Monitoramento de ameaça
IBM Security QRadar Threat Monitoring Content Extension adiciona conteúdo de regras e blocos de construção ao QRadar que se concentram em eventos e detecção de ameaças. Essa extensão aprimora o conjunto de regras de base do QRadar para administradores que possuem novas instalações do QRadar
Esta extensão de conteúdo requer o aplicativo QRadar Threat Intelligence (https://exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:ThreatIntelligence)
Esta extensão de conteúdo inclui um ou mais painéis do Pulse. Para obter mais informações sobre painéis Pulse, consulte QRadar Pulse app.
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 3.1.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 3.0.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.6.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.6
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.5
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.4.1
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.4.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.3.1
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.3.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.2.1
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.2.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.1.1
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.1.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.0.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.2.1
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.2.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.1.0
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.3
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.2
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.1
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.0
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 3.1.0
A tabela a seguir mostra as regras que são atualizadas em IBM Security QRadar Threat Monitoring Content Extension 3.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Extensão do Chromeloader identificada | Essa regra alerta sobre a lógica que é consistente com ChromeLoader. Um argumento de comando codificado, com o carregamento de extensões no Chrome, foi identificado nos registros. A fonte para essa regra é o Red Canary, o relatório de detecção de ameaças e o site ChromeLoader. |
| Regra | Chromeloader NW.js Caminhos de instalação do aplicativo de tempo de execução | Essa regra detecta ChromeLoader verificando se há instâncias de aplicativos NW.js que não têm assinatura e são executados a partir de%AppData/Roaming%. Esse comportamento não é exclusivo do site ChromeLoader, e pode ser necessário algum ajuste para evitar a detecção de aplicativos legítimos. Uma lista parcial de ChromeLoader comuns, como caminhos de instalação de aplicativos NW.js runtime , está incluída nessa regra para ajudar a distinguir o sinal do ruído. |
| Regra | Atividade potencial do PromptLock detectada | PromptLock é uma nova variante de ransomware que usa um arquivo Golang malicioso para gerar arquivos LUA maliciosos personalizados para executar esse ataque. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 3.0.0
A tabela a seguir mostra as regras que são atualizadas em IBM Security QRadar Threat Monitoring Content Extension 3.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Agentes de usuário mal-intencionados conhecidos | Essa regra foi criada para detectar vários agentes de usuário mal-intencionados conhecidos. |
| Regra | HTTP Solicitação com agente de usuário vazio | Essa regra detecta uma solicitação HTTP com um agente de usuário vazio. |
| Regra | Agentes de usuário suspeitos | Essa regra foi criada para detectar agentes de usuário suspeitos que exigem investigação adicional. |
| Regra | SocGholish_Malware_WScript_Reconnaissance | Essa regra detecta a ameaça SocGholish que realiza a atividade de acesso inicial no ambiente, executando JavaScript usando wscript.exe. |
| Regra | SocGholish_Malware_Whoami_Reconnaissance | Essa regra detecta a atividade de reconhecimento em que os invasores executam o comando e tentam gerar o conteúdo dele. |
Atualizados os widgets Novos destinos de alto risco e Destinos de alto risco-Pizza no painel de pulso de gerenciamento de superfície de ataque.
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.6.0
A tabela a seguir mostra as regras que são atualizadas em IBM Security QRadar Threat Monitoring Content Extension 2.6.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Novo destino de alta prioridade detectado | Acionadores quando um novo destino de alta prioridade é detectada |
Atualizados os widgets Novos destinos de alto risco e Destinos de alto risco-Pizza no painel de pulso de gerenciamento de superfície de ataque.
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.6
A tabela a seguir mostra as regras que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.6.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: Servidores da web | Define eventos que são detectados pelo sistema local e quando os eventos foram detectados pelo Apache HTTP Server, Microsoft IIS, NGINX HTTP Serverou Amazon AWS Route 53. |
| Regra | Manipulações de website por meio de SQL Injection | Aciona quando comportamentos anormais, como injeção de SQL, são observados. Força o evento detectado a criar uma nova ofensa e selecionar a ofensa por endereço IP de origem |
| Regra | Microsoft Windows Vulnerabilidade RCE-Download Suspeito Usando Certutil | Esta regra detecta as vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082" Exchange Server. Force o evento detectado para criar uma nova ofensa e selecione a ofensa por endereço IP de origem |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.5
A tabela a seguir mostra as regras novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.5.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Microsoft Windows Vulnerabilidade RCE-Modificação de Arquivo | Detecta vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082". |
| Regra | Microsoft Windows Vulnerabilidade RCE-Download Suspeito Usando Certutil | Detecta vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082". |
| Regra | Microsoft Windows Vulnerabilidade RCE-Arquivos Suspeitos | Detecta vulnerabilidades de Execução de Código Remoto no Microsoft Exchange A Microsoft emitiu "CVE-2022-41040" e "CVE-2022-41082". |
| Regra | Microsoft Windows Vulnerabilidade RCE-Hashes Suspeitos | Detecta hashes conhecidos do RCE SHA256 do Windows |
| Regra | Microsoft Windows Vulnerabilidade RCE-Ips Suspeitos | Detecta IPs conhecidos do RCE do Windows Nota: ajuste a regra com base em origens de log para reduzir o número de eventos correspondentes a essa regra.
|
A tabela a seguir mostra as propriedades customizadas que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.5.
| Nome | Otimizada | Descrição |
|---|---|---|
| Diretório de Arquivos | Sim | Extração customizada padrão do Diretório de Arquivo a partir da carga útil do DSM. |
| Nome do Arquivo | Sim | Extração customizada padrão de Nome do arquivo a partir de carga útil do DSM |
| Process CommandLine | Sim | Extração customizada padrão do Process CommandLine a partir da carga útil do DSM. |
| UrlHost | Sim | Extração customizada padrão de UrlHost a partir da carga útil do DSM |
A tabela a seguir mostra os conjuntos de referência novos no IBM Security QRadar Threat Monitoring Content Extension 2.5.5.
| Nome |
|---|
| IPs do Windows RCE |
| RCE do Windows SHA256 Hashes |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.5.0
A tabela a seguir mostra as regras novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: Gerenciamento da superfície de ataque | Define todos os dispositivos de gerenciamento de superfície de ataque no sistema |
| Regra | Novo Destino de Tentação Crítica Detectado | Aciona quando um novo destino de tentação crítica é detectada |
| Regra | Novo destino de alta prioridade detectado | Acionadores quando um novo destino de alta prioridade é detectada |
| Regra | Novo destino de alta tentação detectado | É acionado quando um novo destino de alta tentação é detectado |
| Regra | Destino de Tentação Crítica Alterado para Tentação Inferior | Aciona quando um alvo de tentação crítica diminuiu para tentação média ou baixa. |
| Regra | Destino de alta prioridade alterado para baixa prioridade | Aciona quando um destino de alta prioridade diminui no valor de prioridade |
| Regra | Destino de Alta Tentação Alterado para Menor Tentação | Aciona quando um alvo de alta tentação diminui para média ou baixa tentação. |
A tabela a seguir mostra as propriedades customizadas que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.5.0.
| Nome | Descrição |
|---|---|
| Prioridade | Extração customizada padrão de Prioridade da carga útil do DSM. |
| ID de destino | Extração customizada padrão do ID de Destino a partir da carga útil do DSM. |
| Tentação | Extração customizada padrão do Temptation a partir de carga útil do DSM |
A tabela a seguir mostra os conjuntos de referência que são novos no IBM Security QRadar Threat Monitoring Content Extension 2.5.0.
| Nome | Descrição |
|---|---|
| Destino de tentação crítica | Mantém a lista de destinos de tentação críticos |
| Destino de Alta Prioridade | Mantém a lista de destinos de alta prioridade |
| Destino de Alta Tentação | Mantém a lista de alvos de alta tentação |
Um novo Painel do Pulse foi incluído, Visão geral de dispositivos de gerenciamento de superfície de ataque.
