Sysmon: PowerShell
O Sysmon é um driver de sistema e dispositivo do sistema Microsoft Windows que monitora a atividade do sistema e registra eventos no log de eventos do Windows. É possível encaminhar os logs de eventos do Windows para o QRadar® e analisá-los para detectar ameaças avançadas nos terminais do Windows
O caso de uso do Sysmon mostra como o QRadar detecta comportamento suspeito depois que um usuário faz download de um anexo do arquivo e o executa em uma estação de trabalho Windows.
Quando um usuário clica no arquivo transferido por download, o arquivo inicia um shell de comando que executa um script PowerShell para fazer download e executar um arquivo a partir de um local externo, que compromete o computador de um usuário. O invasor agora escala seus privilégios para permissões de acesso de nível de sistema e faz download de nomes de usuários e senhas para a rede. Ao efetuar login em computadores peer, o invasor pode mover-se lateralmente e executar scripts PowerShell para executar processos em vários computadores em toda a rede.
Para obter mais conteúdo do QRadar que suporte o caso de uso do Sysmon: PowerShell , faça download do IBM® QRadar Content Extension for Sysmon. O pacote de conteúdo inclui regras, blocos de construção, conjuntos de referência e funções customizadas que podem ser usados para detectar ameaças avançadas, como abuso do PowerShell , processos ocultos do Windows e ataques de memória sem arquivo.
Simulando a ameaça
- Na guia Atividade de log, clique em Mostrar Experience Center.
- Clique em Simulador de ameaça.
- Localize a simulação Sysmon: PowerShell e clique em Executar.
| Conteúdo | Descrição |
|---|---|
| Eventos | Criar Processo FileCreate Um serviço foi instalado em um sistema CreateRemoteThread |
| Origens de log | Centro de experiência: WindowsAuthServer @ EC: <machine_name> Centro de experiência: WindowsAuthServer @ EC: <user_name> |
Os eventos são reproduzidos em um loop e o mesmo caso de uso se repete várias vezes. Para parar a simulação, selecione Parar na guia Simulador de ameaça .
Detectando a ameaça: QRadar em ação
O componente Custom Rules Engine (CRE) do QRadar é responsável pelo processamento de eventos e fluxos recebidos. O CRE compara os eventos e fluxos com uma coleção de testes, que são conhecidos como regras, e as regras criam delitos quando condições específicas são atendidas. O CRE rastreia os testes de regra e as contagens de incidentes ao longo do tempo.
Mas saber que ocorreu um delito é apenas o primeiro passo. QRadar facilita a realização de um mergulho mais profundo e a identificação de como aconteceu, onde aconteceu e quem fez isso. Ao indexar o delito, todos os eventos com o mesmo nome de ameaça aparecem como um único delito.
Investigando a ameaça
- Abra o app IBM QRadar Experience Center
- Na janela Simulador de ameaça, clique no link Ler
mais para a simulação e selecione o tipo de conteúdo que você deseja revisar.
Como alternativa, na guia Atividade de log, é possível executar a procura rápida chamada EC: eventos do Sysmon para visualizar todos os eventos que estão associados ao delito.