Cryptomining
Use a IBM Security QRadar Cryptomining Content Extension para monitorar de perto a criptomineração em sua implantação. A extensão de conteúdo Baseline Maintenance 1.05 ou mais recente é necessária para que o Cryptomining funcione corretamente. Instale a extensão de conteúdo Baseline Maintenance antes de instalar o Cryptomining.
IBM Security QRadar Extensões de Conteúdo de Criptografia
IBM Security QRadar Extensão de conteúdo de criptografia 1.1.1
A tabela a seguir mostra as propriedades customizadas que estão incluídas no IBM Security QRadar Cryptomining Content Extension 1.1.1
| Propriedade customizada | Localizado em |
|---|---|
| Argumentos de Comando | Linux |
| Nome do Arquivo | |
| ID da Máquina | |
| Hash MD5 | |
| Process CommandLine | |
| Nome do Processo | |
| Hash SHA256 | |
| UrlHost |
A tabela a seguir mostra as regras no IBM Security QRadar Criptografia 1.1.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Tentativa de Exploração Seguida de Atividade de Mineração de Criptomoeda | É acionada quando uma atividade de exploração ou tipo de ataque é seguida por uma atividade de mineração de criptomoedas no mesmo host. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
IBM Security QRadar Extensão de conteúdo de criptografia 1.1.0
A tabela a seguir mostra as propriedades customizadas incluídas no IBM Security QRadar Cryptomining Content Extension 1.1.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Hash de Arquivo | Sim | 1 | FILE_HASH=([^\s]+) |
| Nome da Ameaça | Sim | 1 | EVC_EV_VIRUS_NAME=([^\s]+) |
A tabela a seguir mostra as propriedades customizadas incluídas como itens temporários no IBM Security QRadar Cryptomining Content Extension 1.1.0.
| Propriedade Customizada | Localizado em |
|---|---|
| Argumentos de Comando | Linux |
| ID da Máquina | |
| Hash MD5 | |
| Nome do Processo | |
| SHA1 Hash | |
| Hash SHA256 |
A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Cryptomining 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:Threats: Comunicação com URL de Mineração de Criptomoeda para Eventos | É acionado quando uma comunicação com um host de mineração de criptomoedas é detectada. Preencha o conjunto de referência Cryptocurrency Mining Hosts com URLs relevantes. |
| Bloco de construção | BB: Ameaças: Portas de Mineração de criptomoedas | É acionado quando uma comunicação que usa uma porta de mineração de criptomoedas comum é detectada. |
| Bloco de construção | BB:Threats: Comunicação com Padrões de Nome de Processo de Mineração de Criptomoeda | É acionado quando um processo de mineração de criptomoedas é iniciado. |
| Bloco de construção | BB:Threats: Comunicação com Nomes de Processo de Mineração de Criptomoeda | É acionado quando um processo de mineração de criptomoedas é iniciado. |
| Bloco de construção | BB:Threats: Hashes de Ameaça de Mineração de Criptomoeda para Eventos | É acionado quando um hash de arquivo de mineração de criptomoedas é observado. Preencha o conjunto de referência Cryptocurrency Mining Threat Hashes com hashes de arquivo relevantes. |
| Bloco de construção | BB:Threats: Hashes de Ameaça de Mineração de Criptomoeda para Fluxos | É acionado quando um hash de arquivo de mineração de criptomoedas é observado. Preencha o conjunto de referência Cryptocurrency Mining Threat Hashes com hashes de arquivo relevantes. |
| Bloco de construção | BB:Threats: Padrões de Nome de Ameaça de Mineração de Criptomoeda | É acionado quando um nome de ameaça de mineração de criptomoedas é detectado. |
| Bloco de construção | BB:Threats: Nomes de Ameaças de Mineração de Criptomoeda | É acionado quando um nome de ameaça de mineração de criptomoedas é detectado. |
| Bloco de construção | BB:Threats: X-Force Premium: Conexão Interna com Host Categorizado como Mineração de Criptomoeda | É acionado quando um sistema interno se comunica com um endereço IP que se acredita que hospeda uma mineração de criptomoedas. Pode ser um indicador de uma infecção por malware de mineração de criptomoedas. A confiança padrão (75) indica uma forte possibilidade de ele ser um host de mineração de criptomoeda. |
| Bloco de construção | BB:Threats: X-Force Premium: Comunicação Interna do Host com URL de Mineração de Criptomoeda para Eventos | É acionado quando um sistema interno se comunica com uma URL que se acredita que hospeda uma mineração de criptomoedas. Pode ser um indicador de uma infecção por malware de mineração de criptomoedas. |
| Regra | Execução de Comando de Mineração de Criptocurrência | É acionada quando um comando de mineração de criptomoedas é detectado. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
| Regra | Hash De Arquivo De Mineração De Criptomoedas | É acionada quando um hash de arquivo de mineração de criptomoedas é detectado. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
| Regra | Processo de Mineração de criptomoedas | É acionada quando um processo de mineração de criptomoedas é detectado. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