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.4.1
- Ameaças Múltiplas Detectadas no Mesmo Host (por Identificador de Máquina)
- Mesma Ameaça Detectada no Mesmo Host (por Identificador de Máquina)
- Mesma Ameaça Detectada na mesma Rede Diferentes Hosts (por Machine Identifier)
- Mesma Ameaça Detectada em Vários Hosts (por Identificador de Máquina)
- Mesma Ameaça Detectada em Vários Servidores (por Identificador de Máquina)
- Múltiplas Ameaças não limpas detectadas no Mesmo Host (por Identificador de Máquina)
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.4.0
A tabela a seguir mostra as regras atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.4.0.
| Tipo | Nome | Atualizar |
|---|---|---|
| Regra | Diversas ameaças não limpas detectadas no mesmo host | Condição de regra atualizada. |
| Regra | Origem de Vários Vetores de Ataque | Regra atualizada para usar BB:CategoryDefinition: Virus Detected em vez de BB:CategoryDefinition: Malware Annoyances. |
| Regra | Potencial inundação HTTP DoS | Condição de regra atualizada. |
| Regra | Tráfego SMB permitido de um host comprometido | Link conjunto de referência incorreto fixo. |
| Regra | Login bem-sucedido por meio de um host comprometido | Link conjunto de referência incorreto fixo. |
| Regra | Atividades suspeitas do servidor da web | Condição de regra atualizada. |
- BB:CategoryDefinition: Incômodos de Malware
- BB:PolicyViolation: Violação de Política de Aplicativo: NNTP para Internet
- BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM
- BB:PolicyViolation: Violação de Política de Correio: Emissor de E-mail de Saída
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.3.1
IBM Security QRadar Threat Monitoring Content Extension 2.3.1 inclui uma correção para um problema que fez a instalação falhar no QRadar 7.4.1 e anterior.
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.3.0
A tabela a seguir mostra os blocos de construção novos no IBM Security QRadar Threat Monitoring Content Extension 2.3.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: Comunicação com um possível hospedeiro hostil (conjuntos de referência de fluxos) | Define a comunicação com um potencial host hostil, categorizado por conjuntos de referência. Os conjuntos de referência começando com prefixos "XFE ATPF" são gerenciados automaticamente pelo app Threat Intelligence e exigia uma assinatura paga. Os outros conjuntos de referência fornecidos pelo app Threat Intelligence podem ser usados para inclusão de feeds de terceiros Threat Intelligence. |
| Bloco de construção | BB:BehaviorDefinition: Comunicação com um possível host hostil (Categorização de fluxos X-Force) | Define comunicação com um potencial host hostil, categorizado por X-Force. O fator de confiança varia entre 0-100. |
| Bloco de construção | BB:BehaviorDefinition: Comunicação com um endereço IP potencialmente hostil (conjuntos de referência de fluxos) | Define a comunicação com um potencial endereço IP hostil, categorizado por conjuntos de referência. Os conjuntos de referência começando com prefixos "XFE ATPF" são gerenciados automaticamente pelo app Threat Intelligence e exigia uma assinatura paga. Os outros conjuntos de referência fornecidos pelo app Threat Intelligence podem ser usados para inclusão de feeds de terceiros Threat Intelligence. |
| Bloco de construção | BB:BehaviorDefinition: Comunicação com um endereço IP potencialmente hostil (Categorização X-Force de fluxos) | Define a comunicação com um potencial endereço IP hostil, categorizado por X-Force. |
A lista a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.3.0.
- BB: Ameaças: Tráfego De Rede Suspeito
- BB: Ameaças: Tráfego De Rede IP Suspeito
- BB: Ameaças: X-Force Premium: Conexão Interna para o Host Categorizado como Cryptocurrency Mining
- Comunicação com um Potencial Anfitrião Hostil (Fluxos)
- Comunicação com um Potencial Endereço IP Hostil (Fluxos)
- X-Force: Conexão Interna para o Host Categorizado como Malware
- X-Force: Host Interno Comunicando com o Host Categorizado como Anonymizer
- X-Force: Mail Server Sending Mail to Server Categorizado como SPAM
- X-Force: Servidor Não Correio Sending Mail para Servidores Categorizados como SPAM
- X-Force: Não Servidores Comunicando com IP Externo Classificado como Dinâmico
- X-Force: Servidores Comunicando com IP Externo Classificado como Dinâmico
- X-Force: Conexão de Entrada bem-sucedida a partir de um Serviço de Proxy Remoto ou Anonimização
- X-Force: Conexão de Saída bem-sucedida a um Serviço de Proxy Remoto ou Anonimização
A lista a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.3.0.
| Tipo | Nome | Atualizar Detalhes |
|---|---|---|
| Bloco de construção | DeviceDefinition: DNS | Adicionadas fontes de log adicionais. |
| Bloco de construção | DeviceDefinition: Servidores da Web | Adicionadas fontes de log adicionais. |
| Regra | Log4Shell Base Pattern in Flows | Removido BB:CategoryDefinition Comunicação bem-sucedida |
| Regra | Log4Shell Evasion Pattern in Flows | Removido BB:CategoryDefinition Comunicação bem-sucedida |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.2.1
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Múltiplas Ameaças Detectadas no Mesmo Host | Acionamentos quando várias ameaças são detectadas no mesmo host. |
| Regra | Mesma Ameaça Detectada em Vários Hosts | Disparos quando a mesma ameaça é detectada em vários hospedeiros que não são servidores, o que pode indicar a presença de malwares que está se espalhando em uma rede. |
| Regra | Mesma Ameaça Detectada em Vários Servidores | Disparos quando a mesma ameaça é detectada em vários hospedeiros que são servidores, o que pode indicar a presença de malwares que está se espalhando em uma rede. |
| Regra | Mesma Ameaça Detectada no Mesmo Host | Disparos quando a mesma ameaça é detectada várias vezes no mesmo hospedeiro. Essa regra pode indicar que o AV está limpando um arquivo que é gerado pela ameaça e não a ameaça em si. O espaço de tempo deve ser grande o suficiente para cobrir pelo menos dois ciclos de verificações feitas pelo AV. |
| Regra | Mesma Ameaça Detectada na Mesma Rede Hosts Diferentes | Disparos quando a mesma ameaça é detectada em diferentes hospedeiros no mesmo segmento de uma hierarquia de rede, o que pode indicar a presença de malwares que está se espalhando na rede. |
| Regra | X-Force: Conexão de Saída bem-sucedida a um Serviço de Proxy Remoto ou Anonimização | Aciona quando a comunicação com um proxy remoto ou um serviço de anonimização é observado. Esses serviços geralmente se escondem no endereço de origem do IP de Origem. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.2.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.
