Monitoramento de ameaça

IBM Security QRadar Threat Monitoring Content Extension adiciona conteúdo de regras e blocos de construção ao QRadar que se concentram em eventos e detecção de ameaças. Essa extensão aprimora o conjunto de regras de base do QRadar para administradores que possuem novas instalações do QRadar

Esta extensão de conteúdo requer o aplicativo QRadar Threat Intelligence (https://exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:ThreatIntelligence)

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

Esta extensão de conteúdo inclui um ou mais painéis do Pulse. Para obter mais informações sobre painéis Pulse, consulte QRadar Pulse app.

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 3.1.0

A tabela a seguir mostra as regras que são atualizadas em IBM Security QRadar Threat Monitoring Content Extension 3.1.0.

Tabela 1. Regras atualizadas em IBM Security QRadar Threat Monitoring Content Extension 3.1.0
Tipo Nome Descrição
Regra Extensão do Chromeloader identificada Essa regra alerta sobre a lógica que é consistente com ChromeLoader. Um argumento de comando codificado, com o carregamento de extensões no Chrome, foi identificado nos registros. A fonte para essa regra é o Red Canary, o relatório de detecção de ameaças e o site ChromeLoader.
Regra Chromeloader NW.js Caminhos de instalação do aplicativo de tempo de execução Essa regra detecta ChromeLoader verificando se há instâncias de aplicativos NW.js que não têm assinatura e são executados a partir de%AppData/Roaming%. Esse comportamento não é exclusivo do site ChromeLoader, e pode ser necessário algum ajuste para evitar a detecção de aplicativos legítimos. Uma lista parcial de ChromeLoader comuns, como caminhos de instalação de aplicativos NW.js runtime , está incluída nessa regra para ajudar a distinguir o sinal do ruído.
Regra Atividade potencial do PromptLock detectada PromptLock é uma nova variante de ransomware que usa um arquivo Golang malicioso para gerar arquivos LUA maliciosos personalizados para executar esse ataque.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 3.0.0

A tabela a seguir mostra as regras que são atualizadas em IBM Security QRadar Threat Monitoring Content Extension 3.0.0.

Tabela 2. Regras atualizadas em IBM Security QRadar Threat Monitoring Content Extension 3.0.0
Tipo Nome Descrição
Regra Agentes de usuário mal-intencionados conhecidos Essa regra foi criada para detectar vários agentes de usuário mal-intencionados conhecidos.
Regra HTTP Solicitação com agente de usuário vazio Essa regra detecta uma solicitação HTTP com um agente de usuário vazio.
Regra Agentes de usuário suspeitos Essa regra foi criada para detectar agentes de usuário suspeitos que exigem investigação adicional.
Regra SocGholish_Malware_WScript_Reconnaissance Essa regra detecta a ameaça SocGholish que realiza a atividade de acesso inicial no ambiente, executando JavaScript usando wscript.exe.
Regra SocGholish_Malware_Whoami_Reconnaissance Essa regra detecta a atividade de reconhecimento em que os invasores executam o comando e tentam gerar o conteúdo dele.

Atualizados os widgets Novos destinos de alto risco e Destinos de alto risco-Pizza no painel de pulso de gerenciamento de superfície de ataque.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.6.0

A tabela a seguir mostra as regras que são atualizadas em IBM Security QRadar Threat Monitoring Content Extension 2.6.0.

Tabela 3. Regras atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.6.0
Tipo Nome Descrição
Regra Novo destino de alta prioridade detectado Acionadores quando um novo destino de alta prioridade é detectada

Atualizados os widgets Novos destinos de alto risco e Destinos de alto risco-Pizza no painel de pulso de gerenciamento de superfície de ataque.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.6

A tabela a seguir mostra as regras que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.6.

Tabela 4. Novas regras no IBM Security QRadar Threat Monitoring Content Extension 2.5.6
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: Servidores da web Define eventos que são detectados pelo sistema local e quando os eventos foram detectados pelo Apache HTTP Server, Microsoft IIS, NGINX HTTP Serverou Amazon AWS Route 53.
Regra Manipulações de website por meio de SQL Injection Aciona quando comportamentos anormais, como injeção de SQL, são observados. Força o evento detectado a criar uma nova ofensa e selecionar a ofensa por endereço IP de origem
Regra Microsoft Windows Vulnerabilidade RCE-Download Suspeito Usando Certutil Esta regra detecta as vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082" Exchange Server. Force o evento detectado para criar uma nova ofensa e selecione a ofensa por endereço IP de origem

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.5

A tabela a seguir mostra as regras novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.5.

Tabela 5. Novas regras no IBM Security QRadar Threat Monitoring Content Extension 2.5.5
Tipo Nome Descrição
Regra Microsoft Windows Vulnerabilidade RCE-Modificação de Arquivo Detecta vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082".
Regra Microsoft Windows Vulnerabilidade RCE-Download Suspeito Usando Certutil Detecta vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082".
Regra Microsoft Windows Vulnerabilidade RCE-Arquivos Suspeitos Detecta vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082".
Regra Microsoft Windows Vulnerabilidade RCE-Hashes Suspeitos Detecta hashes conhecidos do RCE SHA256 do Windows
Regra Microsoft Windows Vulnerabilidade RCE-Ips Suspeitos Detecta IPs conhecidos do RCE do Windows
Nota: ajuste a regra com base em origens de log para reduzir o número de eventos correspondentes a essa regra.

A tabela a seguir mostra as propriedades customizadas que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.5.

Tabela 6. Novas propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 2.5.5
Nome Otimizada Descrição
Diretório de Arquivos Sim Extração customizada padrão do Diretório de Arquivo a partir da carga útil do DSM.
Nome do Arquivo Sim Extração customizada padrão de Nome do arquivo a partir de carga útil do DSM
Process CommandLine Sim Extração customizada padrão do Process CommandLine a partir da carga útil do DSM.
UrlHost Sim Extração customizada padrão de UrlHost a partir da carga útil do DSM

A tabela a seguir mostra os conjuntos de referência novos no IBM Security QRadar Threat Monitoring Content Extension 2.5.5.

Tabela 7. Novos conjuntos de referência no IBM Security QRadar Threat Monitoring Content Extension 2.5.5
Nome
IPs do Windows RCE
RCE do Windows SHA256 Hashes

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.0

A tabela a seguir mostra as regras novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.0.

Tabela 8. Novas regras no IBM Security QRadar Threat Monitoring Content Extension 2.5.0
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: Gerenciamento da superfície de ataque Define todos os dispositivos de gerenciamento de superfície de ataque no sistema
Regra Novo Destino de Tentação Crítica Detectado Aciona quando um novo destino de tentação crítica é detectada
Regra Novo destino de alta prioridade detectado Acionadores quando um novo destino de alta prioridade é detectada
Regra Novo destino de alta tentação detectado É acionado quando um novo destino de alta tentação é detectado
Regra Destino de Tentação Crítica Alterado para Tentação Inferior Aciona quando um alvo de tentação crítica diminuiu para tentação média ou baixa.
Regra Destino de alta prioridade alterado para baixa prioridade Aciona quando um destino de alta prioridade diminui no valor de prioridade
Regra Destino de Alta Tentação Alterado para Menor Tentação Aciona quando um alvo de alta tentação diminui para média ou baixa tentação.

A tabela a seguir mostra as propriedades customizadas que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.0.

