Sysmon

IBM® QRadar ® Sysmin Content Extension, Sysmpon günlüklerini kullanarak Windows uç noktalarında gelişmiş tehditleri algılar.

Sysinternals Sysmon hizmeti, Windows sistemlerine birden çok olay tanıtıcısı ekler. Bu yeni Olay Tanıtıcıları sistem yöneticileri tarafından sistem işlemlerini, ağ etkinliğini ve dosyaları izlemek için kullanılır. Sysmon, Windows güvenlik günlüklerinden daha ayrıntılı bir görünüm sağlar. Sysmon ile ilgili daha fazla bilgi için bkz. Uç Noktalarınızı, Sysmon Için QRadar Içeriğiyle Koruyun (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/).

Bu içerik uzantısı, PowerShell kullanımı, gizli Windows işlemleri, dosyasız bellek saldırıları, kod kararması ve daha birçok gibi gelişmiş tehditleri saptamak için birden çok kullanım senaryosu sağlar. Bu içerik uzantısı, yeni hücumlar, yapı taşları, başvuru kümeleri ve bu tehditleri saptamanıza yardımcı olacak özel işlevler içerir.

Not: IBM QRadar Syslon Content Extension olanağını kurmadan önce, Microsoft Windows DSM ' yi en son sürüme güncelleyin.

Bu içerik uzantısının kapsadığı kullanım senaryolarına ilişkin daha fazla bilgi için aşağıdaki videolara bakın:

Görüntü Başlığı Video Bağlantısı
Sysmon PowerShell Kullanım Senaryosu 1 https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell Kullanım Senaryosu 2 https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell Kullanım Senaryosu 3 https://youtu.be/sZUAuYpSe7Q
Symdon Kullanım Senaryosu 4 Bogus Windows Süreçleri https://youtu.be/gAS-B9gb3RY
Sysmon Use Case 5 Detecting other Libraries https://youtu.be/omWnyACNEcM
Sysmon Kullanım Senaryosu 6 Kötü Enjeksiyon ve Kodlanmış Saldırılar https://youtu.be/kC2hIJxqF8Q
QRadar Ayrıcalık Yükseltme Algılama Kullanım Senaryosu 7 https://www.youtube.com/watch? v=yitGRL-WJCM
QRadar Ayrıcalık Yükseltmesi, Vaka 8 'i Kullanmaya Devam Etti https://www.youtube.com/watch?v=8u6G6SEw3kE
Sysmon Kullanım Senaryosu 9-Daha Fazla Ayrıcalık Yükseltme Algılaması https://www.youtube.com/watch?v=0Wy59Otr_Ag
SysON Kullanım Senaryosu 10-Yönetici Hesabı Oluşturma https://www.youtube.com/watch? v=bJgaFSjuMSs
Sysmon Saptama Adı Veri Bağlantısı Kimliğine Bürünme https://www.youtube.com/watch?v=pSBQ7NabDUY
Symon Algısı Mimikatz https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar Yan Hareket Algılama, Örnek Bir https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar Yan Hareket Algılama örneği İki https://www.youtube.com/watch?v=whjpScDYaY4
QRadar Yanal Hareket Algılama örneği üç (Düz Windows Özellikleri) https://www.youtube.com/watch?v=7PXzi3pbmFo
Önemli: Bu içerik uzantısındaki içerik hatalarını önlemek için ilişkili DSM ' leri güncel tutun. DSM ' ler otomatik güncellemelerin bir parçası olarak güncellenir. Otomatik güncellemeler etkinleştirilmezse, ilgili DSM ' lerin en son sürümünü IBM Fix Central adresinden yükleyin (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Syslon

IBM Security QRadar Sysmo Content Extension 1.3.0

Birden Çok Anasistemler üzerinde Zamanlanmış Görev Saptandı özel kuralı, kural süzgecine bir güncelleme aldı. Bu güncelleme, birden çok komut çalıştırılıp çalıştırılmadığından emin olmak için her biri kendi hücumu elde etmek için işlevsel bir değişiktir.

IBM Security QRadar Sysmin Content Extension 1.2.1

Aşağıdaki tabloda, IBM Security QRadar Sysmin Content Extension 1.2.1içindeki güncellenen özel özellikler gösterilmektedir.

Tablo 1. IBM Security QRadar Sysmin Content Extension 1.2.1içindeki Özel Özellikler Güncellendi
Ad Açıklama
Resim New Process Name:\s(.*?)Token Elevation Type\: ifadesi şimdi New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type)olur.
ShareName Share\sName\:\s*(?:\\\\\*\\)(.*)\s\sShare\sPath ifadesi şimdi Share\sName\:\s*(?:\\\\\*\\)(.*?)\s+Share\sPatholur.