| Nome | Otimizada | Localizado em |
|---|---|---|
| Hash de Arquivo | Sim | |
| Tipo de Conteúdo HTTP | Sim | Baseline Maintenance |
| GET Request HTTP | Sim | Baseline Maintenance |
| Host HTTP | Sim | Baseline Maintenance |
| Referenciador HTTP | Sim | Baseline Maintenance |
| HTTP Server | Sim | Baseline Maintenance |
| Agente do usuário de HTTP | Sim | Baseline Maintenance |
A tabela a seguir mostra as funções customizadas que são novas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.
| Nome | Descrição |
|---|---|
| Detectado Log4j | Detecta técnicas de ofuscação log4j. |
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Acesso ao Banco de Dados Negado | Identifica eventos de banco de dados considerados acesso negado. |
| Bloco de construção | BB:CategoryDefinition: Incômodos de Malware | Define eventos de infecção de spyware. |
| Bloco de construção | BB:CategoryDefinition: Vírus Detectado | Define eventos de detecção de vírus. |
| Bloco de construção | BB:FalseNegative: Eventos que Indicam Compromisso de Sucesso | Define eventos de comprometimento bem-sucedido. |
| Bloco de construção | BB:NetworkDefinition: Espaço IP Indefinido | Define áreas de sua rede que não contém nenhum host válido. |
| Bloco de construção | BB:NetworkDefinition: Endereços da Lista de Observação | Define-se redes para serem incluídas em uma lista de observação. |
| Regra | Exploração Seguida de Atividade Suspeita do Host | Aciona quando eventos de exploração ou ataque são seguidos por evento de atividade suspeita, o que pode indicar um ataque bem-sucedido. |
| Regra | Exploração: Explorações Seguidas de Aceitações de Firewall | Aciona quando eventos de exploração ou ataque são seguidos por eventos de aceitação de firewall, o que pode indicar um ataque bem-sucedido. |
| Regra | Exploração/Eventos de Malware em Vários Destinos | Aciona quando os eventos de exploração ou malware são vistos em diversos hosts de destino. Isso poderia indicar um software malicioso ou um invasor explorando hospedeiros vulneráveis na rede. |
| Regra | Log4Shell Base Pattern in Flows | Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações. |
| Regra | Log4Shell Evasion Pattern in Flows | Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações. |
| Regra | Log4Shell Hash in Events | Incluído Hash de arquivo à condição de regra |
| Regra | Diversas ameaças não limpas detectadas no mesmo host | Aciona quando diversas ameaças foram detectadas no mesmo host em que a ação antivírus tomada não é limpar ou nem quarentena. Nota: Esta regra deve ser ajustada para refletir as ações de antivírus aceitáveis.
|
| Regra | Origem de Vários Vetores de Ataque | Aciona quando um host de origem tenta diversos vetores de ataque. Isso poderia indicar que o host de origem está especificamente visando um ativo. |
| Regra | Potencial ataque DoS por meio do Tempo de resposta do servidor web | Regra atualizada para corresponder ao QID. |
| Regra | Potencial atividade Log4Shell | Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações. |
| Regra | Potencial atividade Log4Shell(Flows) | Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações. |
| Regra | Origem Vulnerável a qualquer Exploração | Aciona quando um host local for atacado onde a origem tem pelo menos uma vulnerabilidade. Isso poderia indicar que o host foi visado em uma exploração anterior. |
| Regra | Origem Vulnerável a esta Exploração | Aciona quando um host local é atacado onde o host de origem é vulnerável ao ataque que está sendo usado. Isso poderia indicar que o host foi visado em uma exploração ou vulnerabilidade anterior. |
| Regra | Comprometimento de assinatura bem-sucedido | Aciona quando uma assinatura de host foi comprometida com sucesso. |
| Regra | Manipulação de website por meio de SQL Injection | Atualizado o filtro AQL. |
- BB:CategoryDefinition: Qualquer Fluxo
- BB:CategoryDefinition: Sucesso de Autenticação
- BB:CategoryDefinition: Explorar Backdoors e Trojans
- BB:CategoryDefinition: Aceitação de Firewall ou ACL
- BB:CategoryDefinition: Negações do Firewall ou ACL
- BB:CategoryDefinition: IRC Detectado com Base no Aplicativo
- BB:CategoryDefinition: IRC Detectado com Base na Categoria de Evento
- BB:CategoryDefinition: Detecção de IRC com Base em Eventos do Firewall
- BB:CategoryDefinition: Violação de Política de Correio
- BB:CategoryDefinition: Atividade da Conta Pós-exploração
- BB:CategoryDefinition: Reconciliar categorias de eventos
- BB:CategoryDefinition: Reconciliar eventos
- BB:CategoryDefinition: Reconciliar fluxos
- BB:CategoryDefinition: Comunicação bem-sucedida
- BB:CategoryDefinition: Categorias de eventos suspeitas
- BB:CategoryDefinition: Eventos suspeitos
- BB:CategoryDefinition: Fluxos suspeitos
- BB:CategoryDefinition: Fluxo unidirecional
- BB:CategoryDefinition: DST do fluxo unidirecional
- BB:CategoryDefinition: SRC do fluxo unidirecional
- BB:DeviceDefinition: Áudio/Vídeo
- BB:DeviceDefinition: FW/Roteador/Comutador
- BB:DeviceDefinition: IDS / IPS
- BB:DeviceDefinition: proxy
- BB:Flowshape: Somente entrada
- BB:Flowshape: Somente saída
- BB:HostDefinition: Servidores de banco de dados
- BB:HostDefinition: Servidores DHCP
- BB:HostDefinition: Servidores DNS
- BB:HostDefinition: Servidores FTP
- BB:HostDefinition: Servidores LDAP
- BB:HostDefinition: servidores de e-mail
- BB:HostDefinition: Servidores de gerenciamento de rede
- BB:HostDefinition: Servidores proxy
- BB:HostDefinition: Servidores RPC
- BB:HostDefinition: Servidores
- BB:HostDefinition: Remetente ou destinatário SNMP
- BB:HostDefinition: Servidores SSH
- BB:HostDefinition: Definição de vírus e outros servidores de atualização
- BB:HostDefinition: Servidores da Web
- BB:HostDefinition: Servidores Windows
- BB:HostReference: Servidores de banco de dados
- BB:HostReference: Servidores DHCP
- BB:HostReference: Servidores DNS
- BB:HostReference: Servidores FTP
- BB:HostReference: Servidores LDAP
- BB:HostReference: servidores de e-mail
- BB:HostReference: Servidores Proxy
- BB:HostReference: Servidores SSH
- BB:HostReference: Servidores da Web
- BB:HostReference: Servidores Windows
- BB:NetworkDefinition: Honeypot como endereços
- BB:PortDefinition: Portas Worm comuns
- BB:PortDefinition: Portas do banco de dados
- BB:PortDefinition: Portas DHCP
- BB:PortDefinition: Portas DNS
- BB:PortDefinition: Portas FTP
- BB:PortDefinition: Portas IRC
- BB:PortDefinition: Portas LDAP
- BB:PortDefinition: portas de e-mail
- BB:PortDefinition: Portas de Proxy
- BB:PortDefinition: Portas RPC
- BB:PortDefinition: Portas SNMP
- BB:PortDefinition: Portas SSH
- BB:PortDefinition: Portas Web
- BB:PortDefinition: Portas do Windows
- BB:ProtocolDefinition: Protocolos do Windows
- Local: FTP detectado na porta não padrão
- Local: SSH ou Telnet detectado na porta não padrão
- Possível Servidor IRC Local
- Potencial Acesso ao Honeypot
- Remoto: FTP Detectado em Porta Não Padrão
- Remoto: Cliente P2P local conectado a mais de 100 servidores
- Remoto: Cliente P2P local detectado
- Remoto: Servidor P2P local detectado
- Remoto: Emissor de E-mail SMTP
- Remoto: SSH ou Telnet detectado na porta não padrão
- Remoto: quantia suspeita de tráfego de IM/bate-papo
- Remoto: Uso de Usenet
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.2.0.