Tabela 9. Novas propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 2.5.0
Nome Descrição
Prioridade Extração customizada padrão de Prioridade da carga útil do DSM.
ID de destino Extração customizada padrão do ID de Destino a partir da carga útil do DSM.
Tentação Extração customizada padrão do Temptation a partir de carga útil do DSM

A tabela a seguir mostra os conjuntos de referência que são novos no IBM Security QRadar Threat Monitoring Content Extension 2.5.0.

Tabela 10. Novos conjuntos de referência no IBM Security QRadar Threat Monitoring Content Extension 2.5.0
Nome Descrição
Destino de tentação crítica Mantém a lista de destinos de tentação críticos
Destino de Alta Prioridade Mantém a lista de destinos de alta prioridade
Destino de Alta Tentação Mantém a lista de alvos de alta tentação

Um novo Painel do Pulse foi incluído, Visão geral de dispositivos de gerenciamento de superfície de ataque.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.4.1

A seguir está uma lista de regras que agora são baseadas em Machine ID em vez de Endereço de origem.
  • Ameaças Múltiplas Detectadas no Mesmo Host (por Identificador de Máquina)
  • Mesma Ameaça Detectada no Mesmo Host (por Identificador de Máquina)
  • Mesma Ameaça Detectada na mesma Rede Diferentes Hosts (por Machine Identifier)
  • Mesma Ameaça Detectada em Vários Hosts (por Identificador de Máquina)
  • Mesma Ameaça Detectada em Vários Servidores (por Identificador de Máquina)
  • Múltiplas Ameaças não limpas detectadas no Mesmo Host (por Identificador de Máquina)

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.4.0

A tabela a seguir mostra as regras atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.4.0.

Tabela 11. Regras atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.4.0
Tipo Nome Atualizar
Regra Diversas ameaças não limpas detectadas no mesmo host Condição de regra atualizada.
Regra Origem de Vários Vetores de Ataque Regra atualizada para usar BB:CategoryDefinition: Virus Detected em vez de BB:CategoryDefinition: Malware Annoyances.
Regra Potencial inundação HTTP DoS Condição de regra atualizada.
Regra Tráfego SMB permitido de um host comprometido Link conjunto de referência incorreto fixo.
Regra Login bem-sucedido por meio de um host comprometido Link conjunto de referência incorreto fixo.
Regra Atividades suspeitas do servidor da web Condição de regra atualizada.
A seguir, uma lista de blocos de construção que são removidos.
  • BB:CategoryDefinition: Incômodos de Malware
  • BB:PolicyViolation: Violação de Política de Aplicativo: NNTP para Internet
  • BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM
  • BB:PolicyViolation: Violação de Política de Correio: Emissor de E-mail de Saída

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.3.1

IBM Security QRadar Threat Monitoring Content Extension 2.3.1 inclui uma correção para um problema que fez a instalação falhar no QRadar 7.4.1 e anterior.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.3.0

A tabela a seguir mostra os blocos de construção novos no IBM Security QRadar Threat Monitoring Content Extension 2.3.0.

Tabela 12. Blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 2.3.0
Tipo Nome Descrição
Bloco de construção BB:BehaviorDefinition: Comunicação com um possível hospedeiro hostil (conjuntos de referência de fluxos)

Define a comunicação com um potencial host hostil, categorizado por conjuntos de referência.

Os conjuntos de referência começando com prefixos "XFE ATPF" são gerenciados automaticamente pelo app Threat Intelligence e exigia uma assinatura paga. Os outros conjuntos de referência fornecidos pelo app Threat Intelligence podem ser usados para inclusão de feeds de terceiros Threat Intelligence.

Bloco de construção BB:BehaviorDefinition: Comunicação com um possível host hostil (Categorização de fluxos X-Force)

Define comunicação com um potencial host hostil, categorizado por X-Force.

O fator de confiança varia entre 0-100.

Bloco de construção BB:BehaviorDefinition: Comunicação com um endereço IP potencialmente hostil (conjuntos de referência de fluxos)

Define a comunicação com um potencial endereço IP hostil, categorizado por conjuntos de referência.

Os conjuntos de referência começando com prefixos "XFE ATPF" são gerenciados automaticamente pelo app Threat Intelligence e exigia uma assinatura paga. Os outros conjuntos de referência fornecidos pelo app Threat Intelligence podem ser usados para inclusão de feeds de terceiros Threat Intelligence.

Bloco de construção BB:BehaviorDefinition: Comunicação com um endereço IP potencialmente hostil (Categorização X-Force de fluxos) Define a comunicação com um potencial endereço IP hostil, categorizado por X-Force.

A lista a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.3.0.

O nível de confiança para os seguintes são fixados a 75 que retratam um nível de confiança elevado.
Nota: Ao ajustar essas regras, 50 deve ser considerado como o ponto de tipping. Em ativos de menor importância, uma regra de X-Force pode ser configurada para acionar em um fator de confiança superior acima de 75.
  • BB: Ameaças: Tráfego De Rede Suspeito
  • BB: Ameaças: Tráfego De Rede IP Suspeito
  • BB: Ameaças: X-Force Premium: Conexão Interna para o Host Categorizado como Cryptocurrency Mining
  • Comunicação com um Potencial Anfitrião Hostil (Fluxos)
  • Comunicação com um Potencial Endereço IP Hostil (Fluxos)
  • X-Force: Conexão Interna para o Host Categorizado como Malware
  • X-Force: Host Interno Comunicando com o Host Categorizado como Anonymizer
  • X-Force: Mail Server Sending Mail to Server Categorizado como SPAM
  • X-Force: Servidor Não Correio Sending Mail para Servidores Categorizados como SPAM
  • X-Force: Não Servidores Comunicando com IP Externo Classificado como Dinâmico
  • X-Force: Servidores Comunicando com IP Externo Classificado como Dinâmico
  • X-Force: Conexão de Entrada bem-sucedida a partir de um Serviço de Proxy Remoto ou Anonimização
  • X-Force: Conexão de Saída bem-sucedida a um Serviço de Proxy Remoto ou Anonimização

A lista a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.3.0.

Tabela 13. Regras e Blocos de Construção no IBM Security QRadar Threat Monitoring Content Extension 2.3.0
Tipo Nome Atualizar Detalhes
Bloco de construção DeviceDefinition: DNS Adicionadas fontes de log adicionais.
Bloco de construção DeviceDefinition: Servidores da Web Adicionadas fontes de log adicionais.
Regra Log4Shell Base Pattern in Flows Removido BB:CategoryDefinition Comunicação bem-sucedida
Regra Log4Shell Evasion Pattern in Flows Removido BB:CategoryDefinition Comunicação bem-sucedida

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.2.1

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.1.

Tabela 14. Regras no IBM Security QRadar Threat Monitoring Content Extension 2.2.1
Tipo Nome Descrição
Regra Múltiplas Ameaças Detectadas no Mesmo Host Acionamentos quando várias ameaças são detectadas no mesmo host.
Regra Mesma Ameaça Detectada em Vários Hosts Disparos quando a mesma ameaça é detectada em vários hospedeiros que não são servidores, o que pode indicar a presença de malwares que está se espalhando em uma rede.
Regra Mesma Ameaça Detectada em Vários Servidores Disparos quando a mesma ameaça é detectada em vários hospedeiros que são servidores, o que pode indicar a presença de malwares que está se espalhando em uma rede.
Regra Mesma Ameaça Detectada no Mesmo Host Disparos quando a mesma ameaça é detectada várias vezes no mesmo hospedeiro. Essa regra pode indicar que o AV está limpando um arquivo que é gerado pela ameaça e não a ameaça em si. O espaço de tempo deve ser grande o suficiente para cobrir pelo menos dois ciclos de verificações feitas pelo AV.
Regra Mesma Ameaça Detectada na Mesma Rede Hosts Diferentes Disparos quando a mesma ameaça é detectada em diferentes hospedeiros no mesmo segmento de uma hierarquia de rede, o que pode indicar a presença de malwares que está se espalhando na rede.
Regra X-Force: Conexão de Saída bem-sucedida a um Serviço de Proxy Remoto ou Anonimização Aciona quando a comunicação com um proxy remoto ou um serviço de anonimização é observado. Esses serviços geralmente se escondem no endereço de origem do IP de Origem.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.2.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.