(En başa dön)

IBM Security QRadar Sysmin Content Extension 1.2.0

Aşağıdaki çizelge, IBM Security QRadar Sysmoon Content Extension 1.2.0içindeki özel özellikleri göstermektedir.

Tablo 2. IBM Security QRadar Sysmon Content Extension 1.2.0içindeki Özel Özellikler
Ad Açıklama
Resim SourceImage\: \s (. *) \sTargetProcessGuid ifadesi artık SourceImage\: \s (. *?) \sTargetProcessGuidifadesi

Image: \s (. *) \sUser\: ifade şu anda Image: \s (. *?) \sUser\:

Image: \s (. *?) \s (FileVersion|CommandLine): ifade şu anda \bImage: \s (. *?) \s (?:FileVersion|CommandLine):

New\sProcess\sName: \s * (. *) \s{2}Token\sElevation\sType\: ifade şu anda Yeni Süreç Adı: \s (. *?) Simgeli Yükseltme Tipi \:

SourceImage\: \s (. *) \sTargetProcessG ifadesi artık SourceImage\: \s. *? \\ ([ ^ \\] *?) \sTargetProcessGbiçiminde

Şu ifadeler geçersiz kılındı:
  • Image: \s (. *) \sImageYüklendi
  • Image: \s (. *) \sTargetDosya Adı \:
  • Resim \:\s (. *)
  • Görüntü \:\s (. *) \sDevice:
  • Resim \:\s (. *) \sTargetNesnesi
  • Process\sName\: \s * (. *?) \s *Access\sRequest
ImageName Image: \s (?:. * \\) ?(. *?) \s (?:FileVersion|CommandLine): \s ifadesi şu anda \bImage: \s. *? \\ ([ ^ \\] *?) (?:FileVersion|CommandLine): \s

Image: \s (?:. * \\) ?(. *) \sImageYüklenen ifade şu anda Görüntü'tür:. *? \\ ([ ^ \\] *?) \sImageYüklendi

Image: \s (?:. * \\) ?(. *) \sTargetFilename \: ifade şu anda Görüntü'tür:. *? \\ ([ ^ \\] *?) \sTargetDosya adı

Image: \s (?:. * \\) ?(. *) \sUser\: ifade şu anda Image: \s. *? \\ ([ ^ \\] *?) \sUser\:

Görüntü \:\s (?:. * \\) ?(. *) \sTargetNesne ifadesi artık Görüntü'tür \:\s. *? \\ ([ ^ \\] *?) \sTargetNesnesi

SourceImage\: \s (?:. * \\) ?(. *) \sTargetProcessGuid ifadesi artık SourceImage\: \s. *? \\ ([ ^ \\] *?) \sTargetProcessGuidifadesi

New\sProcess\sName: \s * (?:. * \\) ?(. *) \s{2}Token\sElevation\sType\: ifade şu anda Yeni Süreç Adı: \s. *? \\ ([ ^ \\] *?) Simgeli Yükseltme Tipi \:

Şu ifadeler geçersiz kılındı:
  • Image: \s (?:. * \\) ?(. *)
  • Resim \:\s (?:. * \\) ?(. *)
  • Resim \:\s (?:. * \\) ?(. *) \sTargetNesnesi
  • Resim \:\s (?:. * \\) (. *) \sDevice:
  • Process\sName\: \s * (?:. * \\) ?(. *?) \s *Access\sRequest
  • SourceImage\: \s (?:. * \\) ?(. *) \sTargetProcessG
Süreç CommandLine Process Command Line: \s (. *) \sToken Yükseltme Tipi ifadesi şu anda Process Command Line [: \s \\=] + (. *?) \s * (?: Token Yükseltme Tipi)
ServiceName Hizmet adı \:\s* (. *) \sService\sFile ifadesi şu anda (?i) Hizmet Adı [ \: \s\ = \ \] * (. *?) \s + (?: Hizmet Dosyası Adı: | & &)
SourceImage Bu özel özellik içerik uzantısından kaldırılır.

Aşağıdaki tablo, IBM Security QRadar Sysmin Content Extension 1.2.0içinde güncelleştirilen kuralları göstermektedir.

Tablo 3. Rules updated in IBM Security QRadar Sysmon Content Extension 1.2.0
Ad Açıklama
Paylaşılan Bir Klasörden Başlatılan Süreç Temelinde İş Parçacığı Oluşturma Şimdi SourceImage özel özelliği yerine Resim özel özelliğini kullanır.