| Nome | Descrição |
|---|---|
| Detectado potencial Log4Shell | Procura para detectar atividade Log4j em eventos. |
| Detectado potencial Log4Shell (Flows) | Procura para detectar atividade Log4j em fluxos. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.1.1
Atualizou a manipulação de erros na função customizada HOMOGLYPH::DETECTED que é usada em diversas regras e procuras salvas.
A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.1.1.
| Nome | Descrição |
|---|---|
| URLs maliciosas | Listas as URLs maliciosas dentificadas. |
| URLs de malware | Lista as URLs de malware identificadas. |
| URLs de phishing | Lista as URLs de phishing identificadas. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.1.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.
| Nome | Otimizada | Localizado em |
|---|---|---|
| Caminho da API | Não | Amazon AWS |
| Hash MD5 | Não | Cisco AMP |
| Hash MD5 Pai | Não | Cisco AMP |
| Hash SHA1 Pai | Não | Cisco AMP |
| Pai SHA256 Hash | Não | Cisco AMP |
| URL de Referência | Sim | |
| URI de pedido | Não | Amazon AWS |
| SHA1 Hash | Não | Cisco AMP |
| Hash SHA256 | Não | Cisco AMP |
| URL | Sim | |
| Caminho de URL | Não | Cisco AMP |
| UrlHost | Sim | |
| Agente do usuário | Não |
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Log4Shell Base Pattern | Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações. |
| Regra | Log4Shell Evasion Pattern | Aciona quando uma potencial Execução de código remoto é relatada para Log4Shell Exploit (CVE-2021-44228) é observado. Isso poderia indicar um invasor ignorando-o por meio de técnicas como variáveis de ambiente do sistema, consulta inferior ou superior, caracteres Unicode inválidos, com propriedades superiores de sistema, codificação de URL HTML e notações. |
| Regra | Log4Shell Hash in Events | Aciona quando um IOC (Hash de arquivo) relacionado a Log4Shell Exploit (CVE-2021-44228) é observado em um evento. Nota: O Log4Shell MD5, Log4Shell SHA1, e Log4Shell SHA256 conjuntos de referência foram pré-preenchidos. Ajuste esses conjuntos de referência com o IOC relevante.
|
| Regra | Log4Shell Hash in Flows | Aciona quando um IOC (Hash de arquivo) relacionado a Log4Shell Exploit (CVE-2021-44228) é observado em um fluxo. Nota: O Log4Shell MD5, Log4Shell SHA1, e Log4Shell SHA256 conjuntos de referência foram pré-preenchidos. Ajuste esses conjuntos de referência com o IOC relevante.
|
A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.
| Nome | Descrição |
|---|---|
| Log4Shell MD5 | Este conjunto de referência lista os hashes MD5 associados a Log4Shell (CVE-2021-44228). |
| Log4Shell SHA1 | Este conjunto de referência lista os hashes SHA1 associados a Log4Shell (CVE-2021-44228). |
| Log4Shell SHA256 | Este conjunto de referência lista hashes SHA256 associados a Log4Shell (CVE-2021-44228). |
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.1.0.
| Nome | Descrição |
|---|---|
| Instâncias históricas de Log4Shell - Events | Procura para detectar atividade Log4j em eventos. |
| Instâncias históricas de Log4Shell - Flows | Procura para detectar atividade Log4j em fluxos. |
| Log4Shell Base Pattern | Procura para detectar atividade Log4j. |
| Log4Shell Evasion Pattern | Procura para detectar atividade Log4j. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 2.0.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.
| Nome | Otimizada | Localizado em |
|---|---|---|
| BytesReceived | Sim | |
| BytesSent | Sim | |
| Método | Não | |
| URL de Referência | Sim | |
| Código de resposta | Não | |
| Tempo de resposta do servidor | Sim | Apache |
| Cadeia de Consultas URL | Não |
A tabela a seguir mostra as regras e blocos de construção que são novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: Servidores da web | Define os dispositivos DNS no sistema. |
| Bloco de construção | BB:Ameaças: Status do cliente HTTP | Detecta solicitações malformadas de cliente de servidor da web. |
| Bloco de construção | BB:Ameaças: Status do servidor HTTP | Detecta solicitações malformadas de servidor da web. |
| Bloco de construção | BB: Ameaças: Serviço HTTP indisponível | Detecta quando o serviço do servidor da web está indisponível. |
| Bloco de construção | BB:Ameaças: Potencial ataque DoS | Detecta potenciais ataques Denial-of-Service em um servidor da web. |
| Bloco de construção | BB:Ameaças: Tráfego de rede IP suspeito | Detecta tráfego de rede suspeito em um servidor da web a partir de um endereço IP categorizado pelo X-Force como malicioso. |
| Bloco de construção | BB:Ameaças: Tráfego de rede suspeito | Detecta tráfego de rede suspeito em um servidor da web a partir de um endereço IP categorizado pelo X-Force como malicioso. |
| Bloco de construção | BB:Ameaças: Métodos HTTP inseguros | Detecta quando o servidor da web usa métodos HTTP inseguros. |
| Regra | Comunicação com um website conhecido por estar entregando código que pode ser um trojan | Atualizada a resposta da regra. |
| Regra | Potencial continuação de atividade do servidor da web em risco | Aciona quando métodos HTTP inseguros são vistos continuamente. Este pode ser um invasor malicioso atualizando o conteúdo de aplicativo da web. |
| Regra | Potencial ataque DoS em um servidor da web | Aciona quando um potencial ataque Denial-of-Service é detectado a partir de um único endereço IP de origem. |
| Regra | Potencial ataque DoS por meio do Tempo de resposta do servidor web | Aciona quando um tempo de resposta do servidor aumenta exponencialmente como resultado de excesso de tráfego a partir de um endereço IP. Isso pode indicar usuários abusivos, robôs maliciosos e potenciais ataques de negação de serviço. |
| Regra | Potencial inundação HTTP DoS | Aciona quando um servidor da web é inundado com uma solicitação HTTP. Isso poderia indicar um invasor malicioso iniciando uma série de solicitações HTTP para um servidor da web, com isso, inundando-o com mais solicitações HTTP do que pode processar. |
| Regra | Potencial atividade maliciosa identificada por URL de referenciador | Aciona quando uma URL de referenciador designada a atividade potencialmente maliciosa é observada. |
| Regra | Potencial atualização de conteúdo de website | Aciona quando uma mudança ou atualização é feita em um aplicativo da web. Este pode ser um invasor malicioso atualizando o conteúdo de uma página da web causando desfiguração. |
| Regra | Mesma Ameaça Detectada no Mesmo Host | Atualizado para incluir endereços IP. |
| Regra | Comprimento suspeito de consulta de DNS | Atualizou a condição de regra. |
| Regra | Tráfego de rede suspeito para servidor da web interno | Aciona quando um endereço IP que corresponde a endereços IP hostis conhecidos categorizados por varreduras do X-Force a mesma URL diversas vezes. |
| Regra | Atividades suspeitas do servidor da web | Aciona quando um erro do cliente servidor da web ou erro do servidor é detectado. Isso pode indicar atividade suspeita. |
| Regra | Manipulações de website por meio de SQL Injection | Aciona quando comportamentos anormais como SQL Injection são observados. |
A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | URLs de malware | Esse conjunto de referência lista as URLs de malware identificadas. |
| Conjunto de Referências | XFE ATPF-mw_url | Esse conjunto de referência lista as URLs de malware identificadas. |
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Threat Monitoring Content Extension 2.0.0.
