Sysmon

O IBM Security QRadar Sysmon Content Extension detecta ameaças avançadas em terminais Windows usando os registros do Sysmon.

O serviço Sysinternals Sysmon inclui vários IDs de Evento em sistemas Windows. Esses novos IDs de Evento são usados por administradores de sistema para monitorar processos de sistema, atividade de rede e arquivos. O Sysmon fornece uma visualização mais detalhada do que os logs de segurança do Windows. Para obter mais informações sobre o Sysmon, consulte Proteja seus terminais com QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).

Essa extensão de conteúdo fornece vários casos de uso para detectar ameaças avançadas, como abuso do PowerShell, processos ocultos do Windows, ataques de memória sem arquivo, ofuscação de código e muito mais. Essa extensão de conteúdo inclui novas regras de ofensas, blocos de construção, conjuntos de referência e funções customizadas que podem ajudar a detectar essas ameaças.

Nota: atualize o DSM Microsoft Windows para a versão mais recente antes de instalar o IBM QRadar Sysmon Content Extension.

Para obter mais informações sobre os casos de uso cobertos por esta extensão de conteúdo, consulte os seguintes vídeos:

Este pacote no Fix Central inclui apenas atualizações de segurança do dispositivo virtual < MONTH> < YEAR> e pacotes opcionais, a instalação desta liberação não atualizará o App Host, e a versão do App Host não será alterada Use o App Host < VERSION> para a instalação ou atualizações do App Host.

Título do Vídeo	Link do Vídeo
Sysmon PowerShell Use Case 1	https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell Use Case 2	https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell Use Case 3	https://youtu.be/sZUAuYpSe7Q
Sysmon Use Case 4 Bogus Windows Processes	https://youtu.be/gAS-B9gb3RY
Sysmon Use Case 5 Detecting other Libraries	https://youtu.be/omWnyACNEcM
Sysmon Use Case 6 Nasty Injection & Encoded Attacks	https://youtu.be/kC2hIJxqF8Q
QRadar Privilege Escalation Detection Use Case 7	https://www.youtube.com/watch?v=yitGRL-WJCM
QRadar Privilege Escalation Continued Use Case 8	https://www.youtube.com/watch?v=8u6G6SEw3kE
Sysmon Use Case 9 - More Privilege Escalation Detection	https://www.youtube.com/watch?v=0Wy59Otr_Ag
Sysmon Use Case 10 - Creating an Admin Account	https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon Detecting Name Pipe Impersonation	https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon Detecting Mimikatz	https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar Lateral Movement Detection, Example One	https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar Lateral Movement Detection Example Two	https://www.youtube.com/watch?v=whjpScDYaY4
QRadar Lateral Movement Detection Example Three (Plain Windows Features)	https://www.youtube.com/watch?v=7PXzi3pbmFo

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Segurança QRadar Sysmon

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.3.2
IBM Security QRadar Extensão de conteúdo Sysmon 1.3.1
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.3.0
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.2.1
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.2.0
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.1.3
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.1.2
IBM Segurança QRadar Extensão de conteúdo 1.1.1
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.1.0
IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.0.0

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.3.2

A tabela a seguir mostra as propriedades, regras e blocos de construção personalizados que são renomeados em IBM Security QRadar Sysmon Content Extension 1.3.2.

Tabela 1. Propriedades personalizadas, regras, blocos de construção, pesquisas salvas e dados de referência que são renomeados em IBM Security QRadar Sysmon Content Extension 1.3.2
Nome Antigo	Novo Nome
ServiceFileName	Nome do arquivo de serviço
ParentCommandLine	Comando pai
TargetImage	Caminho do processo de destino
Process CommandLine	Comando
StartModule	Módulo de início
RunLevel	Nível de Execução
Comando codificado PS	Comando codificado
Nome da imagem de destino	Nome do processo de destino
GUID do processo	GUID do processo
PipeName	Nome do Canal
StartFunction	Função de início

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.3.1

A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar Sysmon Content Extension 1.3.1.

Tabela 2. Propriedades customizadas atualizadas no IBM Security QRadar Sysmon Content Extension 1.3.1
Nome	Descrição
Imagem	A expressão `"\bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s"` é agora `"\bImage:\s.?\\([\\]?)\s(?:FileVersion\|CommandLine):\s"`

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.3.0

A regra customizada Detectada uma tarefa planejada sobre diversos hosts recebeu uma atualização para seu filtro de regra. Esta atualização é uma mudança funcional para assegurar que, se vários comandos forem executados, cada um obtenha sua própria ofensa

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.2.1

A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar Sysmon Content Extension 1.2.1.

Tabela 3. Propriedades Customizadas Atualizadas no IBM Security QRadar Sysmon Content Extension 1.2.1
Nome	Descrição
Imagem	A expressão `New Process Name:\s(.?)Token Elevation Type\:` é agora `New Process Name[:\s\\=](.*?)\s+(?:Token Elevation Type)`
ShareName	A expressão `Share\sName\:\s(?:\\\\\\\)(.)\s\sShare\sPath` é agora `Share\sName\:\s(?:\\\\\\\)(.?)\s+Share\sPath`

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.2.0

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Sysmon Content Extension 1.2.0.