Tabela 15. Propriedades Customizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0
Nome Otimizada Localizado em
Hash de Arquivo Sim
Tipo de Conteúdo HTTP Sim Baseline Maintenance
GET Request HTTP Sim Baseline Maintenance
Host HTTP Sim Baseline Maintenance
Referenciador HTTP Sim Baseline Maintenance
HTTP Server Sim Baseline Maintenance
Agente do usuário de HTTP Sim Baseline Maintenance

A tabela a seguir mostra as funções customizadas que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.

Tabela 16. Funções Customizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0
Nome Descrição
Detectado Log4j Detecta técnicas de ofuscação log4j.

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.

Tabela 17. Regras no IBM Security QRadar Threat Monitoring Content Extension 2.2.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Acesso ao Banco de Dados Negado Identifica eventos de banco de dados considerados acesso negado.
Bloco de construção BB:CategoryDefinition: Incômodos de Malware Define eventos de infecção de spyware.
Bloco de construção BB:CategoryDefinition: Vírus Detectado Define eventos de detecção de vírus.
Bloco de construção BB:FalseNegative: Eventos que Indicam Compromisso de Sucesso Define eventos de comprometimento bem-sucedido.
Bloco de construção BB:NetworkDefinition: Espaço IP Indefinido Define áreas de sua rede que não contém nenhum host válido.
Bloco de construção BB:NetworkDefinition: Endereços da Lista de Observação Define-se redes para serem incluídas em uma lista de observação.
Regra Exploração Seguida de Atividade Suspeita do Host Aciona quando eventos de exploração ou ataque são seguidos por evento de atividade suspeita, o que pode indicar um ataque bem-sucedido.
Regra Exploração: Explorações Seguidas de Aceitações de Firewall Aciona quando eventos de exploração ou ataque são seguidos por eventos de aceitação de firewall, o que pode indicar um ataque bem-sucedido.
Regra Exploração/Eventos de Malware em Vários Destinos Aciona quando os eventos de exploração ou malware são vistos em diversos hosts de destino. Isso poderia indicar um software malicioso ou um invasor explorando hospedeiros vulneráveis na rede.
Regra Log4Shell Base Pattern in Flows Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações.
Regra Log4Shell Evasion Pattern in Flows Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações.
Regra Log4Shell Hash in Events Incluído Hash de arquivo à condição de regra
Regra Diversas ameaças não limpas detectadas no mesmo host Aciona quando diversas ameaças foram detectadas no mesmo host em que a ação antivírus tomada não é limpar ou nem quarentena.
Nota: Esta regra deve ser ajustada para refletir as ações de antivírus aceitáveis.
Regra Origem de Vários Vetores de Ataque Aciona quando um host de origem tenta diversos vetores de ataque. Isso poderia indicar que o host de origem está especificamente visando um ativo.
Regra Potencial ataque DoS por meio do Tempo de resposta do servidor web Regra atualizada para corresponder ao QID.
Regra Potencial atividade Log4Shell Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações.
Regra Potencial atividade Log4Shell(Flows) Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações.
Regra Origem Vulnerável a qualquer Exploração Aciona quando um host local for atacado onde a origem tem pelo menos uma vulnerabilidade. Isso poderia indicar que o host foi visado em uma exploração anterior.
Regra Origem Vulnerável a esta Exploração Aciona quando um host local é atacado onde o host de origem é vulnerável ao ataque que está sendo usado. Isso poderia indicar que o host foi visado em uma exploração ou vulnerabilidade anterior.
Regra Comprometimento de assinatura bem-sucedido Aciona quando uma assinatura de host foi comprometida com sucesso.
Regra Manipulação de website por meio de SQL Injection Atualizado o filtro AQL.
As regras e blocos de construção a seguir são removidos no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.
  • BB:CategoryDefinition: Qualquer Fluxo
  • BB:CategoryDefinition: Sucesso de Autenticação
  • BB:CategoryDefinition: Explorar Backdoors e Trojans
  • BB:CategoryDefinition: Aceitação de Firewall ou ACL
  • BB:CategoryDefinition: Negações do Firewall ou ACL
  • BB:CategoryDefinition: IRC Detectado com Base no Aplicativo
  • BB:CategoryDefinition: IRC Detectado com Base na Categoria de Evento
  • BB:CategoryDefinition: Detecção de IRC com Base em Eventos do Firewall
  • BB:CategoryDefinition: Violação de Política de Correio
  • BB:CategoryDefinition: Atividade da Conta Pós-exploração
  • BB:CategoryDefinition: Reconciliar categorias de eventos
  • BB:CategoryDefinition: Reconciliar eventos
  • BB:CategoryDefinition: Reconciliar fluxos
  • BB:CategoryDefinition: Comunicação bem-sucedida
  • BB:CategoryDefinition: Categorias de eventos suspeitas
  • BB:CategoryDefinition: Eventos suspeitos
  • BB:CategoryDefinition: Fluxos suspeitos
  • BB:CategoryDefinition: Fluxo unidirecional
  • BB:CategoryDefinition: DST do fluxo unidirecional
  • BB:CategoryDefinition: SRC do fluxo unidirecional
  • BB:DeviceDefinition: Áudio/Vídeo
  • BB:DeviceDefinition: FW/Roteador/Comutador
  • BB:DeviceDefinition: IDS / IPS
  • BB:DeviceDefinition: proxy
  • BB:Flowshape: Somente entrada
  • BB:Flowshape: Somente saída
  • BB:HostDefinition: Servidores de banco de dados
  • BB:HostDefinition: Servidores DHCP
  • BB:HostDefinition: Servidores DNS
  • BB:HostDefinition: Servidores FTP
  • BB:HostDefinition: Servidores LDAP
  • BB:HostDefinition: servidores de e-mail
  • BB:HostDefinition: Servidores de gerenciamento de rede
  • BB:HostDefinition: Servidores proxy
  • BB:HostDefinition: Servidores RPC
  • BB:HostDefinition: Servidores
  • BB:HostDefinition: Remetente ou destinatário SNMP
  • BB:HostDefinition: Servidores SSH
  • BB:HostDefinition: Definição de vírus e outros servidores de atualização
  • BB:HostDefinition: Servidores da Web
  • BB:HostDefinition: Servidores Windows
  • BB:HostReference: Servidores de banco de dados
  • BB:HostReference: Servidores DHCP
  • BB:HostReference: Servidores DNS
  • BB:HostReference: Servidores FTP
  • BB:HostReference: Servidores LDAP
  • BB:HostReference: servidores de e-mail
  • BB:HostReference: Servidores Proxy
  • BB:HostReference: Servidores SSH
  • BB:HostReference: Servidores da Web
  • BB:HostReference: Servidores Windows
  • BB:NetworkDefinition: Honeypot como endereços
  • BB:PortDefinition: Portas Worm comuns
  • BB:PortDefinition: Portas do banco de dados
  • BB:PortDefinition: Portas DHCP
  • BB:PortDefinition: Portas DNS
  • BB:PortDefinition: Portas FTP
  • BB:PortDefinition: Portas IRC
  • BB:PortDefinition: Portas LDAP
  • BB:PortDefinition: portas de e-mail
  • BB:PortDefinition: Portas de Proxy
  • BB:PortDefinition: Portas RPC
  • BB:PortDefinition: Portas SNMP
  • BB:PortDefinition: Portas SSH
  • BB:PortDefinition: Portas Web
  • BB:PortDefinition: Portas do Windows
  • BB:ProtocolDefinition: Protocolos do Windows
  • Local: FTP detectado na porta não padrão
  • Local: SSH ou Telnet detectado na porta não padrão
  • Possível Servidor IRC Local
  • Potencial Acesso ao Honeypot
  • Remoto: FTP Detectado em Porta Não Padrão
  • Remoto: Cliente P2P local conectado a mais de 100 servidores
  • Remoto: Cliente P2P local detectado
  • Remoto: Servidor P2P local detectado
  • Remoto: Emissor de E-mail SMTP
  • Remoto: SSH ou Telnet detectado na porta não padrão
  • Remoto: quantia suspeita de tráfego de IM/bate-papo
  • Remoto: Uso de Usenet