| Nome | Descrição |
|---|---|
| Tempo de resposta por servidor | Esta procura mostra o tempo médio de solicitação por servidor. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.2.1
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.1.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome da Ameaça | Sim | 1 | emailThreats=([^\s]+) EVC_EV_VIRUS_NAME=([^\s]+) malware_signature=([^\t]+) Spyware\/Grayware: ([^\s]+) threatName=([^\s]+) virus_name: "(.*?)" Vírus\/Malware: ([^\s]+) VirusName=([^\t]+) |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.2.0
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Tipo de solicitação DNS | Não | 1 1 2 |
cat=([^_]+) Tipo de pergunta=([^\s]+) consulta:\s([^\s]+)\s\w+\s(\w+) |
| Subtipo | Não | 1 | Indicador de envio/recebimento=([^\s]+) |
A tabela a seguir mostra as propriedades customizadas usadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0 que estão localizadas em outras extensões de conteúdo.
| Propriedade Customizada | Otimizada | Localizado em |
|---|---|---|
| Código do erro | Sim | |
| Nome do Processo | Sim | |
| UrlHost | Sim |
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: DNS | Define os dispositivos DNS no sistema. |
| Regra | Comunicação com um potencial host hostil (fluxos) | É acionada quando o conteúdo do fluxo inclui um host que corresponde a um host hostil conhecido categorizado pelo X-force ou na coleção de conjunto de referência. Nota: As URLs Maliciosas, URLs de Malwaree URLs de Phishing conjuntos de referência devem ser preenchidos. O app
Threat Intelligence pode ser usado para importar feeds de inteligência de ameaça nesses conjuntos de referência.
|
| Regra | Comunicação com um potencial endereço IP hostil (fluxos) | É acionada quando o conteúdo do fluxo inclui um IP que corresponde a endereços IP hostis conhecidos categorizados pelo X-force ou na coleção de conjunto de referência. Nota: Os conjuntos de referência IPs de malware, IPs de Botnet, IPs C & C Botnet, IPs de phishing, IPs de anonimizador devem ser preenchidos. O app Threat Intelligence pode ser usado para importar feeds de inteligência de ameaça nesses conjuntos de referência. |
| Regra | Tráfego SMB negado excessivo de um host comprometido | É acionada quando tentativas de conexões SMB excessivas são executadas em um host categorizado como comprometido. |
| Regra | Potencial uso de homógrafo | É acionada quando um nome de domínio contém um caractere homógrafo, que poderia fazer um domínio parecer igual a um domínio confiável, e redireciona para um host malicioso. A função customizada HOMOGLYPH::DETECTED, que é pré-preenchida com 1.792 entradas de caracteres homógrafos, aceita uma sequência e retornará true se a sequência contiver um caractere homógrafo. Nota: Para visualizar os eventos que acionariam esta regra, use a pesquisa Potencial Homoglyph Usage . Ajuste a
regra com caracteres válidos antes de ativar a criação de regra e de ofensa.
|
| Regra | Potencial uso de homógrafo (fluxos) | É acionada quando um nome de domínio contém um caractere homógrafo, que poderia fazer um domínio parecer igual a um domínio confiável, e redireciona para um host malicioso. A função customizada HOMOGLYPH::DETECTED, que é pré-preenchida com 1.792 entradas de caracteres homógrafos, aceita uma sequência e retornará true se a sequência contiver um caractere homógrafo. Nota: Para visualizar os fluxos que acionariam esta regra, use a pesquisa Potencial Homoglyph Uso (Fluxos) . Ajuste a
regra com caracteres válidos antes de ativar a criação de regra e de ofensa.
|
| Regra | Tráfego SMB permitido de um host comprometido | É acionada quando o tráfego SMB tiver sido permitido de um host categorizado como comprometido. |
| Regra | Login bem-sucedido por meio de um host comprometido | É acionada quando uma autenticação bem-sucedida é executada em um host que tenha sido categorizado como comprometido. |
| Regra | Comprimento suspeito de consulta de DNS | É acionada quando um DNS é anormalmente longo, isso pode indicar domínios DGA e domínios onion. |
| Regra | Programa suspeito iniciando a consulta de DNS (janela) | É acionada quando um programa que não é referenciado como legítimo está iniciando uma consulta de DNS. Nota: O conjunto de referência DNS Application Whitelist deve ser preenchido com aplicativos permitidos para gerar consultas DNS
|
A gravidade, a credibilidade, a relevância e o limitador de resposta são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.
A tabela a seguir mostra as regras que foram renomeadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.