| Regra | Nome de Ameaça Criptomoedas de criptomoedas | É acionada quando ameaças de mineração de criptomoedas, como vírus ou malware, são detectadas. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
| Regra | Tráfego de Mineração de criptomoedas | É acionada quando o tráfego de mineração de criptomoedas é detectado. Pode indicar uma máquina se comunicando com um conjunto de mineração de criptomoedas por um IP não categorizado. |
| Regra | Tentativa de Exploração Seguida de Atividade de Mineração de Criptomoeda | É acionada quando uma atividade de exploração ou tipo de ataque é seguida por uma atividade de mineração de criptomoedas no mesmo host. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
| Regra | In-Browser Cryptojacking- JavaScript File Hash | É acionada quando um hash de arquivo JavaScript relacionado a cryptojacking é detectado. Pode indicar que o navegador enviou uma solicitação GET para carregar um arquivo JavaScript de cryptojacking e pode estar infectado por um malware ou pode revelar o uso indevido de um ativo corporativo. |
| Regra | In-Browser Cryptojacking- JavaScript Filename | É acionada quando um nome de arquivo JavaScript relacionado a cryptojacking é detectado. Pode indicar que o navegador enviou uma solicitação GET para carregar um arquivo JavaScript de cryptojacking e pode estar infectado por um malware ou pode revelar o uso indevido de um ativo corporativo. |
| Regra | Comunicação bem-sucedida para o Cryptocurrency Mining Host | É acionada quando uma comunicação bem-sucedida com um host de mineração de criptomoedas é detectada. Pode indicar uma máquina infectada por um malware ou um uso indevido de um ativo corporativo. |
A tabela a seguir mostra os conjuntos de referência em IBM Segurança QRadar Criptografia 1.1.0.
| Nome | Descrição |
|---|---|
| Hashes de Arquivo Javascript de Mineração de Criptomoeda | Contém uma lista de hashes de arquivos JavaScript de mineração de criptomoedas. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Criptografia 1.1.0.
| Nome | Descrição |
|---|---|
| Endereços de destino com atividades de mineração de criptomoeda | Mostra todos os eventos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de destino e porta de destino. |
| Endereços de destino com atividades de mineração de criptomoeda | Mostra todos os fluxos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de destino e porta de destino. |
| Endereços de origem com atividades de mineração de criptomoeda | Mostra todos os eventos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de origem e porta de origem. |
| Endereços de origem com atividades de mineração de criptomoeda | Mostra todos os fluxos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de origem e porta de origem. |
IBM Security QRadar Extensão de conteúdo de criptografia 1.0.0
A tabela a seguir mostra as propriedades customizadas incluídas no IBM Security QRadar Cryptomining Content Extension 1.0.0.
| Propriedade Customizada | Localizado em |
|---|---|
| Hash de Arquivo | |
| Arquivo_Hash | |
| Nome do Arquivo | |
| Host HTTP | |
| ImageName | Sysmon |
| Process CommandLine | |
| Nome do Processo | |
| Nome da Ameaça | |
| URL | |
| UrlHost |
A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Cryptomining Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: sistema operacional | Esta regra define todos os sistemas operacionais no sistema. |
| Bloco de construção | BB:Threats: Comunicação com IP de Mineração de Criptomoeda | Detecta comunicações com endereços IP de mineração de criptomoeda. Atualize o conjunto de referência para ajuste. |
| Bloco de construção | BB:Threats: Comunicação com URL de Mineração de Criptomoeda para Eventos | Detecta comunicações com hosts de mineração de criptomoeda. Atualize o conjunto de referência para ajuste. |
| Bloco de construção | BB:Threats: Comunicação com URL de Mineração de Criptomoeda para Fluxos | Detecta comunicações com hosts de mineração de criptomoeda. Atualize o conjunto de referência para ajuste. |
| Bloco de construção | BB:Threats: Comunicação com Padrões de Nome de Processo de Mineração de Criptomoeda | Detecta quando um processo de mineração de criptomoeda bem conhecido é iniciado. |
| Bloco de construção | BB:Threats: Comunicação com Nomes de Processo de Mineração de Criptomoeda | Detecta quando um processo de mineração de criptomoeda bem conhecido é iniciado. |
| Bloco de construção | BB:Threats: Hashes de Ameaça de Mineração de Criptomoeda para Eventos | Detecta ameaças para a mineração de criptomoeda com um hash SHA256. Atualize o conjunto de referência para ajuste. |
| Bloco de construção | BB:Threats: Hashes de Ameaça de Mineração de Criptomoeda para Fluxos | Detecta comunicações com hosts de mineração de criptomoeda. Atualize o conjunto de referência para ajuste. |
| Bloco de construção | BB:Threats: Padrões de Nome de Ameaça de Mineração de Criptomoeda | Detecta ameaças à mineração de criptomoeda com termos usados frequentemente, como moeda, cripto e mina. Atualize a expressão regular para fazer ajustes. |