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.

Tabela 18. Procuras salvas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0
Nome Descrição
Detectado potencial Log4Shell Procura para detectar atividade Log4j em eventos.
Detectado potencial Log4Shell (Flows) Procura para detectar atividade Log4j em fluxos.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.1.1

Atualizou a manipulação de erros na função customizada HOMOGLYPH::DETECTED que é usada em diversas regras e procuras salvas.

A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.1.1.

Tabela 19. Conjuntos de Referência no IBM Security QRadar Threat Monitoring Content Extension 2.1.1
Nome Descrição
URLs maliciosas Listas as URLs maliciosas dentificadas.
URLs de malware Lista as URLs de malware identificadas.
URLs de phishing Lista as URLs de phishing identificadas.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.1.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.

Tabela 20. Propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0
Nome Otimizada Localizado em
Caminho da API Não Amazon AWS
Hash MD5 Não Cisco AMP
Hash MD5 Pai Não Cisco AMP
Hash SHA1 Pai Não Cisco AMP
Pai SHA256 Hash Não Cisco AMP
URL de Referência Sim
URI de pedido Não Amazon AWS
SHA1 Hash Não Cisco AMP
Hash SHA256 Não Cisco AMP
URL Sim
Caminho de URL Não Cisco AMP
UrlHost Sim
Agente do usuário Não

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.

Tabela 21. Regras no IBM Security QRadar Threat Monitoring Content Extension 2.1.0
Tipo Nome Descrição
Regra Log4Shell Base Pattern Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações.
Regra Log4Shell Evasion Pattern Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações.
Regra Log4Shell Hash in Events

Aciona quando um IOC (Hash de arquivo) relacionado a Log4Shell Exploit (CVE-2021-44228) é observado em um evento.

Nota: O Log4Shell MD5, Log4Shell SHA1, e Log4Shell SHA256 conjuntos de referência foram pré-preenchidos. Ajuste esses conjuntos de referência com o IOC relevante.
Regra Log4Shell Hash in Flows Aciona quando um IOC (Hash de arquivo) relacionado a Log4Shell Exploit (CVE-2021-44228) é observado em um fluxo.
Nota: O Log4Shell MD5, Log4Shell SHA1, e Log4Shell SHA256 conjuntos de referência foram pré-preenchidos. Ajuste esses conjuntos de referência com o IOC relevante.

A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.

Tabela 22. Conjuntos de Referência no IBM Security QRadar Threat Monitoring Content Extension 2.1.0
Nome Descrição
Log4Shell MD5 Este conjunto de referência lista os hashes MD5 associados a Log4Shell (CVE-2021-44228).
Log4Shell SHA1 Este conjunto de referência lista os hashes SHA1 associados a Log4Shell (CVE-2021-44228).
Log4Shell SHA256 Este conjunto de referência lista hashes SHA256 associados a Log4Shell (CVE-2021-44228).

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.

Tabela 23. Procuras salvas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0
Nome Descrição
Instâncias históricas de Log4Shell - Events Procura para detectar atividade Log4j em eventos.
Instâncias históricas de Log4Shell - Flows Procura para detectar atividade Log4j em fluxos.
Log4Shell Base Pattern Procura para detectar atividade Log4j.
Log4Shell Evasion Pattern Procura para detectar atividade Log4j.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.0.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.

Tabela 24. Propriedades Customizadas no IBM Security QRadar Threat Monitoring Content Extension 2.0.0
Nome Otimizada Localizado em
BytesReceived Sim
BytesSent Sim
Método Não
URL de Referência Sim
Código de resposta Não
Tempo de resposta do servidor Sim Apache
Cadeia de Consultas URL Não

A tabela a seguir mostra as regras e blocos de construção que são novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.

Tabela 25. Regras e blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 2.0.0
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: Servidores da web Define os dispositivos DNS no sistema.
Bloco de construção BB:Ameaças: Status do cliente HTTP Detecta solicitações malformadas de cliente de servidor da web.
Bloco de construção BB:Ameaças: Status do servidor HTTP Detecta solicitações malformadas de servidor da web.
Bloco de construção BB: Ameaças: Serviço HTTP indisponível Detecta quando o serviço do servidor da web está indisponível.
Bloco de construção BB:Ameaças: Potencial ataque DoS Detecta potenciais ataques Denial-of-Service em um servidor da web.
Bloco de construção BB:Ameaças: Tráfego de rede IP suspeito Detecta tráfego de rede suspeito em um servidor da web a partir de um endereço IP categorizado pelo X-Force como malicioso.
Bloco de construção BB:Ameaças: Tráfego de rede suspeito Detecta tráfego de rede suspeito em um servidor da web a partir de um endereço IP categorizado pelo X-Force como malicioso.
Bloco de construção BB:Ameaças: Métodos HTTP inseguros Detecta quando o servidor da web usa métodos HTTP inseguros.
Regra Comunicação com um website conhecido por estar entregando código que pode ser um trojan Atualizada a resposta da regra.
Regra Potencial continuação de atividade do servidor da web em risco Aciona quando métodos HTTP inseguros são vistos continuamente. Este pode ser um invasor malicioso atualizando o conteúdo de aplicativo da web.
Regra Potencial ataque DoS em um servidor da web Aciona quando um potencial ataque Denial-of-Service é detectado a partir de um único endereço IP de origem.
Regra Potencial ataque DoS por meio do Tempo de resposta do servidor web Aciona quando um tempo de resposta do servidor aumenta exponencialmente como resultado de excesso de tráfego a partir de um endereço IP. Isso pode indicar usuários abusivos, robôs maliciosos e potenciais ataques de negação de serviço.
Regra Potencial inundação HTTP DoS Aciona quando um servidor da web é inundado com uma solicitação HTTP. Isso poderia indicar um invasor malicioso iniciando uma série de solicitações HTTP para um servidor da web, com isso, inundando-o com mais solicitações HTTP do que pode processar.
Regra Potencial atividade maliciosa identificada por URL de referenciador Aciona quando uma URL de referenciador designada a atividade potencialmente maliciosa é observada.
Regra Potencial atualização de conteúdo de website Aciona quando uma mudança ou atualização é feita em um aplicativo da web. Este pode ser um invasor malicioso atualizando o conteúdo de uma página da web causando desfiguração.
Regra Mesma Ameaça Detectada no Mesmo Host Atualizado para incluir endereços IP.
Regra Comprimento suspeito de consulta de DNS Atualizou a condição de regra.
Regra Tráfego de rede suspeito para servidor da web interno Aciona quando um endereço IP que corresponde a endereços IP hostis conhecidos categorizados por varreduras do X-Force a mesma URL diversas vezes.
Regra Atividades suspeitas do servidor da web Aciona quando um erro do cliente servidor da web ou erro do servidor é detectado. Isso pode indicar atividade suspeita.
Regra Manipulações de website por meio de SQL Injection Aciona quando comportamentos anormais como SQL Injection são observados.