| Nome Antigo | Novo Nome |
|---|---|
| Local: Servidor FTP oculto | Local: FTP detectado na porta não padrão |
| Remoto: Mensagem instantânea/Bate-papo | Remoto: quantia suspeita de tráfego de IM/bate-papo |
| X-Force Premium: conexão interna com o host categorizado como Malware | X-Force: conexão interna com o host categorizado como Malware |
| X-Force Premium: host interno se comunicando com a URL do Botnet Command and Control | X-Force: host interno se comunicando com a URL do Botnet Command and Control |
| X-Force Premium: comunicação do host interno com a URL do malware | X-Force: comunicação do host interno com a URL do malware |
| X-Force Premium: hosts internos se comunicando com o host categorizado como anonymizers | X-Force: host interno se comunicando com o host categorizado como anonymizer |
| X-Force Premium: servidor de e-mail enviando e-mail para servidores categorizados como SPAM | X-Force: servidor de e-mail enviando e-mail para servidores categorizados como SPAM |
| X-Force Premium: servidor de não correio enviando e-mail para servidores categorizados como SPAM | X-Force: servidor de não e-mail enviando e-mail para servidores categorizados como SPAM |
| X-Force Premium: não servidores se comunicando com o IP externo classificado como dinâmico | X-Force: não servidores se comunicando com o IP externo classificado como dinâmico |
| X-Force Premium: servidores se comunicando com o IP externo classificado como dinâmico | X-Force: servidores se comunicando com o IP externo classificado como dinâmico |
As seguintes regras foram atualizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0 para usar o Endereço de origem em vez do IP de origem:
- Falha de Comunicação com Website Malicioso
- Ameaças Múltiplas Detectadas no Mesmo Host
- Mesma Ameaça Detectada em Vários Hosts
- Mesma Ameaça Detectada em Vários Servidores
- Mesma Ameaça Detectada no Mesmo Host
- Mesma Ameaça Detectada na Mesma Rede em Hosts Diferentes
As regras a seguir foram atualizadas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0 para usar o Endereço de Destino em vez do IP de Destino:
- Tráfego SMB negado excessivo de um host comprometido
- Tráfego SMB permitido de um host comprometido
- Login bem-sucedido por meio de um host comprometido
A tabela a seguir mostra os conjuntos de referência no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Dados de referência | pulse_imports | Parte do painel Pulse. |
| Conjunto de Referências | IPs do anonymizer | Esse conjunto de referência lista os endereços IP do anonymizer identificados. |
| Conjunto de Referências | IPs do Botnet C&C | Esse conjunto de referência lista os endereços IP do servidor Botnet Command and Control identificados. |
| Conjunto de Referências | IPs de Botnet | Esse conjunto de referência lista os endereços IP de Botnet identificados. |
| Conjunto de Referências | Hosts comprometidos | Esse conjunto de referência lista os hosts comprometidos identificados. |
| Conjunto de Referências | Lista de permissões do aplicativo DNS | Esse conjunto de referência especifica a lista de permissões de aplicativos DNS. |
| Conjunto de Referências | URLs maliciosas | Esse conjunto de referência lista as URLs maliciosas identificadas. |
| Conjunto de Referências | Categorias da web maliciosas | Esse conjunto de referência lista as categorias da web maliciosas identificadas. |
| Conjunto de Referências | IPs de malware | Esse conjunto de referência lista os endereços IP de malware identificados. |
| Conjunto de Referências | URLs de malware | Esse conjunto de referência lista as URLs de malware identificadas. |
| Conjunto de Referências | IPs de phishing | Esse conjunto de referência lista os endereços IP de phishing identificados. |
| Conjunto de Referências | URLs de phishing | Esse conjunto de referência lista as URLs de phishing identificadas. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Threat Monitoring Content Extension 1.2.0.
| Nome | Descrição |
|---|---|
| Potencial uso de homógrafo | Detecta o uso de caracteres homógrafos. |
| Potencial uso de homógrafo (fluxos) | Detecta o uso de caracteres homógrafos em fluxos. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.1.0
A tabela a seguir mostra as propriedades customizadas incluídas no IBM Security QRadar Threat Monitoring Content Extension 1.1.0.
| Propriedade Customizada | Localizado em |
|---|---|
| Nome da Ameaça | |
| URL | |
| Categoria da Web |
A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal | Identifica fluxos que possuem uma combinação de sinalização TCP. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito | Identifica fluxos de ICMP com códigos de tipo de Internet Control Message Protocol (ICMP) suspeitos. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 | Identifica fluxos suspeitos que usam a porta 0. |
| Bloco de construção | BB:HostDefinition:Proxy Servidores | Edite esse bloco de construção para definir servidores proxy típicos. Usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositve: Eventos Falsos Positivos do Servidor Proxy. |
| Bloco de construção | BB:CategoryDefinition: Evento de Aceitação de Firewall ou ACL para um Dispositivo de FW/Roteador/Comutador | Define eventos de aceitação de firewall ou ACL de dispositivos de firewall, roteador e comutador. |
| Bloco de construção | BB:DeviceDefinition: Áudio/Vídeo | Define todos os antivírus (AV) e anti-malware (AM) no sistema. |
| Bloco de construção | BB:DeviceDefinition: proxy | Define todas as origens de proxy no sistema. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Define todos os firewalls, roteadores e comutadores no sistema. |
| Bloco de construção | BB:CategoryDefinition: Eventos de worm | Edite esse bloco de construção para definir eventos worm. Esse bloco de construção aplica-se apenas a eventos não detectados por uma regra customizada. |
| Bloco de construção | BB:CategoryDefinition: SRC do fluxo unidirecional | |
| Bloco de construção | BB:Flowshape: Somente saída | Corresponde fluxos que são apenas de saída. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar categorias de eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Categorias de eventos suspeitas | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura baixa do ICMP | Identifica um baixo nível de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero | Identifica um tráfego bidirecional que não inclui carga útil. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura alta | Identifica um alto nível de potencial reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Fluxo unidirecional | |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais | Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais | Identifica fluxos do ICMP unidirecionais. |
| Bloco de construção | BB:Flowshape: Somente entrada | Corresponde fluxos que são apenas de entrada. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar fluxos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:Ameaças: Varreduras de portas: Varredura de porta UDP | Identifica varreduras de portas baseadas em UDP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura média do ICMP | Identifica um nível médio de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios | Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 500. |
| Bloco de construção | BB:CategoryDefinition: Fluxos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: Eventos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração | Identifica fluxos que estiveram ativos por mais de 48 horas. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos médios responsivos vazios | Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 5.000. |
