de referência e funções customizadas que podem ser usados para detectar ameaças avançadas, como abuso do PowerShell , processos ocultos do Windows e ataques de memória sem arquivo.

Simulando a ameaça

Para executar a simulação no QRadar, siga estas etapas:
  1. Na guia Atividade de log, clique em Mostrar Experience Center.
  2. Clique em Simulador de ameaça.
  3. Localize a simulação Sysmon: PowerShell e clique em Executar.
Na guia Atividade de log, é possível ver os seguintes eventos recebidos que são usados para simular o caso de uso:
Tabela 1. Eventos recebidos para o caso de uso do Sysmon: PowerShell
Conteúdo Descrição
Eventos Criar Processo

FileCreate

Um serviço foi instalado em um sistema

CreateRemoteThread

Origens de log Centro de experiência: WindowsAuthServer @ EC: <machine_name>

Centro de experiência: WindowsAuthServer @ EC: <user_name>

Os eventos são reproduzidos em um loop e o mesmo caso de uso se repete várias vezes. Para parar a simulação, selecione Parar na guia Simulador de ameaça .

Detectando a ameaça: QRadar em ação

O componente Custom Rules Engine (CRE) do QRadar é responsável pelo processamento de eventos e fluxos recebidos. O CRE compara os eventos e fluxos com uma coleção de testes, que são conhecidos como regras, e as regras criam delitos quando condições específicas são atendidas. O CRE rastreia os testes de regra e as contagens de incidentes ao longo do tempo.

Mas saber que ocorreu um delito é apenas o primeiro passo. QRadar facilita a realização de um mergulho mais profundo e a identificação de como aconteceu, onde aconteceu e quem fez isso. Ao indexar o delito, todos os eventos com o mesmo nome de ameaça aparecem como um único delito.

Investigando a ameaça

Para ver a lista do conteúdo do QRadar que contribui com essa simulação, incluindo regras, procuras salvas, ofensas e conjuntos de referência; siga estas etapas:
  1. Abra o app IBM QRadar Experience Center
  2. Na janela Simulador de ameaça, clique no link Ler mais para a simulação e selecione o tipo de conteúdo que você deseja revisar.

    Como alternativa, na guia Atividade de log, é possível executar a procura rápida chamada EC: eventos do Sysmon para visualizar todos os eventos que estão associados ao delito.