A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.

Tabela 26. Dados de Referência no IBM Security QRadar Threat Monitoring Content Extension 2.0.0
Tipo Nome Descrição
Conjunto de Referências URLs de malware Esse conjunto de referência lista as URLs de malware identificadas.
Conjunto de Referências XFE ATPF-mw_url Esse conjunto de referência lista as URLs de malware identificadas.

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.

Tabela 27. Procuras Salvas no IBM Security QRadar Threat Monitoring Content Extension 2.0.0
Nome Descrição
Tempo de resposta por servidor Esta procura mostra o tempo médio de solicitação por servidor.

(Voltar para o topo)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.2.1

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.1.

Tabela 28. Propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.1
Nome Otimizada Grupo de Captura Expressão regular
Nome da Ameaça Sim 1 emailThreats=([^\s]+)

EVC_EV_VIRUS_NAME=([^\s]+)

malware_signature=([^\t]+)

Spyware\/Grayware: ([^\s]+)

threatName=([^\s]+)

virus_name: "(.*?)"

Vírus\/Malware: ([^\s]+)

VirusName=([^\t]+)

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.2.0

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.

Tabela 29. Propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0
Nome Otimizada Grupo de Captura Expressão regular
Tipo de solicitação DNS Não 1

1

2

cat=([^_]+)

Tipo de pergunta=([^\s]+)

consulta:\s([^\s]+)\s\w+\s(\w+)

Subtipo Não 1 Indicador de envio/recebimento=([^\s]+)

A tabela a seguir mostra as propriedades customizadas usadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0 que estão localizadas em outras extensões de conteúdo.

Tabela 30. Propriedades customizadas usadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0
Propriedade Customizada Otimizada Localizado em
Código do erro Sim
Nome do Processo Sim
UrlHost Sim

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.

Tabela 31.. Regras e blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 1.2.0
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: DNS Define os dispositivos DNS no sistema.
Regra Comunicação com um potencial host hostil (fluxos) É acionada quando o conteúdo do fluxo inclui um host que corresponde a um host hostil conhecido categorizado pelo X-force ou na coleção de conjunto de referência.
Nota: As URLs Maliciosas, URLs de Malwaree URLs de Phishing conjuntos de referência devem ser preenchidos. O app Threat Intelligence pode ser usado para importar feeds de inteligência de ameaça nesses conjuntos de referência.
Regra Comunicação com um potencial endereço IP hostil (fluxos) É acionada quando o conteúdo do fluxo inclui um IP que corresponde a endereços IP hostis conhecidos categorizados pelo X-force ou na coleção de conjunto de referência.

Nota: Os conjuntos de referência IPs de malware, IPs de Botnet, IPs C & C Botnet, IPs de phishing, IPs de anonimizador devem ser preenchidos. O app Threat Intelligence pode ser usado para importar feeds de inteligência de ameaça nesses conjuntos de referência.

Regra Tráfego SMB negado excessivo de um host comprometido É acionada quando tentativas de conexões SMB excessivas são executadas em um host categorizado como comprometido.
Regra Potencial uso de homógrafo É acionada quando um nome de domínio contém um caractere homógrafo, que poderia fazer um domínio parecer igual a um domínio confiável, e redireciona para um host malicioso.

A função customizada HOMOGLYPH::DETECTED, que é pré-preenchida com 1.792 entradas de caracteres homógrafos, aceita uma sequência e retornará true se a sequência contiver um caractere homógrafo.

Nota: Para visualizar os eventos que acionariam esta regra, use a pesquisa Potencial Homoglyph Usage . Ajuste a regra com caracteres válidos antes de ativar a criação de regra e de ofensa.
Regra Potencial uso de homógrafo (fluxos) É acionada quando um nome de domínio contém um caractere homógrafo, que poderia fazer um domínio parecer igual a um domínio confiável, e redireciona para um host malicioso.

A função customizada HOMOGLYPH::DETECTED, que é pré-preenchida com 1.792 entradas de caracteres homógrafos, aceita uma sequência e retornará true se a sequência contiver um caractere homógrafo.

Nota: Para visualizar os fluxos que acionariam esta regra, use a pesquisa Potencial Homoglyph Uso (Fluxos) . Ajuste a regra com caracteres válidos antes de ativar a criação de regra e de ofensa.
Regra Tráfego SMB permitido de um host comprometido É acionada quando o tráfego SMB tiver sido permitido de um host categorizado como comprometido.
Regra Login bem-sucedido por meio de um host comprometido É acionada quando uma autenticação bem-sucedida é executada em um host que tenha sido categorizado como comprometido.
Regra Comprimento suspeito de consulta de DNS É acionada quando um DNS é anormalmente longo, isso pode indicar domínios DGA e domínios onion.
Regra Programa suspeito iniciando a consulta de DNS (janela) É acionada quando um programa que não é referenciado como legítimo está iniciando uma consulta de DNS.
Nota: O conjunto de referência DNS Application Whitelist deve ser preenchido com aplicativos permitidos para gerar consultas DNS

A gravidade, a credibilidade, a relevância e o limitador de resposta são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.

A tabela a seguir mostra as regras que foram renomeadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.

Tabela 32.. Regras renomeadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0
Nome Antigo Novo Nome
Local: Servidor FTP oculto Local: FTP detectado na porta não padrão
Remoto: Mensagem instantânea/Bate-papo Remoto: quantia suspeita de tráfego de IM/bate-papo
X-Force Premium: conexão interna com o host categorizado como Malware X-Force: conexão interna com o host categorizado como Malware
X-Force Premium: host interno se comunicando com a URL do Botnet Command and Control X-Force: host interno se comunicando com a URL do Botnet Command and Control
X-Force Premium: comunicação do host interno com a URL do malware X-Force: comunicação do host interno com a URL do malware
X-Force Premium: hosts internos se comunicando com o host categorizado como anonymizers X-Force: host interno se comunicando com o host categorizado como anonymizer
X-Force Premium: servidor de e-mail enviando e-mail para servidores categorizados como SPAM X-Force: servidor de e-mail enviando e-mail para servidores categorizados como SPAM
X-Force Premium: servidor de não correio enviando e-mail para servidores categorizados como SPAM X-Force: servidor de não e-mail enviando e-mail para servidores categorizados como SPAM
X-Force Premium: não servidores se comunicando com o IP externo classificado como dinâmico X-Force: não servidores se comunicando com o IP externo classificado como dinâmico
X-Force Premium: servidores se comunicando com o IP externo classificado como dinâmico X-Force: servidores se comunicando com o IP externo classificado como dinâmico

As seguintes regras foram atualizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0 para usar o Endereço de origem em vez do IP de origem:

  • Falha de Comunicação com Website Malicioso
  • Ameaças Múltiplas Detectadas no Mesmo Host
  • Mesma Ameaça Detectada em Vários Hosts
  • Mesma Ameaça Detectada em Vários Servidores
  • Mesma Ameaça Detectada no Mesmo Host
  • Mesma Ameaça Detectada na Mesma Rede em Hosts Diferentes

As regras a seguir foram atualizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0 para usar o Endereço de Destino em vez do IP de Destino:

  • Tráfego SMB negado excessivo de um host comprometido
  • Tráfego SMB permitido de um host comprometido
  • Login bem-sucedido por meio de um host comprometido

A tabela a seguir mostra os conjuntos de referência no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.