| Bloco de construção | BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP | Identifica fluxos com pacotes do ICMP grandes de forma normal. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura alta do ICMP | Identifica um alto nível de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varreduras de portas: Varreduras do host | Identifica um possível reconhecimento por fluxos. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura média | Identifica um nível médio de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura baixa | Identifica um baixo nível de potencial reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura potencial | Identifica um possível reconhecimento por fluxos. |
| Bloco de construção | BB:CategoryDefinition: DST do fluxo unidirecional | |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais | Identifica fluxos TCP unidirecionais. |
| Bloco de construção | BB:CategoryDefinition: Violação de Política de Correio | Edite este bloco de construção para incluir qualquer coisa que você considere uma violação de política baseada em e-mail. Por exemplo, tráfego de saída na porta 25 não originário de um servidor de e-mail. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos altos responsivos vazios | Detecta potencial atividade reconhecimento em que a contagem de pacotes de origem é maior que 100.000. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS | Identifica fluxos com pacotes do DNS anormalmente grandes. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais | Identifica UDP unidirecional e outros fluxos diversos. |
| Regra | Proxy Remoto ou Serviço de Anonimização (Entrada) |
|
| Regra | Proxy Remoto ou Serviço de Anonimização (Saída) |
|
| Regra | WormDetection: Conexões de Êxito com a Internet em Portas Worm Comuns | Atualização do teste de regra para remover dois blocos de construção e usar um novo para validação com relação apenas às conexões estabelecidas com sucesso:
|
| Regra | Conexão de entrada bem-sucedida a partir de um Botnet CandC conhecido | Condições de regra atualizadas para filtrar eventos/fluxos corretamente. |
| Regra | Comunicação com um website que esteve envolvido em uma injeção de SQL anterior | Regra renomeada (usada para ser siteem vez de Web site.) |
| Regra | Comunicação com um website que está listado em uma lista de bloqueio conhecida ou que usa fluxo rápido | Regra renomeada (usada para ser siteem vez de Web site.) |
| Regra | Exploração Encadeada Seguida de Eventos Suspeitos no Terceiro Host | Relata uma atividade do tipo ataque ou exploração do mesmo IP de origem, seguida de uma atividade de conta suspeita do mesmo IP de destino que o evento original dentro de 15 minutos, caso o IP de origem não seja igual ao IP de destino. Essa regra fica desativada por padrão, pois deve ser usada como uma alternativa para a regra Exploração Encadeada Seguida de Eventos Suspeitos que ignora eventos com o mesmo IP de origem e destino. |
| Regra | Ameaças Múltiplas Detectadas no Mesmo Host | Indica que várias ameaças são detectadas no mesmo host. |
| Regra | Mesma Ameaça Detectada em Vários Hosts | Indica que a mesma ameaça é detectada em vários hosts que não são servidores. |
| Regra | Mesma Ameaça Detectada em Vários Servidores | Indica que a mesma ameaça é detectada em vários hosts que são servidores. |
| Regra | Mesma Ameaça Detectada no Mesmo Host | Indica que a mesma ameaça é detectada no mesmo host. Isso pode indicar que o AV está limpando um arquivo gerado pela ameaça, e não a ameaça em si. O espaço de tempo deve ser grande o suficiente para cobrir pelo menos dois ciclos de verificações feitas pelo AV. |
| Regra | Mesma Ameaça Detectada na Mesma Rede em Hosts Diferentes | Indica que a mesma ameaça é detectada em diferentes hosts na mesma hierarquia de rede. |
| Regra | Falha de Comunicação com Website Malicioso | Alerta quando há falha na comunicação com um website malicioso. |
| Regra | Comunicação com Sucesso com Website Malicioso | Alerta quando é feita uma comunicação com sucesso com um website malicioso. |
A tabela a seguir mostra os dados de referência que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Categorias da web maliciosas | Define categorias da web maliciosas. É preenchido previamente com sete categorias da web maliciosas. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.3
A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Threat Monitoring Content Extension 1.0.3.
| Tipo | Nome | Descrição da mudança |
|---|---|---|
| Regra | Conexão de Entrada com Sucesso de um Comando de Botnet e Controle Conhecidos | Atualização do teste de regra para alterar um valor 'any' para 'all'. Os administradores que modificaram essa regra precisam revisar seus testes de regra para determinar que o valor all foi configurado:
|
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.2
A tabela a seguir mostra os blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.0.2.
| Tipo | Nome | Descrição da mudança |
|---|---|---|
| Bloco de construção | BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | Atualização do último teste de regra do BB de fluxos remotos para usar um dos seguintes testes:
|
| Bloco de construção | BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | Atualização do último teste de regra do BB de fluxos locais para usar um dos seguintes testes:
|
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.1
A tabela a seguir mostra os blocos de construção que são atualizados no IBM Security QRadar Threat Monitoring Content Extension 1.0.1.
| Tipo | Descrição | Descrição da mudança |
|---|---|---|
| Regra | Botnet: Potencial Conexão de Botnet (DNS) | Incluído um teste de regra: |
| Regra | WormDetection: Conexões de Êxito com a Internet em Portas Worm Comuns | Incluído um teste de regra: |
| Regra | Botnet: Conexões de Entrada com Sucesso de um Comando de Botnet e Controle Conhecidos | Incluído um teste de regra: |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:CategoryDefinition: Salto pré-DMZ | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:CategoryDefinition: Salto pós-DMZ | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo 1.0.0
A extensão Threat Theme inclui 2 propriedades de eventos customizados para identificar URLs, 10 conjuntos de referência, 58 regras relacionadas a ameaças e 56 blocos de construção para um total de 126 complementos de conteúdo para o QRadar. Esse pacote de extensão / conteúdo é necessário para quaisquer administradores com feeds de reputação de IP do X-Force Premium ativados em seus dispositivos IBM QRadar SIEM . A instalação desse conteúdo inclui regras X-Force necessárias que funcionam com os feeds de reputação do IBM X-Force Exchange.Propriedades de evento customizado incluídas pela extensão de ameaça
| Nome | Expressão regular |
|---|---|
| URL | \(URL=(.*?)\) |
| URL | (?:cs-uri=| )(?:http|ftp|tcp|https):\/\/(.+?)\s |
| Nome | Tipo |
|---|---|
| Servidores do Sistema de Nomes de Domínio | Conjunto de referência |
| Servidores do Banco de Dados | Conjunto de referência |
| Servidores DHCP | Conjunto de referência |
| Servidores FTP | Conjunto de referência |
| Servidores LDAP | Conjunto de referência |
| Servidores de Correio | Conjunto de referência |
| Servidores Proxy | Conjunto de referência |
| Servidores SSH | Conjunto de referência |
| Servidores da web | Conjunto de referência |
| Servidores Windows | Conjunto de referência |
| Nome | Categoria |
|---|---|
| X-Force Premium: comunicação de host interno com URL malware | Ameaças (X-Force) |
| X-Force Premium: Conexão Interna para o Host Categorizado como Malware | Ameaças (X-Force) |
| X-Force Premium: host interno se comunicando com URL comando e controle de botnet | Ameaças (X-Force) |
| X-Force Premium: Hosts Internos Comunicando-se com o Host Categorizado como Anonymizers | Ameaças (X-Force) |