Tabela 4. Propriedades Customizadas no IBM Security QRadar Sysmon Content Extension 1.2.0
Nome	Descrição
Imagem	A expressão SourceImage \:\s (. ) \sTargetProcessGuid agora é SourceImage \:\s (. ?) \sTargetProcessGuid A expressão Image:\s(.)\sUser\: agora é Image:\s(.?)\sUser\: A expressão Image:\s(.?)\s(FileVersion\|CommandLine): agora é \bImage:\s(.?)\s(?:FileVersion\|CommandLine): A expressão New\sProcess\sName:\s(.)\s{2}Token\sElevation\sType\: agora é New Process Name:\s(.?)Token Elevation Type\: A expressão SourceImage\:\s(.)\sTargetProcessG agora é SourceImage\:\s.?\\([^\\]?)\sTargetProcessG As expressões a seguir estão desativadas: Image:\s(.)\sImageLoaded Image:\s(.)\sTargetFilename\: Image\:\s(.) Image\:\s(.)\sDevice: Image\:\s(.)\sTargetObject Process\sName\:\s(.?)\sAccess\sRequest
ImageName	A expressão Image:\s(?:.\\)?(.?)\s(?:FileVersion\|CommandLine):\s agora é \bImage: \bImage:\s.?\\([^\\]?)(?:FileVersion\|CommandLine):\s A expressão Image:\s(?:.\\)?(.)\sImageLoaded agora é Image:.?\\([^\\]?)\sImageLoaded A expressão Image:\s(?:.\\)?(.)\sTargetFilename\: agora é Image:.?\\([^\\]?)\sTargetFilename A expressão Image:\s(?:.\\)?(.)\sUser\: agora é Image:\s.?\\([^\\]?)\sUser\: A expressão Image\:\s(?:.\\)?(.)\sTargetObject agora é Image\:\s.?\\([^\\]?)\sTargetObject A expressão SourceImage\:\s(?:.\\)?(.)\sTargetProcessGuid agora é SourceImage\:\s.?\\([^\\]?)\sTargetProcessGuid A expressão New\sProcess\sName:\s(?:.\\)?(.)\s{2}Token\sElevation\sType\: agora é New Process Name:\s.?\\([^\\]?)Token Elevation Type\: As expressões a seguir estão desativadas: Image:\s(?:.\\)?(.) Image\:\s(?:.\\)?(.) Image\:\s(?:.\\)?(.)\sTargetObject Image\:\s(?:.\\)(.)\sDevice: Process\sName\:\s(?:.\\)?(.?)\sAccess\sRequest SourceImage\:\s(?:.\\)?(.*)\sTargetProcessG
Process CommandLine	A expressão Process Command Line:\s(.)\sToken Elevation Type agora é o Process Command Line[:\s\\=]+(.?)\s*(?:Token Elevation Type)
ServiceName	A expressão Service Name\:\s(.)\sService\sFile agora é (?i)Service Name[\:\s\=\\](.?)\s+(?:Service File Name:\|&&)
SourceImage	Esta propriedade customizada é removida da extensão de conteúdo.

A tabela a seguir mostra as regras atualizadas no IBM Security QRadar Sysmon Content Extension 1.2.0.

Tabela 5. Regras atualizadas no IBM Security QRadar Sysmon Content Extension 1.2.0
Nome	Descrição
Criação de encadeamento por um processo ativado por meio de uma pasta compartilhada	Agora usa a propriedade customizada Image em vez da propriedade customizada SourceImage.

As seguintes regras e blocos de construção foram removidos em IBM Security QRadar Sysmon Content Extension 1.2.0 porque são duplicatas de regras na extensão de conteúdo IBM Security QRadar Endpoint.

BB:BehaviorDefinition: compartilhamento administrativo acessado
Dump de credencial usando a chave de registro SAM
Uso malicioso de comando codificado em um ambiente de programação
Bypass de UAC sem arquivo usando Fodhelper
Bypass de UAC sem arquivo usando sdclt
Bypass de UAC sem arquivo usando o Windows Event Viewer
Processo ativado por um processo incomum
Ambiente de programação iniciado com uma conta privilegiada
Serviço Configurado para Usar Powershell
Uso suspeito detectado do módulo PSExec

A Regra Uso Suspeito do Módulo PSExec Detectado costumava ser chamada de Metasploit PSExec Module Usage.

A regra Powershell Malicious Usage Detected foi removida e substituída pelo File Decode ou Download seguido por Atividade Suspeita no pacote de conteúdo do Endpoint.

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.1.3

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabela 6. Propriedades Customizadas no IBM Security QRadar Sysmon Content Extension 1.1.3
Nome	Otimizada	Grupo de Captura	Expressão regular
Nome do Serviço	Sim	1	Service Name\:\s(.)\sService\sFile
ServiceFileName	Sim	1	Service\sFile\sName\:\s(.)\sService\sType

A tabela a seguir mostra as regras e os blocos de construção no IBM Segurança QRadar Sysmon Content Extension 1.1.3.

Tabela 7. Regras e blocos de construção no IBM Security QRadar Sysmon Content Extension 1.1.3
Tipo	Nome	Descrição
Regra	Fazer download por meio do comando codificado iniciado	Essa regra é acionada quando um download de um script PowerShell é iniciado por meio de um ambiente de programação tipo cmd ou Powershell.
Regra	Serviço Malicioso Instalado	Essa regra é acionadará quando um serviço categorizado como malicioso tiver sido instalado.
Regra	Uso do módulo Metasploit PSExec	Esta regra é acionada quando um uso do módulo PSExec é detectado.
Regra	Processo PSExec observado em um host comprometido	Essa regra é acionadará quando um processo PsExec tiver sido detectado em um host comprometido.
Regra	Serviço de gerenciamento remoto conectado ao canal lsass	Essa regra é acionada quando um serviço de gerenciamento remoto é conectado ao canal lsass.
Regra	Binário de serviço localizado em uma pasta compartilhada	Essa regra é acionada quando um binário de serviço está localizado em uma pasta compartilhada.
Regra	Serviço configurado para usar um canal	Essa regra é acionada quando um serviço é configurado para usar um canal.
Regra	Serviço Configurado para Usar Powershell	Essa regra é acionada quando um serviço é configurado para usar o Powershell.
Regra	Serviço instalado em um host comprometido	Essa regra será acionada quando um serviço tiver sido criado em um host comprometido.

A tabela a seguir mostra as propriedades customizadas, regras e blocos de construção que são renomeados no IBM Security QRadar Sysmon Content Extension 1.1.3.