Tabela 33. Conjuntos de referência no IBM Security QRadar Threat Monitoring Content Extension 1.2.0
Tipo Nome Descrição
Dados de referência pulse_imports Parte do painel Pulse.
Conjunto de Referências IPs do anonymizer Esse conjunto de referência lista os endereços IP do anonymizer identificados.
Conjunto de Referências IPs do Botnet C&C Esse conjunto de referência lista os endereços IP do servidor Botnet Command and Control identificados.
Conjunto de Referências IPs de Botnet Esse conjunto de referência lista os endereços IP de Botnet identificados.
Conjunto de Referências Hosts comprometidos Esse conjunto de referência lista os hosts comprometidos identificados.
Conjunto de Referências Lista de permissões do aplicativo DNS Esse conjunto de referência especifica a lista de permissões de aplicativos DNS.
Conjunto de Referências URLs maliciosas Esse conjunto de referência lista as URLs maliciosas identificadas.
Conjunto de Referências Categorias da web maliciosas Esse conjunto de referência lista as categorias da web maliciosas identificadas.
Conjunto de Referências IPs de malware Esse conjunto de referência lista os endereços IP de malware identificados.
Conjunto de Referências URLs de malware Esse conjunto de referência lista as URLs de malware identificadas.
Conjunto de Referências IPs de phishing Esse conjunto de referência lista os endereços IP de phishing identificados.
Conjunto de Referências URLs de phishing Esse conjunto de referência lista as URLs de phishing identificadas.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.

Tabela 34. Procuras salvas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0
Nome Descrição
Potencial uso de homógrafo Detecta o uso de caracteres homógrafos.
Potencial uso de homógrafo (fluxos) Detecta o uso de caracteres homógrafos em fluxos.

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.1.0

A tabela a seguir mostra as propriedades customizadas incluídas no IBM Security QRadar Threat Monitoring Content Extension 1.1.0.

Nota: As propriedades customizadas que estão incluídas nesta extensão de conteúdo são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.

A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.1.0.

Tabela 36.. Regras e blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 1.1.0
Tipo Nome Descrição
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal Identifica fluxos que possuem uma combinação de sinalização TCP.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito Identifica fluxos de ICMP com códigos de tipo de Internet Control Message Protocol (ICMP) suspeitos.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 Identifica fluxos suspeitos que usam a porta 0.
Bloco de construção BB:HostDefinition:Proxy Servidores Edite esse bloco de construção para definir servidores proxy típicos. Usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositve: Eventos Falsos Positivos do Servidor Proxy.
Bloco de construção BB:CategoryDefinition: Evento de Aceitação de Firewall ou ACL para um Dispositivo de FW/Roteador/Comutador Define eventos de aceitação de firewall ou ACL de dispositivos de firewall, roteador e comutador.
Bloco de construção BB:DeviceDefinition: Áudio/Vídeo Define todos os antivírus (AV) e anti-malware (AM) no sistema.
Bloco de construção BB:DeviceDefinition: proxy Define todas as origens de proxy no sistema.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Define todos os firewalls, roteadores e comutadores no sistema.
Bloco de construção BB:CategoryDefinition: Eventos de worm Edite esse bloco de construção para definir eventos worm.

Esse bloco de construção aplica-se apenas a eventos não detectados por uma regra customizada.

Bloco de construção BB:CategoryDefinition: SRC do fluxo unidirecional
Bloco de construção BB:Flowshape: Somente saída Corresponde fluxos que são apenas de saída.
Bloco de construção BB:CategoryDefinition: Reconciliar categorias de eventos Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento.
Bloco de construção BB:CategoryDefinition: Categorias de eventos suspeitas Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:Ameaças: Varrendo: Varredura baixa do ICMP Identifica um baixo nível de reconhecimento do ICMP.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero Identifica um tráfego bidirecional que não inclui carga útil.
Bloco de construção BB:Ameaças: Varrendo: Varredura alta Identifica um alto nível de potencial reconhecimento.
Bloco de construção BB:CategoryDefinition: Fluxo unidirecional
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais Identifica fluxos do ICMP unidirecionais.
Bloco de construção BB:Flowshape: Somente entrada Corresponde fluxos que são apenas de entrada.
Bloco de construção BB:CategoryDefinition: Reconciliar fluxos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:Ameaças: Varreduras de portas: Varredura de porta UDP Identifica varreduras de portas baseadas em UDP.
Bloco de construção BB:Ameaças: Varrendo: Varredura média do ICMP Identifica um nível médio de reconhecimento do ICMP.
Bloco de construção BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 500.
Bloco de construção BB:CategoryDefinition: Fluxos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:CategoryDefinition: Eventos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração Identifica fluxos que estiveram ativos por mais de 48 horas.
Bloco de construção BB:Ameaças: Varrendo: Fluxos médios responsivos vazios Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 5.000.
Bloco de construção BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP Identifica fluxos com pacotes do ICMP grandes de forma normal.
Bloco de construção BB:Ameaças: Varrendo: Varredura alta do ICMP Identifica um alto nível de reconhecimento do ICMP.
Bloco de construção BB:Ameaças: Varreduras de portas: Varreduras do host Identifica um possível reconhecimento por fluxos.
Bloco de construção BB:Ameaças: Varrendo: Varredura média Identifica um nível médio de potencial reconhecimento.
Bloco de construção BB:Ameaças: Varrendo: Varredura baixa Identifica um baixo nível de potencial reconhecimento.
Bloco de construção BB:CategoryDefinition: Reconciliar eventos Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento.
Bloco de construção BB:Ameaças: Varrendo: Varredura potencial Identifica um possível reconhecimento por fluxos.
Bloco de construção BB:CategoryDefinition: DST do fluxo unidirecional
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais Identifica fluxos TCP unidirecionais.
Bloco de construção BB:CategoryDefinition: Violação de Política de Correio Edite este bloco de construção para incluir qualquer coisa que você considere uma violação de política baseada em e-mail. Por exemplo, tráfego de saída na porta 25 não originário de um servidor de e-mail.
Bloco de construção BB:Ameaças: Varrendo: Fluxos altos responsivos vazios Detecta potencial atividade reconhecimento em que a contagem de pacotes de origem é maior que 100.000.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS Identifica fluxos com pacotes do DNS anormalmente grandes.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais Identifica UDP unidirecional e outros fluxos diversos.
Regra Proxy Remoto ou Serviço de Anonimização (Entrada)
  • Nova condição de regra: "e quando Fonte ou IP de Destino é categorizado por X-Force ® como Serviços de Anonimização com valor de confiança maior que 75"
  • Condições da regra reordenadas.
Regra Proxy Remoto ou Serviço de Anonimização (Saída)
  • Nova condição de regra: "e quando Fonte ou IP de Destino é categorizado por X-Force como Serviços de Anonimização com valor de confiança maior que 75"
  • Condições da regra reordenadas.
Regra WormDetection: Conexões de Êxito com a Internet em Portas Worm Comuns Atualização do teste de regra para remover dois blocos de construção e usar um novo para validação com relação apenas às conexões estabelecidas com sucesso:

and when any of these BB:CategoryDefinition: Successful Communication, BB:CategoryDefinition: Firewall or ACL Accept Event for a FW/Router/Switch Device with the same source IP more than 300 times, across more than 300 destination IP within 20 minutes