| X-Force Premium: Servidores Se Comunicando com IP Externo Classificado como Dinâmico | Ameaças (X-Force) |
| X-Force Premium: Não Servidores Se Comunicando com IP Externo Classificado como Dinâmico | Ameaças (X-Force) |
| X-Force Premium: Servidor Sem Correio Envio Correio para Servidores Categorizado como SPAM | Ameaças (X-Force) |
| X-Force Premium: Mail Server Enviando Correio para Servidores Categorizados como SPAM | Ameaças (X-Force) |
| Host de Correspondência em Massa Local Detectado | Atividade de Pós-intrusão |
| Remoto: Atividade de DNS Baseada em Cliente para a Internet | Atividade de Pós-intrusão |
| Possível Worm Local Detectado | Atividade de Pós-intrusão |
| Local: Servidor FTP oculto | Atividade de Pós-intrusão |
| Local: SSH ou Telnet detectado na porta não padrão | Atividade de Pós-intrusão |
| Conexões de Sucesso com a Internet em Portas Worm Comuns | Atividade de Pós-intrusão |
| Worm Detectado (Eventos) | Atividade de Pós-intrusão |
| Host Local Enviando Malware | Malware |
| Remoto: Conexões IRC | Conformidade |
| Remoto: Mensagem instantânea/Bate-papo | Conformidade |
| Remoto: Servidor P2P local detectado | Conformidade |
| Remoto: Uso de Usenet | Conformidade |
| Remoto: SSH ou Telnet detectado na porta não padrão | Conformidade |
| Remoto: Cliente P2P local detectado | Conformidade |
| Remoto: Cliente P2P local conectado a mais de 100 servidores | Conformidade |
| Remoto: Servidor P2P local conectado a mais de 100 Clientes | Conformidade |
| Remoto: Servidor FTP oculto | Conformidade |
| Comunicação com um website conhecido por estar envolvido em atividade de botnet | Ameaças |
| Local: Servidor FTP oculto | Ameaças |
| Local: SSH ou Telnet detectado na porta não padrão | Ameaças |
| Remoto: Cliente P2P local detectado | Ameaças |
| Conexão com Proxy Remoto ou Serviço de Anonimização (Saída) | Ameaças |
| Comunicação com um website conhecido por estar associado à rede de negócios russa | Ameaças |
| Comunicação com um website conhecido por ajudar na distribuição de malware | Ameaças |
| Conexão de Botnet potencial (DNS) | Ameaças |
| Remoto: Mensagem instantânea/Bate-papo | Ameaças |
| Os eventos de Botnet potenciais tonam-se ofensas | Ameaças |
| Remoto: Servidor FTP oculto | Ameaças |
| Potencial Acesso ao Honeypot | Ameaças |
| Conexão de entrada bem-sucedida a partir de um Botnet CandC conhecido | Ameaças |
| Remoto: Servidor P2P local detectado | Ameaças |
| Remoto: Servidor P2P local conectado a mais de 100 Clientes | Ameaças |
| Remoto: Emissor de E-mail SMTP | Ameaças |
| Remoto: SSH ou Telnet detectado na porta não padrão | Ameaças |
| Comunicação com um site que esteve envolvido em uma injeção de SQL anterior | Ameaças |
| Conexão potencial com um Botnet CandC conhecido | Ameaças |
| Host local no Botnet CandC List (SRC) | Ameaças |
| Host local no Botnet CandC List (DST) | Ameaças |
| Comunicação com um website conhecido por entregar código que pode ser troia | Ameaças |
| Comunicação com um website conhecido por ser um site de phishing ou fraude | Ameaças |
| Comunicação com um site listado em uma lista de bloqueio conhecida ou que usa fluxo rápido | Ameaças |
| Conexão com um Proxy Remoto ou Serviço de Anonimização (Entrada) | Ameaças |
| Remoto: Cliente P2P local conectado a mais de 100 servidores | Ameaças |
| Remoto: Conexões IRC | Botnet |
| Conexão de Botnet potencial (DNS) | Botnet |
| Os eventos de Botnet potenciais tonam-se ofensas | Botnet |
| Conexão de entrada bem-sucedida a partir de um Botnet CandC conhecido | Botnet |
| Conexão potencial com um Botnet CandC conhecido | Botnet |
| Host local no Botnet CandC List (SRC) | Botnet |
| Host local no Botnet CandC List (DST) | Botnet |
| Nome | Categoria |
|---|---|
| BB:ProtocolDefinition: Protocolos do Windows | Port\Protocol Definition |
| BB:PortDefinition: Portas do banco de dados | Port\Protocol Definition |
| BB:PortDefinition: Portas FTP | Port\Protocol Definition |
| BB:PortDefinition: Portas IRC | Port\Protocol Definition |
| BB:PortDefinition: Portas do Windows | Port\Protocol Definition |
| BB:PortDefinition: Portas SNMP | Port\Protocol Definition |
| BB:PortDefinition: Portas RPC | Port\Protocol Definition |
| BB:PortDefinition: Portas Syslog | Port\Protocol Definition |
| BB:PortDefinition: Portas SSH | Port\Protocol Definition |
| BB:PortDefinition: Portas LDAP | Port\Protocol Definition |
| BB:PortDefinition: portas de e-mail | Port\Protocol Definition |
| BB:PortDefinition: Portas DNS | Port\Protocol Definition |
| BB:PortDefinition: Portas DHCP | Port\Protocol Definition |
| BB:PortDefinition: Portas da Web | Port\Protocol Definition |
| BB:PortDefinition: Portas Worm comuns | Port\Protocol Definition |
| BB:HostReference: Servidores LDAP | Definições de Host |
| BB:HostDefinition: Definição de vírus e outros servidores de atualização | Definições de Host |
| BB:HostDefinition: Servidores FTP | Definições de Host |
| BB:HostDefinition: Ativos DMZ | Definições de Host |
| BB:HostReference: Servidores da Web | Definições de Host |
| BB:HostDefinition: Servidores Windows | Definições de Host |
| BB:HostDefinition: Servidores | Definições de Host |
| BB:HostReference: Servidores FTP | Definições de Host |
| BB:HostDefinition: Serviços SSH | Definições de Host |
| BB:HostDefinition: Servidores de banco de dados | Definições de Host |
| BB:HostDefinition: Servidores LDAP | Definições de Host |
| BB:HostDefinition: Servidores da Web | Definições de Host |
| BB:HostDefinition: Servidores Syslog e Emissores | Definições de Host |
| BB:HostDefinition: servidores de e-mail | Definições de Host |
| BB:HostDefinition: Servidores DNS | Definições de Host |
| BB:HostReference: Servidores Windows | Definições de Host |
| BB:HostDefinition: VoIP PBX Server | Definições de Host |
| BB:HostReference: Servidores DNS | Definições de Host |
| BB:HostReference: Servidores de banco de dados | Definições de Host |
| BB:HostDefinition: Servidores RPC | Definições de Host |
| BB:HostReference: Servidores SSH | Definições de Host |
| BB:HostReference: servidores de e-mail | Definições de Host |
| BB:HostDefinition: Servidores de gerenciamento de rede | Definições de Host |
| BB:HostDefinition: Servidores DHCP | Definições de Host |
| BB:HostDefinition: Servidores proxy | Definições de Host |
| BB:HostReference: Servidores Proxy | Definições de Host |
| BB:HostDefinition: Remetente ou destinatário de SNMP | Definições de Host |
| BB:HostReference: Servidores DHCP | Definições de Host |
| BB:PolicyViolation: Violação de Política de IM de IRC: Conexão IRC com a Internet | Política |
| BB:PolicyViolation: Violação de Política de Correio: Emissor de E-mail de Saída | Política |
| BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM | Política |
| BB:PolicyViolation: Violação de Política de Aplicativo: NNTP para Internet | Política |
| BB:CategoryDefinition: Detecção de IRC com Base em Eventos do Firewall | Definições de Categoria |
| BB:CategoryDefinition: Aceitação de Firewall ou ACL | Definições de Categoria |
| BB:CategoryDefinition: Qualquer Fluxo | Definições de Categoria |
| BB:CategoryDefinition: Comunicação bem-sucedida | Definições de Categoria |
| BB:CategoryDefinition: IRC Detectado com Base na Categoria de Evento | Definições de Categoria |
| BB:CategoryDefinition: IRC Detectado com Base no Aplicativo | Definições de Categoria |
| BB:CategoryDefinition: Negações do Firewall ou ACL | Definições de Categoria |
| BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | Definições de Categoria |
| BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | Definições de Categoria |
| BB:NetworkDefinition: Honeypot como endereços | Definição de Rede |
| BB:Threats: DoS: Potencial Ataque Multihost | Ameaças |