| Bloco de construção | BB:Threats: Nomes de Ameaças de Mineração de Criptomoeda | Detecta ameaças à mineração de criptomoeda. Atualize o conjunto de referência para ajuste. |
| Bloco de construção | BB:Threats: X-Force Premium: Conexão Interna com Host Categorizado como Mineração de Criptomoeda | Esta regra notifica quando um sistema interno se comunica com um endereço IP considerado como hospedando mineração de criptomoeda. Pode ser um indicador de uma infecção de malware da mineração de criptomoeda. A confiança padrão (75) indica uma forte possibilidade de ele ser um host de mineração de criptomoeda. |
| Bloco de construção | BB:Threats: X-Force Premium: Comunicação Interna do Host com URL de Mineração de Criptomoeda para Eventos | Esta regra notifica quando um cliente interno carrega uma URL da web conhecida pela atividade de mineração de criptomoeda. |
| Bloco de construção | BB:Threats: X-Force Premium: Comunicação Interna do Host com URL de Mineração de Criptomoeda para Fluxos | Esta regra notifica quando um sistema interno se comunica com um host HTTP considerado como hospedando mineração de criptomoeda. Pode ser um indicador de uma infecção de malware da mineração de criptomoeda. |
| Regra | Detectada uma Comunicação com Host de Mineração de Criptomoeda | Detecta comunicações com um destino de mineração de criptomoeda. Isso pode indicar um host comprometido por um malware de mineração de criptomoeda. |
| Regra | Detectada uma Atividade de Mineração de Criptomoeda Baseada em Hash de Arquivo | Detecta hashes de arquivo de mineração de criptomoeda. |
| Regra | Detectada uma Atividade de Mineração de Criptomoeda Baseada na Linha de Comandos do Processo | Detecta uma atividade de mineração de criptomoeda baseada na linha de comandos do processo. |
| Regra | Detectada uma Atividade de Mineração de Criptomoeda Baseada em Nome de Ameaça | Detecta ameaças à mineração de criptomoeda. |
| Regra | Detectado um Processo de Mineração de Criptomoeda | Detecta quando um processo de mineração de criptomoeda bem conhecido é iniciado. |
| Regra | Detectado um Cryptojacking no Navegador Baseado em Hash de Arquivo Javascript Carregado | Detecta quando o navegador envia uma solicitação GET para carregar um arquivo javascript criptojacking. A regra usa o hash de arquivo para detectar essa atividade. |
| Regra | Detectado um Cryptojacking no Navegador Baseado em Nome de Arquivo Javascript Carregado | Detecta quando o navegador envia uma solicitação GET para carregar um arquivo javascript criptojacking. A regra usa o componente do nome do arquivo de URL para detectar essa atividade. |
| Regra | Tentativa de Exploração Seguida de Atividade de Mineração de Criptomoeda | Relata uma atividade do tipo ataque ou exploração do mesmo endereço IP de origem, seguida de uma atividade de mineração de criptomoeda do mesmo endereço IP de destino do evento original dentro de 15 minutos. |
A tabela a seguir mostra os relatórios no IBM Security QRadar Cryptomining Content Extension 1.0.0
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| IPs com Atividades de Mineração de Criptomoeda | Este relatório fornece uma visão geral dos endereços IP relacionados à mineração de criptomoeda. Atualize o filtro de procura para fazer mais ajustes. |
A tabela a seguir mostra os conjuntos de referência no IBM Security QRadar Cryptomining Content Extension 1.0.0.
| Nome | Descrição |
|---|---|
| Hosts de Mineração de Criptomoeda | Contém uma lista de hosts de mineração de criptomoeda. |
| Hashes de Arquivo Javascript de Mineração de Criptomoeda | Contém uma lista de hashes de arquivo Javascript de mineração de criptomoeda. |
| Hashes de Ameaça de Mineração de Criptomoeda | Contém uma lista de hashes de arquivo de ameaça de mineração de criptomoeda. |
| Nomes de Arquivo Javascript de Mineração de Criptomoeda | Contém uma lista de nomes de arquivo Javascript de mineração de criptomoeda. |
| IPs de Mineração de Criptomoeda | Contém uma lista de endereços IP de mineração de criptomoeda. |
| Nomes de Ameaça de Mineração de Criptomoeda | Contém uma lista de nomes de arquivo de mineração de criptomoeda. |
| Nomes de Processos de Mineração de Criptomoeda | Contém uma lista de processos de mineração de criptomoeda. |
A tabela a seguir mostra as procuras salvas em IBM Segurança QRadar Extensão de Conteúdo de Criptografia 1.0.0.
| Nome | Descrição |
|---|---|
| Endereços de origem com atividades de mineração de criptomoeda | Mostra todos os eventos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de origem e porta de origem. |
| Endereços de destino com atividades de mineração de criptomoeda | Mostra todos os eventos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de destino e porta de destino. |
| Endereços de origem com atividades de mineração de criptomoeda | Mostra todos os fluxos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de origem e porta de origem. |
| Endereços de destino com atividades de mineração de criptomoeda | Mostra todos os fluxos com atividades de mineração de criptomoeda (acionou uma das regras) e os agrupa por endereço de destino e porta de destino. |