Tabela 8. Propriedades customizadas, regras, blocos de construção, procuras salvas e dados de referência que são renomeados no IBM Security QRadar Sysmon Content Extension 1.1.3
Nome Antigo	Novo Nome
Um compartilhamento de rede oculto foi incluído	Compartilhamento de rede oculta incluído
Um serviço malicioso foi instalado em um sistema	Serviço Malicioso Instalado
Um compartilhamento de rede foi acessado a partir de um host comprometido	Compartilhamento de rede acessado por meio de um host comprometido
Um compartilhamento de rede foi incluído em um host comprometido	Compartilhamento de rede incluído em um host comprometido
Um canal foi criado seguido de uma atualização do caminho do binário de serviço para se conectar ao canal criado	Canal criado seguido por atualização de caminho binário de serviço
Um serviço remoto criou um arquivo de script Powershell	Script Powershell criado por um serviço de gerenciamento remoto
Uma tarefa planejada foi criada em um host comprometido	Tarefa planejada criada em um host comprometido
Um serviço foi instalado em um host comprometido	Serviço instalado em um host comprometido
Pai anormal para um processo do sistema	Pai incomum para um processo do sistema
Um compartilhamento administrativo foi acessado	Compartilhamento administrativo acessado
Um compartilhamento administrativo foi acessado por meio de uma máquina comprometida	Compartilhamento administrativo acessado por meio de um host comprometido
BB: uma tarefa planejada foi criada	BB:CategoryDefinition: criação de tarefa planejada
BB: um compartilhamento administrativo foi acessado	BB:BehaviorDefinition: compartilhamento administrativo acessado
BB: createRemoteThread detectado	BB:CategoryDefinition: criação de encadeamento remoto
BB: casos excluídos do CreateRemoteThread	BB:BehaviorDefinition: falsos positivos de criação de encadeamento remoto
BB: detectado um processo PowerShell	BB:CategoryDefinition: ambiente de programação
BB: detectada uma tarefa planejada baseada no evento de criação de processo parte 2	BB:CategoryDefinition: criação de tarefa planejada por um processo
BB: processos normais do Windows acessaram o LSASS.exe	BB:CategoryDefinition: processos permitidos acessar o lsass
BB: um canal foi criado	BB:CategoryDefinition: criação de canal
BB: processo criou uma conexão de rede	BB:CategoryDefinition: conexão de rede
BB: o PsExec foi detectado	BB:BehaviorDefinition: processo PsExec observado
BB: o caminho do binário de serviço foi configurado ou atualizado	BB:BehaviorDefinition: caminho binário de serviço configurado ou atualizado
Processo sem filho ativou/gerou um processo	Processo ativado por um processo incomum
Shell de comando iniciado com privilégios do sistema	Ambiente de programação iniciado com uma conta privilegiada
Detectado um bypass de UAC sem arquivo usando Fodhelper	Bypass de UAC sem arquivo usando Fodhelper
Detectado um bypass de UAC sem arquivo usando sdclt	Bypass de UAC sem arquivo usando sdclt
Detectado um bypass de UAC sem arquivo usando o Windows Event Viewer	Bypass de UAC sem arquivo usando o Windows Event Viewer
Detectado um processo conhecido iniciado com um novo hash inédito	Processo conhecido iniciado com um hash diferente
Detectado um valor longo no registro do Windows	Tamanho de valor incomum no registro do Windows
Detectado um acesso malicioso ao processo de LSASS	Acesso suspeito ao processo lsass
Detectado um acesso malicioso ao processo de LSASS a partir do rastreio de chamada desconhecida	Acesso suspeito ao processo lsass por meio do rastreio de chamada desconhecida
Detectado um novo processo inédito iniciado com privilégios do usuário do sistema	Novo processo iniciado com uma conta privilegiada
Detectada uma possível ferramenta de dump de credencial	Detectada uma potencial ferramenta de dump de credencial
Detectado um possível criador de logs da chave	Detectado um potencial criador de logs da chave
Detectado um processo executado remotamente em vários hosts	Execução do processo remoto em diversos hosts
Detectado um serviço de remoção conectado ao canal de LSASS	Serviço de gerenciamento remoto conectado ao canal lsass
Detectada uma tarefa planejada em vários hosts	Tarefa planejada criada em diversos hosts
Detectado um caminho do binário de serviço seguido da inclusão de um usuário ou grupo	Atualização de caminho binário de serviço seguida por modificação de usuário ou grupo
Detectado um serviço configurado para usar um canal	Serviço configurado para usar um canal
Foi detectado um serviço configurado para usar o Powershell	Serviço Configurado para Usar Powershell
Detectado um serviço com um binário executável localizado em uma pasta compartilhada	Binário de serviço localizado em uma pasta compartilhada
Detectado um processo Svchost suspeito	Processo Svchost suspeito
Pai anormal detectado para um processo	Pai incomum para um processo
Detectado um processo desconhecido / inédito (com base no hash do processo)	Hash de processo desconhecido observado
Detectado um processo desconhecido / inédito (com base no nome do processo)	Nome do processo desconhecido observado
Execução excessiva detectada do comando SC	Uso excessivo de comando SC
Detectado uso excessivo de ferramentas do sistema em uma única máquina	Uso excessivo de ferramentas do sistema por meio de um único host
Detectado Mimikatz com base no hash de IMP	Hash de IMP do Mimikatz observado
Detectado um PsExec com um nome de processo diferente	Mascaramento de processo do PsExec
Excesso de tentativas com falha de acessar um recurso compartilhado de rede a partir de um host comprometido	Falhas excessivas de acesso de compartilhamento de rede por meio de um host comprometido
Excesso de tentativas com falha de acessar um compartilhamento administrativo a partir de uma única origem	Falhas excessivas de acesso de compartilhamento administrativo por meio do mesmo host
Processo lsass conectado a um canal	Processo lsass conectado a um canal
Módulo Metasploit PSExec foi detectado	Uso do módulo Metasploit PSExec
Possível ransomware Locky detectado com base no rundll32 com o argumento qwerty	Rundll32 com uso do argumento qwerty
Possível bypass de UAC - uma tarefa planejada foi configurada para execução com privilégios mais altos	Bypass de UAC - Tarefa planejada configurada para ser executada com privilégios mais altos
O Powershell foi ativado	Processo Powershell observado
O Powershell foi ativado em um host comprometido	Processo Powershell observado em um host comprometido
Uso malicioso do PowerShell detectado com comando codificado	Uso malicioso de comando codificado em um ambiente de programação
Download do script Powershell com o comando codificado	Fazer download por meio do comando codificado iniciado
Linha de base do processo: hash do processo	Linha de base do processo: hash do processo
Linha de base do processo: nome do processo	Linha de base do processo: nome do processo
Linha de base do processo: Nome do processo para hash	Linha de base do processo: Nome do processo para hash
Linha de base do processo: Nome do Processo para Processo Pai	Linha de base do processo: Nome do Processo para Processo Pai
Linha de base do processo: processo iniciado com privilégios do usuário do sistema	Linha de base do processo: processo iniciado com privilégios do usuário do sistema
O processo criou um encadeamento de um processo que foi ativado por meio de um diretório temporário	Criação de encadeamento por um processo ativado por meio de um diretório temporário
O processo criou um encadeamento em outro processo	Criação de encadeamento em um processo diferente daquele inicial
O processo criou um encadeamento no processo lsass	Criação de encadeamento no processo lsass
Processo criou um encadeamento no processo do sistema	Criação de encadeamento em um processo do sistema
Processo ativado a partir de uma pasta compartilhada	Processo ativado a partir de uma pasta compartilhada
Processo ativado a partir de uma pasta compartilhada e encadeamento criado em outro processo	Criação de encadeamento por um processo ativado por meio de uma pasta compartilhada
Processo ativado a partir do diretório temporário	Processo ativado por meio de um diretório temporário
Executável carregado pelo processo por meio do diretório temporário	Executável carregado por meio do diretório temporário
Processo iniciado a partir de diretórios incomuns (Recicle.bin,...)	Processo ativado por meio de diretório incomum
PSExec foi detectado	Processo do PsExec observado
O PsExec foi ativado por meio de um host comprometido	Processo PSExec observado em um host comprometido
Chave de registro SAM - Subchaves enumeradas (usuários)	Dump de credencial usando a chave de registro SAM
Caminho do binário de serviço foi atualizado seguido de um CreateRemoteThread detectado no mesmo processo	Atualização de caminho binário de serviço seguida pela criação de encadeamento remoto
Caminho do binário de serviço foi atualizado seguido de uma conexão de rede do mesmo processo	Atualização de caminho binário de serviço seguida pela conexão de rede
Exclusão de cópias de sombra detectada	Exclusão de cópias de sombra
Processo do sistema iniciado a partir de um diretório incomum	Processo do sistema ativado por meio de diretório incomum
Driver não assinado foi carregado no kernel do Windows	Driver não assinado carregado no kernel do Windows
Executável não assinado carregado no lsass.exe	Executável não assinado carregado no lsass
Executável não assinado carregado no processo do sistema sensível	Executável não assinado carregado no processo do sistema sensível
Whoami / groups foi executado	Grupo ou Conta Discovery

