Sysmon: PowerShell

Sysmon - это системная служба MicrosoftWindows и драйвер устройства, который контролирует системные операции и регистрирует события в журнале событий Windows. Журналы событий Windows можно переадресовать в QRadar и проанализировать их, чтобы обнаружить дополнительные угрозы в конечных точках Windows.

Вариант использования Sysmon показывает, как QRadar обнаруживает подозрительное поведение после того, как пользователь скачивает вложение файла и запускает его на рабочей станции Windows.

Когда пользователь щелкает по скачанному файлу, файл запускает командный процессор, который выполняет сценарий PowerShell, чтобы скачать и выполнить файл из внешнего расположения, что компрометирует компьютер пользователя. Теперь злоумышленник расширяет свои права доступа до разрешений на уровне системы и скачивает имена пользователей и пароли для сети. Входя на равноправные компьютеры, атакующий может перемещаться по горизонтали и запускать сценарии PowerShell для выполнения процессов на нескольких компьютерах в сети.

Ещё больше содержимого QRadar, которое поддерживает вариант использования Sysmon: PowerShell, можно найти, скачав Расширение содержимого IBM® QRadar для Sysmon. Пакет содержимого включает в себя правила, строительные блоки, наборы ссылок и пользовательские функции, которые можно использовать для обнаружения дополнительных угроз, таких как злоупотребление PowerShell, скрытые процессы Windows и атаки памяти без файлов.

Имитация угрозы

Чтобы узнать, как QRadar обнаруживает атаку, смотрите видео имитации Sysmon: Powershell.

Чтобы выполнить имитацию в QRadar, сделайте следующее:
  1. На вкладке Операции журнала щелкните по Показать центр опыта.
  2. Щелкните по Имитация угрозы.
  3. Найдите имитацию Sysmon: PowerShell и щелкните по Выполнить.
На вкладке Операции журнала можно увидеть следующие входящие события, используемые для имитации варианта использования:
Табл. 1. Входящие события для Sysmon: вариант использования PowerShell
Содержимое Описание
События Создать процесс

FileCreate

Служба установлена в системе

CreateRemoteThread
Источники журналов Центр опыта: WindowsAuthServer @ EC: <имя_компьютера>

Центр опыта: WindowsAuthServer @ EC: <имя_пользователя>

События воспроизводятся в цикле, и тот же самый вариант использования повторяется многократно. Чтобы остановить имитацию, щелкните по Остановить на вкладке Симулятор угроз.

Обнаружение угрозы: QRadar в действии

Компонент Механизм пользовательских правил (Custom Rules Engine, CRE) QRadar отвечает за обработку входящих событий и потоков. CRE сравнивает события и потоки с собранием тестов, которые известны как правила, и правила создают нарушения при выполнении определенных условий. CRE отслеживает тесты правил и число инцидентов со временем.

Но узнать о том, что произошло нарушение - это только первый шаг. QRadar облегчает вам более глубокое погружение и узнать, как это произошло, где это произошло и кто это сделал. Благодаря индексации нарушения все события с таким именем угрозы появляются как одно нарушение.

Исследование угрозы

Чтобы увидеть список содержимого QRadar, который вносит вклад в эту имитацию, включая правила, сохраненные поиски, нарушения и наборы ссылок, сделайте следующее:
  1. Откройте приложение IBM QRadar Experience Center.
  2. В окне Имитатор угроз щелкните по ссылке Читать дальше для имитации и выберите тип содержимого, который вы хотите проверить.

    Другой вариант - на вкладке Операции журнала можно запустить быстрый поиск с именем EC: События системного монитора, чтобы увидеть все события, связанные с нарушением.

Чтобы найти дополнительную информацию о том, как использовать QRadar для расследования нарушений, смотрите раздел Расследование угроз в QRadar.