Regra Conexão de entrada bem-sucedida a partir de um Botnet CandC conhecido Condições de regra atualizadas para filtrar eventos/fluxos corretamente.
Regra Comunicação com um website que esteve envolvido em uma injeção de SQL anterior Regra renomeada (usada para ser site em vez de Web site.)
Regra Comunicação com um website que está listado em uma lista de bloqueio conhecida ou que usa fluxo rápido Regra renomeada (usada para ser site em vez de Web site.)
Regra Exploração Encadeada Seguida de Eventos Suspeitos no Terceiro Host Relata uma atividade do tipo ataque ou exploração do mesmo IP de origem, seguida de uma atividade de conta suspeita do mesmo IP de destino que o evento original dentro de 15 minutos, caso o IP de origem não seja igual ao IP de destino.

Essa regra fica desativada por padrão, pois deve ser usada como uma alternativa para a regra Exploração Encadeada Seguida de Eventos Suspeitos que ignora eventos com o mesmo IP de origem e destino.

Regra Ameaças Múltiplas Detectadas no Mesmo Host Indica que várias ameaças são detectadas no mesmo host.
Regra Mesma Ameaça Detectada em Vários Hosts Indica que a mesma ameaça é detectada em vários hosts que não são servidores.
Regra Mesma Ameaça Detectada em Vários Servidores Indica que a mesma ameaça é detectada em vários hosts que são servidores.
Regra Mesma Ameaça Detectada no Mesmo Host Indica que a mesma ameaça é detectada no mesmo host. Isso pode indicar que o AV está limpando um arquivo gerado pela ameaça, e não a ameaça em si. O espaço de tempo deve ser grande o suficiente para cobrir pelo menos dois ciclos de verificações feitas pelo AV.
Regra Mesma Ameaça Detectada na Mesma Rede em Hosts Diferentes Indica que a mesma ameaça é detectada em diferentes hosts na mesma hierarquia de rede.
Regra Falha de Comunicação com Website Malicioso Alerta quando há falha na comunicação com um website malicioso.
Regra Comunicação com Sucesso com Website Malicioso Alerta quando é feita uma comunicação com sucesso com um website malicioso.

A tabela a seguir mostra os dados de referência que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.1.0.

Tabela 37.. Dados de Referência no IBM Security QRadar Threat Monitoring Content Extension 1.1.0
Tipo Nome Descrição
Conjunto de Referências Categorias da web maliciosas Define categorias da web maliciosas.

É preenchido previamente com sete categorias da web maliciosas.

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.3

A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Threat Monitoring Content Extension 1.0.3.

Tabela 38.. Regras no IBM Security QRadar Threat Monitoring Content Extension 1.0.3
Tipo Nome Descrição da mudança
Regra Conexão de Entrada com Sucesso de um Comando de Botnet e Controle Conhecidos Atualização do teste de regra para alterar um valor 'any' para 'all'. Os administradores que modificaram essa regra precisam revisar seus testes de regra para determinar que o valor all foi configurado:

and when a flow or an event matches all of the following BB:CategoryDefinition: Firewall or ACL Accept, BB:CategoryDefinition: Successful Communication, BB:DeviceDefinition: FW / Router / Switch

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.2

A tabela a seguir mostra os blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.0.2.

Tabela 39. Blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 1.0.2
Tipo Nome Descrição da mudança
Bloco de construção BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais Atualização do último teste de regra do BB de fluxos remotos para usar um dos seguintes testes:

and when BB:Threats:Suspicious IP Protocol Usage: Unidirectional UDP and Misc Flows match at least 15 times in 1 minutes

Bloco de construção BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais Atualização do último teste de regra do BB de fluxos locais para usar um dos seguintes testes:

and when BB:Threats:Suspicious IP Protocol Usage: Unidirectional UDP and Misc Flows match at least 15 times in 1 minutes.

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.1

A tabela a seguir mostra os blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.0.1.

Tabela 40. Regras e blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 1.0.1
Tipo Descrição Descrição da mudança
Regra Botnet: Potencial Conexão de Botnet (DNS) Incluído um teste de regra:

 BB:DeviceDefinition: FW/Router/Switch to rule
Regra WormDetection: Conexões de Êxito com a Internet em Portas Worm Comuns Incluído um teste de regra:

 BB:DeviceDefinition: FW/Router/Switch to rule
Regra Botnet: Conexões de Entrada com Sucesso de um Comando de Botnet e Controle Conhecidos Incluído um teste de regra:

 BB:DeviceDefinition: FW/Router/Switch to rule
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Salto pré-DMZ Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Salto pós-DMZ Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.

IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.0

A extensão Threat Theme inclui 2 propriedades de eventos customizados para identificar URLs, 10 conjuntos de referência, 58 regras relacionadas a ameaças e 56 blocos de construção para um total de 126 complementos de conteúdo para o QRadar. Esse pacote de extensão / conteúdo é necessário para quaisquer administradores com feeds de reputação de IP do X-Force Premium ativados em seus dispositivos IBM QRadar SIEM . A instalação desse conteúdo inclui regras X-Force necessárias que funcionam com os feeds de reputação do IBM X-Force Exchange.