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.1.2

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabela 9. Propriedades customizadas no IBM Security QRadar Sysmon Content Extension 1.1.2
Nome	Expressão regular
Imagem	Image:\s(.*?)\s(FileVersion\|CommandLine):
ImageName	Image:\s(?:.\\)?(.?)\s(?:FileVersion\|CommandLine):\s
LoadedImage	ImageLoaded:\s(.*?)\s(FileVersion\|Hashes)\:
LoadedImageName	ImageLoaded\:\s(?:.\\)(.?)\s*(FileVersion\|Hashes)\:

A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabela 10. Regras no IBM Security QRadar Sysmon Content Extension 1.1.2
Nome	Descrição
Linha de base do processo: Nome do processo para hash	Incluída uma resposta de regra para preencher o conjunto de referência ProcessNametoHashRefMapOfSetKeys.
Linha de base do processo: Nome do Processo para Processo Pai	Incluída uma resposta de regra para preencher o conjunto de referência ProcesstoParentProcessPathRefMapKeys.
Detectado um processo conhecido iniciado com um novo hash inédito	Detecta quando um processo começa com um novo hash inédito.
Pai anormal detectado para um processo	Detecta um pai anormal para um processo.
Linha de base do processo: hash do processo	Fornece uma linha de base para hashes do processo.
Linha de base do processo: nome do processo	Fornece uma linha de base para nomes de processo, com logs do Windows ou logs do Sysmon padrão.
Detectado um processo desconhecido / inédito (com base no hash do processo)	Detecta quaisquer hashes do processo incomum ou desconhecido.
Detectado um processo desconhecido / inédito (com base no nome do processo)	Detecta quaisquer nomes do processo incomum ou desconhecido.
Processo ativado a partir de uma pasta compartilhada e encadeamento criado em outro processo	Atualizado um dos testes de regra.

A tabela a seguir mostra os dados de referência no IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabela 11 Dados de referência no IBM Security QRadar Sysmon Content Extension 1.1.2
Tipo	Nome	Descrição
Conjunto de Referências	Nomes de Processo com Perfil	Armazena a lista de linhas de base de nomes de processo.
Conjunto de Referências	Hashes de Processo com Perfil	Armazena a lista de linhas de base de hashes de processo.
Conjunto de Referências	ProcessNametoHashRefMapOfSetKeys	Armazena as chaves usadas no mapa de conjuntos que mapeia um nome de processo para seu hash.
Conjunto de Referências	ProcesstoParentProcessPathRefMapKeys	Armazena as chaves usadas no mapa de conjuntos que mapeia um nome de processo para seu processo pai.
Mapa de Referência de Conjuntos	ProcessMaptoProcessParentPath	Mudado o tipo de elemento para alfanumérico, ignorar maiúsculas e minúsculas.
Mapa de Referência de Conjuntos	ProcessNametoHash	Mudado o tipo de elemento para alfanumérico, ignorar maiúsculas e minúsculas.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Sysmon Content Extension 1.1.2.

Tabela 12. Procuras salvas no IBM Security QRadar Sysmon Content Extension 1.1.2
Nome	Descrição
Hash de processo desconhecido foi iniciado	Atualizados os critérios de procura.
Pai anormal para um processo	Atualizados os critérios de procura.
Nome do processo desconhecido foi iniciado	Esta procura mostra processos desconhecidos com base no nome do processo.

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo 1.1.1

Na 1.1.1, duas regras e duas funções AQL foram removidas devido a possíveis problemas de desempenho:

Regra: Detectado um processo conhecido iniciado com um hash inédito
Regra: Detectado um pai anormal para um processo
Função customizada: checkWithMapOfSets
Função customizada: IsItWhiteListedProcess

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.1.0

O IBM Security QRadar Sysmon Content Extension 1.1.0 inclui novas regras para estabelecer processos de linha de base e para detectar as seguintes atividades:

Escalada de privilégio
Bypass do controle de conta do usuário (UAC) sem arquivo
Dump de credencial
Técnicas de movimento lateral
Implementação do Metasploit PSExec
Uso de PowerShell malicioso

Esta versão também inclui novas propriedades customizadas, procuras salvas e função customizada AQL. Um novo ícone é incluído nas configurações do administrador do QRadar para configurar um token de autorização para as funções customizadas do Sysmon

A tabela a seguir descreve as mudanças que estão incluídas no IBM Security QRadar Sysmon Content Extension 1.1.0