Propriedades de evento customizado incluídas pela extensão de ameaça

Nome Expressão regular
URL \(URL=(.*?)\)
URL (?:cs-uri=| )(?:http|ftp|tcp|https):\/\/(.+?)\s
Conjuntos de referência que são incluídos pela extensão de ameaça
Nome Tipo
Servidores do Sistema de Nomes de Domínio Conjunto de referência
Servidores do Banco de Dados Conjunto de referência
Servidores DHCP Conjunto de referência
Servidores FTP Conjunto de referência
Servidores LDAP Conjunto de referência
Servidores de Correio Conjunto de referência
Servidores Proxy Conjunto de referência
Servidores SSH Conjunto de referência
Servidores da web Conjunto de referência
Servidores Windows Conjunto de referência
Regras incluídas pela extensão de ameaça
Nome Categoria
X-Force Premium: comunicação de host interno com URL malware Ameaças (X-Force)
X-Force Premium: Conexão Interna para o Host Categorizado como Malware Ameaças (X-Force)
X-Force Premium: host interno se comunicando com URL comando e controle de botnet Ameaças (X-Force)
X-Force Premium: Hosts Internos Comunicando-se com o Host Categorizado como Anonymizers Ameaças (X-Force)
X-Force Premium: Servidores Se Comunicando com IP Externo Classificado como Dinâmico Ameaças (X-Force)
X-Force Premium: Não Servidores Se Comunicando com IP Externo Classificado como Dinâmico Ameaças (X-Force)
X-Force Premium: Servidor Sem Correio Envio Correio para Servidores Categorizado como SPAM Ameaças (X-Force)
X-Force Premium: Mail Server Enviando Correio para Servidores Categorizados como SPAM Ameaças (X-Force)
Host de Correspondência em Massa Local Detectado Atividade de Pós-intrusão
Remoto: Atividade de DNS Baseada em Cliente para a Internet Atividade de Pós-intrusão
Possível Worm Local Detectado Atividade de Pós-intrusão
Local: Servidor FTP oculto Atividade de Pós-intrusão
Local: SSH ou Telnet detectado na porta não padrão Atividade de Pós-intrusão
Conexões de Sucesso com a Internet em Portas Worm Comuns Atividade de Pós-intrusão
Worm Detectado (Eventos) Atividade de Pós-intrusão
Host Local Enviando Malware Malware
Remoto: Conexões IRC Conformidade
Remoto: Mensagem instantânea/Bate-papo Conformidade
Remoto: Servidor P2P local detectado Conformidade
Remoto: Uso de Usenet Conformidade
Remoto: SSH ou Telnet detectado na porta não padrão Conformidade
Remoto: Cliente P2P local detectado Conformidade
Remoto: Cliente P2P local conectado a mais de 100 servidores Conformidade
Remoto: Servidor P2P local conectado a mais de 100 Clientes Conformidade
Remoto: Servidor FTP oculto Conformidade
Comunicação com um website conhecido por estar envolvido em atividade de botnet Ameaças
Local: Servidor FTP oculto Ameaças
Local: SSH ou Telnet detectado na porta não padrão Ameaças
Remoto: Cliente P2P local detectado Ameaças
Conexão com Proxy Remoto ou Serviço de Anonimização (Saída) Ameaças
Comunicação com um website conhecido por estar associado à rede de negócios russa Ameaças
Comunicação com um website conhecido por ajudar na distribuição de malware Ameaças
Conexão de Botnet potencial (DNS) Ameaças
Remoto: Mensagem instantânea/Bate-papo Ameaças
Os eventos de Botnet potenciais tonam-se ofensas Ameaças
Remoto: Servidor FTP oculto Ameaças
Potencial Acesso ao Honeypot Ameaças
Conexão de entrada bem-sucedida a partir de um Botnet CandC conhecido Ameaças
Remoto: Servidor P2P local detectado Ameaças
Remoto: Servidor P2P local conectado a mais de 100 Clientes Ameaças
Remoto: Emissor de E-mail SMTP Ameaças
Remoto: SSH ou Telnet detectado na porta não padrão Ameaças
Comunicação com um site que esteve envolvido em uma injeção de SQL anterior Ameaças
Conexão potencial com um Botnet CandC conhecido Ameaças
Host local no Botnet CandC List (SRC) Ameaças
Host local no Botnet CandC List (DST) Ameaças
Comunicação com um website conhecido por entregar código que pode ser troia Ameaças
Comunicação com um website conhecido por ser um site de phishing ou fraude Ameaças
Comunicação com um site listado em uma lista de bloqueio conhecida ou que usa fluxo rápido Ameaças
Conexão com um Proxy Remoto ou Serviço de Anonimização (Entrada) Ameaças
Remoto: Cliente P2P local conectado a mais de 100 servidores Ameaças
Remoto: Conexões IRC Botnet
Conexão de Botnet potencial (DNS) Botnet
Os eventos de Botnet potenciais tonam-se ofensas Botnet
Conexão de entrada bem-sucedida a partir de um Botnet CandC conhecido Botnet
Conexão potencial com um Botnet CandC conhecido Botnet
Host local no Botnet CandC List (SRC) Botnet
Host local no Botnet CandC List (DST) Botnet
Blocos de construção incluídos pela extensão de ameaça
Nome Categoria
BB:ProtocolDefinition: Protocolos do Windows Port\Protocol Definition
BB:PortDefinition: Portas do banco de dados Port\Protocol Definition
BB:PortDefinition: Portas FTP Port\Protocol Definition
BB:PortDefinition: Portas IRC Port\Protocol Definition
BB:PortDefinition: Portas do Windows Port\Protocol Definition
BB:PortDefinition: Portas SNMP Port\Protocol Definition
BB:PortDefinition: Portas RPC Port\Protocol Definition
BB:PortDefinition: Portas Syslog Port\Protocol Definition
BB:PortDefinition: Portas SSH Port\Protocol Definition
BB:PortDefinition: Portas LDAP Port\Protocol Definition
BB:PortDefinition: portas de e-mail Port\Protocol Definition
BB:PortDefinition: Portas DNS Port\Protocol Definition
BB:PortDefinition: Portas DHCP Port\Protocol Definition
BB:PortDefinition: Portas da Web Port\Protocol Definition
BB:PortDefinition: Portas Worm comuns Port\Protocol Definition
BB:HostReference: Servidores LDAP Definições de Host
BB:HostDefinition: Definição de vírus e outros servidores de atualização Definições de Host
BB:HostDefinition: Servidores FTP Definições de Host
BB:HostDefinition: Ativos DMZ Definições de Host
BB:HostReference: Servidores da Web Definições de Host
BB:HostDefinition: Servidores Windows Definições de Host
BB:HostDefinition: Servidores Definições de Host
BB:HostReference: Servidores FTP Definições de Host
BB:HostDefinition: Serviços SSH Definições de Host
BB:HostDefinition: Servidores de banco de dados Definições de Host
BB:HostDefinition: Servidores LDAP Definições de Host
BB:HostDefinition: Servidores da Web Definições de Host
BB:HostDefinition: Servidores Syslog e Emissores Definições de Host
BB:HostDefinition: servidores de e-mail Definições de Host
BB:HostDefinition: Servidores DNS Definições de Host
BB:HostReference: Servidores Windows Definições de Host
BB:HostDefinition: VoIP PBX Server Definições de Host
BB:HostReference: Servidores DNS Definições de Host
BB:HostReference: Servidores de banco de dados Definições de Host
BB:HostDefinition: Servidores RPC Definições de Host
BB:HostReference: Servidores SSH Definições de Host
BB:HostReference: servidores de e-mail Definições de Host
BB:HostDefinition: Servidores de gerenciamento de rede Definições de Host
BB:HostDefinition: Servidores DHCP Definições de Host
BB:HostDefinition: Servidores proxy Definições de Host
BB:HostReference: Servidores Proxy Definições de Host
BB:HostDefinition: Remetente ou destinatário de SNMP Definições de Host
BB:HostReference: Servidores DHCP Definições de Host
BB:PolicyViolation: Violação de Política de IM de IRC: Conexão IRC com a Internet Política
BB:PolicyViolation: Violação de Política de Correio: Emissor de E-mail de Saída Política
BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM Política
BB:PolicyViolation: Violação de Política de Aplicativo: NNTP para Internet Política
BB:CategoryDefinition: Detecção de IRC com Base em Eventos do Firewall Definições de Categoria
BB:CategoryDefinition: Aceitação de Firewall ou ACL Definições de Categoria
BB:CategoryDefinition: Qualquer Fluxo Definições de Categoria
BB:CategoryDefinition: Comunicação bem-sucedida Definições de Categoria
BB:CategoryDefinition: IRC Detectado com Base na Categoria de Evento Definições de Categoria
BB:CategoryDefinition: IRC Detectado com Base no Aplicativo Definições de Categoria
BB:CategoryDefinition: Negações do Firewall ou ACL Definições de Categoria
BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais Definições de Categoria
BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais Definições de Categoria
BB:NetworkDefinition: Honeypot como endereços Definição de Rede
BB:Threats: DoS: Potencial Ataque Multihost Ameaças