Tipo	Nome	Descrição da mudança
Regra	Processo incomum (ex: word, iexplore, AcroRd..) ativou um Shell de Comando	Detecta se um processo incomum, como MS Word, Internet Explorer, Acrobat Reader, inicia um shell de comando ou PowerShell.
Regra	Detectado um processo executado remotamente em vários hosts	Detecta qualquer processo executado remotamente que usa PowerShell, wmi ou PSExec como técnicas de movimento lateral bastante conhecidas.
Regra	Detectada uma tarefa planejada em vários hosts	Detecta uma tarefa planejada em vários hosts.
Regra	Módulo Metasploit PSExec foi detectado	Detecta a implementação do Metasploit da ferramenta PSExec.
Regra	O PsExec foi ativado por meio de um host comprometido	Detecta se o PSExec será ativado a partir de um host marcado como comprometido.
Regra	PSExec foi detectado	Detecta se algum host ativa o PSExec.
Regra	Detectado um PsExec com um nome de processo diferente	Detecta se o PSExec foi transferido por upload com um nome diferente.
Regra	Shell de comando iniciado com privilégios do sistema	Detecta se um shell de comando é iniciado com privilégios escalados. Por exemplo, se um usuário regular inicia o shell de comando como um usuário do sistema Windows.
Regra	Linha de base do processo: processo iniciado com privilégios do usuário do sistema	Fornece uma linha de base para a qual geralmente os processos são iniciados com um privilégio do sistema. Essa linha de base é usada por outras regras para detectar se um novo processo começa com um privilégio do sistema. Essa linha de base pode indicar se alguém tenta fazer uma escalada de privilégio.
Regra	Detectado um novo processo inédito iniciado com privilégios do usuário do sistema	Detecta se um processo novo ou incomum é iniciado com privilégio do sistema. Por padrão, essa regra fica desativada. Como parte de sua rotina de manutenção, execute as regras de linha de base de processo por uma semana antes de ativar essa regra.
Regra	Linha de base do processo: Nome do Processo para Processo Pai	Fornece uma linha de base para identificar os processos pai de cada processo. Essa linha de base pode ajudar a detectar processos incomuns.
Regra	Linha de base do processo: Nome do processo para hash	Fornece uma linha de base para nomes do processo e seus hashes correspondentes. Essa linha de base pode ajudar a detectar se um processo desconhecido é iniciado ou se um processo é iniciado com um novo hash. Essas informações também podem ser usadas para integrar logs do Sysmon a outros logs.
Regra	Detectado uso excessivo de ferramentas do sistema em uma única máquina	Detecta o uso excessivo de várias ferramentas do sistema em uma única máquina, como: lcacl.exe procdump.exe vssadmin.exe accesschk.exe netsh.exe arp.exe systeminfo.exe whoami.exe
Regra	Foi detectado um serviço configurado para usar o Powershell	Detecta se algum serviço está configurado para usar PowerShell.
Regra	Detectado um valor longo no registro do Windows	Detecta se um invasor tentou incluir ou configurar uma chave de registro usando um valor longo, como um comando codificado do PowerShell.
Regra	Detectado um serviço com um binário executável localizado em uma pasta compartilhada	Detecta se algum serviço está configurado para iniciar um executável binário a partir de uma pasta compartilhada.
Regra	Detectado um serviço configurado para usar um canal	Detecta se algum serviço está configurado para se conectar a um canal.
Regra	Um canal foi criado seguido de uma atualização do caminho do binário de serviço para se conectar ao canal criado	Detecta a representação de um canal nomeado, que é uma técnica para escalada de privilégio.
Regra	Detectado um caminho do binário de serviço seguido da inclusão de um usuário ou grupo	Detecta se um usuário ou grupo é incluído após um caminho do binário de serviço ser alterado.
Regra	Caminho do binário de serviço foi atualizado seguido de uma conexão de rede do mesmo processo	Detecta se um processo tenta configurar ou incluir um serviço e detecta se o mesmo processo cria uma conexão de saída.
Regra	Execução excessiva detectada do comando SC	Detecta se o comando do controlador de serviço é usado em excesso.
Regra	Detectado um caminho do binário de serviço sem aspas com espaços	Detecta se um caminho do binário de serviço sem aspas contém espaços. Um caminho de arquivo que não é colocado entre aspas e contém espaços pode ser alavancado. Por exemplo, C:\Program Files (x86)\.
Regra	Possível bypass de UAC - uma tarefa planejada foi configurada para execução com privilégios mais altos	Detecta se uma tarefa planejada é criada para execução usando privilégios mais altos.
Regra	Caminho do binário de serviço foi atualizado seguido de um CreateRemoteThread detectado no mesmo processo	Detecta se um processo tenta configurar ou incluir um serviço e se o mesmo processo cria um encadeamento em outros processos.
Regra	Processo ativado a partir de uma pasta compartilhada	Detecta se algum processo é iniciado a partir de uma pasta compartilhada.
Regra	Processo ativado a partir de uma pasta compartilhada e encadeamento criado em outro processo	Detecta se um processo é iniciado a partir de uma pasta compartilhada e cria um encadeamento em outro processo.
Regra	Um serviço remoto criou um arquivo de script Powershell	Detecta se algum serviço de acesso remoto, como `wsmprovhost`, `psexesvc` ou `wmiprvse`, cria um arquivo de script PowerShell.
Regra	Processo lsass conectado a um canal	Detecta se algum canal se conecta a uma atividade iniciada a partir do processo Local Security Authority Subsystem Service (LSASS), que pode levar a credenciais de dump.
Regra	Detectado um serviço de remoção conectado ao canal de LSASS	Detecta se algum serviço de acesso remoto, como `wsmprovhost`, `psexesvc` ou `wmiprvse`, tenta se conectar a um canal chamado LSASS.
Regra	Detectado um bypass de UAC sem arquivo usando sdclt	Detecta uma tentativa de efetuar bypass de um controle de conta do usuário (UAC) usando sdclt.exe, que é um processo do Windows que permite que os usuários executem operações de backup e restauração. Por padrão, o sdclt.exe é executado com alto nível de integridade. Após o processo ser iniciado, ele procura chaves específicas no registro. Se as chaves existirem, ele as executa.
Regra	Detectado um bypass de UAC sem arquivo usando Fodhelper	Detecta se o processo Fodhelper é usado para efetuar bypass de UAC no Windows 10 interceptando uma chave especial no registro.
Regra	Detectado um bypass de UAC sem arquivo usando o Windows Event Viewer	Detecta se o Windows Event Viewer é usado para efetuar bypass de UAC.
Regra	Driver não assinado foi carregado no kernel do Windows	Detecta qualquer tentativa de carregar um driver não assinado no kernel do Windows.
Regra	Um serviço foi instalado em um host comprometido	Detecta qualquer instalação de serviço em um host marcado como host comprometido.
Regra	Uma tarefa planejada foi criada em um host comprometido	Detecta qualquer tentativa de criar uma tarefa planejada em um host marcado como um host comprometido.
Regra	Tráfego SMB negado excessivo de um host comprometido	Detecta o tráfego de SMB excessivo negado a partir de um host comprometido.
Regra	Excesso de tentativas com falha de acessar um compartilhamento administrativo a partir de uma única origem	Detecta o excesso de tentativas com falha para acessar compartilhamentos administrativos a partir de um único host de origem.
Regra	Excesso de tentativas com falha de acessar um recurso compartilhado de rede a partir de um host comprometido	Detecta o excesso de tentativas com falha para acessar pastas compartilhadas em vários hosts na rede de um host comprometido.
Regra	Um compartilhamento de rede foi acessado a partir de um host comprometido	Detecta se um host comprometido acessou uma pasta compartilhada com sucesso.
Regra	Um compartilhamento de rede foi incluído em um host comprometido	Detecta se um host comprometido inclui uma pasta compartilhada ou arquivo.
Regra	Tráfego de SMB detectado a partir de um host comprometido em outros hosts	Detecta o tráfego de SMB de saída a partir de um host comprometido para outros hosts.
Regra	Detectado um login bem-sucedido a partir de um host comprometido em outros hosts	Detecta logins bem-sucedidos a partir de um host comprometido em outros hosts.
Regra	Um compartilhamento administrativo foi acessado	Detecta se um compartilhamento administrativo foi acessado.
Regra	Um compartilhamento de rede oculto foi incluído	Detecta a criação de um arquivo compartilhado oculto.
Regra	O Powershell foi ativado	Detecta se o host inicia o PowerShell.
Regra	O Powershell foi ativado em um host comprometido	Detecta se um host comprometido inicia o PowerShell.
Regra	Um serviço malicioso foi instalado em um sistema	Detecta se um serviço malicioso conhecido foi instalado no sistema.
Regra	Processo sem filho ativou/gerou um processo	Detecta se um processo que deve ser um processo sem filho ativa um processo-filho.
Regra	Exclusão de cópias de sombra detectada	Detecta se cópias de sombra são excluídas.
Regra	Detectado um processo Svchost suspeito	Detecta um processo svchost malicioso.
Regra	Detectado Mimikatz com base no hash de IMP	Detecta a ferramenta pós-exploração Mimikatz baseada no fato de o hash do Invoke Mimikatz PowerShell (IMP) ser usado.
Regra	Um shell de comando ou Powershell foi ativado a partir de um sistema remoto	Detecta se algum serviço de acesso remoto, como `wsmprovhost`, `psexesvc` ou `wmiprvse`, inicia um shell de comando ou PowerShell em um sistema remoto.
Regra	Whoami / groups foi executado	Detecta se o comando `whoami` ou group é usado antes de qualquer técnica de escalada de privilégio.
Regra	Chave de registro SAM - Subchaves enumeradas (usuários)	Detecta qualquer tentativa de enumerar a chave de registro SAM.
Regra	Detectado um dump de registro para SAM ou chave do sistema	Detecta qualquer tentativa de efetuar dump no registro SAM.
Regra	A chave de registro SAM foi acessada - usando regedit	Detecta qualquer tentativa de acessar a chave de registro SAM
Regra	O processo criou um encadeamento no processo lsass	Detecta qualquer tentativa de criar um encadeamento no processo LSASS.
Regra	Executável não assinado carregado no lsass.exe	Detecta qualquer tentativa de carregar um arquivo executável não assinado no processo LSASS.
Regra	Detectado um acesso malicioso ao processo de LSASS	Detecta qualquer acesso malicioso ao processo LSASS.
Regra	Detectado um acesso malicioso ao processo de LSASS a partir do rastreio de chamada desconhecida	Detecta quaisquer tentativas sem arquivo de acessar o processo LSASS.
Regra	Processo iniciado a partir de diretórios incomuns (Recicle.bin,...)	Detecta se um processo é iniciado a partir de um diretório incomum, como a lixeira.
Regra	Detectada uma possível ferramenta de dump de credencial	Usada como uma marca extra se alguma das regras a seguir corresponder: Detectado um acesso malicioso ao processo de LSASS Detectado um acesso malicioso ao processo de LSASS a partir do rastreio de chamada desconhecida Detectado um dump de registro para SAM ou chave do sistema O processo criou um encadeamento no processo lsass Chave de registro SAM - Subchaves enumeradas (usuários) A chave de registro SAM foi acessada - usando regedit Detectado Mimikatz com base no hash de IMP Detectado um serviço de remoção conectado ao canal de LSASS Processo lsass conectado a um canal
Regra	Detectado um possível criador de logs da chave	Detecta se uma máquina está infectada com um criador de logs da chave.
Regra	Possível ransomware Locky detectado com base no rundll32 com o argumento qwerty	Detecta uma assinatura conhecida para o ransomware Locky.
Regra	Uso malicioso do PowerShell detectado com comando codificado	Atualizado para detectar os usos mais maliciosos do PowerShell.
Regra	Uso malicioso do PowerShell detectado	Atualizado para detectar os usos mais maliciosos do PowerShell.
Bloco de construção	BB: o PsExec foi detectado	Usado nas regras PSExec.
Bloco de construção	BB: processo criou uma conexão de rede	Usado nas regras que correlacionam conexões de rede a outras atividades.
Bloco de construção	BB: um compartilhamento administrativo foi acessado	Usado nas regras que detectam quaisquer atividades maliciosas com pastas compartilhadas.
Bloco de construção	BB: createRemoteThread detectado	Usado em regras que detectam a criação de encadeamentos remotos.
Bloco de construção	BB: processos normais do Windows acessaram o LSASS.exe	Usado nas regras que detectam o processo LSASS.
Bloco de construção	BB: detectado um processo PowerShell	Usado nas regras que detectam processos PowerShell.
Bloco de construção	BB: uma tarefa planejada foi criada	Usado nas regras que detectam tarefas planejadas.
Bloco de construção	BB: detectada uma tarefa planejada baseada no evento de criação de processo parte 1	Usado em regras que detectam tarefas planejadas com base na criação do evento de processo.
Bloco de construção	BB: um canal foi criado	Usado nas regras que detectam a criação de canal.
Bloco de construção	BB: detectada uma tarefa planejada baseada no evento de criação de processo parte 2	Usado em regras que detectam tarefas planejadas com base na criação do evento de processo.
Bloco de construção	BB: o caminho do binário de serviço foi configurado ou atualizado	Usado nas regras que detectam se um binário do caminho de serviço é configurado ou atualizado.
Bloco de construção	BB: casos excluídos do CreateRemoteThread	Usado em regras que detectam a criação de encadeamentos remotos.
Pesquisa salva	Pai anormal para um processo	Esta procura mostra qualquer processo com um pai incomum baseado nos dados da linha de base
Pesquisa salva	Conexão de rede detectada pelos processos sensíveis do Windows	Esta procura mostra qualquer conexão iniciada a partir de um processo sensível do Windows.
Pesquisa salva	Acesso ao Processo para LSASS	Esta procura mostra qualquer processo que acessou o LSASS.
Pesquisa salva	Executáveis ativados remotamente via WMI ou PowerShell	Esta procura mostra processos que foram executados remotamente.
Pesquisa salva	O caminho do binário de serviço foi configurado ou atualizado	Esta procura mostra qualquer novo serviço ou se o local do binário de serviço mudou.
Pesquisa salva	Hash de processo desconhecido foi iniciado	Esta procura mostra quaisquer hashes de processo inéditos.
Pesquisa salva	Executável não assinado carregado no processo do sistema sensível	Esta procura mostra qualquer tentativa de carregar um arquivo executável não assinado nos processos do sistema sensível.
Pesquisa salva	Linha de comandos muito longa detectada	Esta procura mostra um texto da linha de comandos longa.
Conjunto de Referências	Hashes de Whitelisted	Contém uma lista de hashes incluídos na lista de desbloqueio.
Conjunto de Referências	Systools	Contém uma lista de ferramentas usadas por administradores de sistema.
Conjunto de Referências	Hashes de processo iniciados como usuário do sistema	Contém uma lista de hashes de processo que podem ser iniciados com privilégios em nível de sistema.
Conjunto de Referências	Hosts comprometidos	Contém uma lista que é preenchida com quaisquer hosts comprometidos.
Conjunto de Referências	Nome do Processo para Hash	Contém uma lista de nomes de processo que são mapeados para seus hashes.
Conjunto de Referências	IOCs - nomes de serviços maliciosos	Contém uma lista de nomes de serviços maliciosos bastante conhecidos.

_{(Voltar para o topo)}

IBM Segurança QRadar Extensão de conteúdo do Sysmon 1.0.0

A tabela a seguir descreve as mudanças incluídas no IBM Security QRadar Sysmon Content Extension 1.0.0

Tipo	Nome	Descrição da mudança
Regra	Executável ou DLL não assinado carregado do diretório temporário	Detecta quando um executável ou DLL não designado é carregado de um diretório temporário.
Regra	Processo ativado a partir do diretório temporário	Detecta quando um processo é ativado a partir de um diretório temporário.
Regra	Executável ou DLL não assinado carregado no processo do sistema sensível	Detecta quando um executável ou DLL não designado é carregado em outros processos do sistema sensível.
Regra	Processo criou um encadeamento no processo do sistema	Detecta quando um processo cria um encadeamento em um processo do sistema.
Regra	O processo criou um encadeamento a partir de um processo que foi ativado a partir de um diretório temporário	Detecta quando um processo cria um encadeamento a partir de um processo que foi ativado a partir de um diretório temporário.
Regra	O processo criou um encadeamento em outro processo	Detecta quando um processo cria um encadeamento em outro processo.
Regra	Uso malicioso do PowerShell detectado	Detecta o uso malicioso do PowerShell.
Regra	Uso malicioso do PowerShell detectado com comando codificado	Detecta o uso malicioso do PowerShell com um comando codificado.
Regra	Um script do PowerShell foi transferido por download	Detecta quando um script do PowerShell é transferido por download.
Regra	Processo do sistema iniciado a partir de um diretório incomum	Detecta quando um processo do sistema é iniciado a partir de um diretório incomum.
Regra	Pai anormal para um processo do sistema	Detecta quando um pai anormal para um processo do sistema está presente.
Regra	Processo svchost suspeito detectado	Detecta um processo svchost suspeito.
Regra	Exclusão de cópias de sombra detectada	Detecta quando um arquivo de cópia de sombra é excluído.
Bloco de construção	BB: executável ou DLL não assinado carregado no processo do sistema sensível parte 1	Usado pelo executável ou DLL não assinado na regra de processo do sistema sensível.
Bloco de construção	BB: detectado um script do PowerShell transferido por download	Usado pela regra de script do PowerShell transferido por download.
Bloco de construção	BB: detectado um script do PowerShell transferido por download com EncodedCommand	Usado pela regra uso malicioso do PowerShell detectado com comando codificado.
Propriedade Customizada	Imagem	`Image:\s(.*)\sImageLoaded`
Propriedade Customizada	ImageName	`Image:\s(?:.\\)(.)\sImageLoaded`
Propriedade Customizada	Assinado	`Signed:\s(true\|false)`
Propriedade Customizada	Assinatura	`Signature:\s(.*)\sSignatureStatus`
Propriedade Customizada	SignatureStatus	`SignatureStatus:\s(Valid)`
Propriedade Customizada	LoadedImage	`ImageLoaded:\s(.*)\sHashes`
Propriedade Customizada	Imagem	`Image:\s(.*)\sCommandLine`
Propriedade Customizada	ImageName	`Image:\s(?:.\\)(.)\sCommandLine`
Propriedade Customizada	ParentImage	`ParentImage:\s(.*)\sParentCommandLine`
Propriedade Customizada	ParentImageName	`ParentImage:\s(?:.\\)(.)\sParentCommandLine`
Propriedade Customizada	Nome da imagem de destino	`TargetImage:\s(?:.\\)(.)\sNewThreadId`
Propriedade Customizada	SourceImage	`SourceImage:\s(.*)\sTargetProcessGuid`
Propriedade Customizada	TargetImage	`TargetImage:\s(.*)\sNewThreadId`
Propriedade Customizada	Comando codificado PS	`[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)`
Propriedade Customizada	Process CommandLine	`CommandLine:\s(.*)\sCurrentDirectory`
Propriedade Customizada	SourceImageTempPath	`SourceImage:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propriedade Customizada	ImageTempPath	`Image:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propriedade Customizada	ImageLoadedTempPath	`ImageLoaded:\s+.((?:Windows\\Temp)\|(?:AppData\\Local\\Temp))\\.`
Propriedade Customizada	Process CommandLine	`Process Command Line:\s(.)\s*Token Elevation Type`
Propriedade Customizada	Comando codificado PS	`Process Command Line:\spowershell.[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^][\s^]+(\S+)\sToken Elevation Type`
Propriedade Customizada	ImageName	`New Process Name:\s(?:.\\)(\S)\sToken\sElevation\sType\:`
Propriedade Customizada	SHA1 Hash	`SHA1=(\w+)`
Propriedade Customizada	Hash MD5	`MD5=(\w*)`
Propriedade Customizada	Hash SHA256	`SHA256=(\w*)`
Propriedade Customizada	Hash IMP	`IMPHASH=(\w*)`
Propriedade Customizada	Imagem	`New Process Name:\s(\S)\s*Token\sElevation\sType\:`
Função Customizada	base64Decode	Decodifica o texto base64 a partir do comando codificado PowerShell em uma sequência legível normal.
Função Customizada	PScmdFilter	Filtra a linha de comandos do processo a partir dos eventos do Sysmon.
Pesquisa salva	Linha de comandos muito longa detectada	Esta é uma procura de eventos para correspondência em linhas de comandos de processo longas de eventos do Sysmon.
Conjunto de Referências	TempFilePath	Contém uma lista de caminhos de arquivo do diretório temporário.
Conjunto de Referências	Processos Sensíveis do Windows	Contém uma lista de todos os processos sensíveis do Windows.
Conjunto de Referências	ProcessMaptoProcessPath	Contém uma lista de nomes de processos e os caminhos para esses processos.
Conjunto de Referências	ProcessMaptoProcessParentPath	Contém uma lista de nomes de processos e os caminhos para os processos pai.

_{(Voltar para o topo)}