The following rules and building blocks are removed in IBM Security QRadar Sysmon Content Extension 1.2.0 because they are duplicates of rules in the IBM Security QRadar Uç Noktası content extension.

  • BB:BehaviorDefinition: Administrative Share Accessed
  • SAM Kayıt Anahtarını Kullanarak Kimlik Bilgisi Dökümü
  • Bir Programlama Ortamında Kodlanmış Komut Kötücül Kullanım
  • Fodhelper kullanarak Dosyasız UAC Atlama
  • sdclt kullanarak dosyasız UAC Atlama
  • Windows Olay Görüntüleyicisi 'ni kullanarak Dosyasız UAC Atlama
  • Olağan Dışı Bir Süreç Tarafından Başlatılan Süreç
  • Programlama Ortamı Ayrıcalıklı Bir Hesapla Başlatıldı
  • Powershell Kullanacak şekilde Yapılandırılan Hizmet
  • Şüpheli PSExec Birimi Kullanımı Algılandı

Metasploit PSExec Module Usageolarak çağrılması için kullanılan Suspicious PSExec Module Usage Detected kuralı.

Powershell Malicious Usage Detected kuralı, Endpoint Content Pack içindeki File Decode ya da Download arpruted by Suspicious Activity (Dosya Decode ya da Aşağı Yükle) tarafından

(En başa dön)

IBM Security QRadar Sysmin Content Extension 1.1.3

Aşağıdaki çizelge, IBM Security QRadar Sysmoon Content Extension 1.1.3içindeki özel özellikleri göstermektedir.

Tablo 4. IBM Security QRadar Sysmon Content Extension 1.1.3içindeki Özel Özellikler
Ad Optimize edilmiş Yakalama Grubu Regex
Hizmet Adı Evet 1 Hizmet Adı \:\s* (. *) \sService\sFile
ServiceFileAdı Evet 1 Service\sFile\sName\: \s* (. *) \sService\sType

Aşağıdaki tablo, IBM Security QRadar Sysmin Content Extension 1.1.3içindeki kuralları ve oluşturma öbeklerini göstermektedir.

Tablo 5. IBM Security QRadar Sysmon Content Extension 1.1.3içindeki Kural ve Bina Blokları
Tip Ad Açıklama
Kural Kodlanmış Komut Dosyası Aracılığıyla Karşıdan Yükleme Işlemi Başlatıldı Bu kural, bir PowerShell komut dosyasının karşıdan yüklenmesinin bir programlama ortamı cmd ya da Powershell tipinde başlatıldığını tetikler.
Kural Kötü Amaçlı Hizmet Kuruldu Bu kural, kötücül olarak sınıflandırılmış bir hizmeti tetiklediğinde tetiklenir.
Kural Metasploit PSExec Birimi Kullanımı Bu kural, PSExec modülünün kullanımını algıladığında tetiklenir.
Kural PSExec İşlemi, Taahhüt Edilen Anasistemde Görev Yaptı Bu kural, riskli bir anasistemde bir PsExec işlemi saptandığında tetiklenir.
Kural Lsass Boruya Bağlı Uzaktan Yönetim Hizmeti Bu kural, bir uzak yönetim hizmetinin lsass veri bağlantısına bağlandığında tetiklenir.
Kural Paylaşılan Bir Klasörde Bulunan Hizmet İkili Bu kural, paylaşılan bir klasörde bir hizmet ikili dosyasının yer aldığı zamanı tetikler.
Kural Veri Bağlantısını Kullanacak şekilde Yapılandırılmış Hizmet Bu kural, bir hizmet veri bağlantısını kullanmak üzere yapılandırıldığında tetiklenir.
Kural Powershell Kullanacak şekilde Yapılandırılan Hizmet Bu kural, bir hizmetin Powershell 'i kullanmak için yapılandırıldığında tetiklenir.
Kural Vadevad Anasistemine Kurulan Hizmet Bu kural, tehlikeye açık bir anasistemde bir hizmet yaratıldığını tetikler.

Aşağıdaki tabloda, IBM Security QRadar Sysmin Content Extension 1.1.3içinde yeniden adlandırılan özel özellikler, kurallar ve oluşturma öbekleri gösterilmektedir.

Tablo 6. Özel özellikler, kurallar, oluşturma öbekleri, saklanmış aramalar ve IBM Security QRadar Sysmin Content Extension 1.1.3içinde yeniden adlandırılan başvuru verileri
Eski Ad Yeni ad
Gizli Ağ Paylaşımı Eklendi Gizli Ağ Paylaşımı Eklendi
Kötü Amaçlı Bir Hizmet Bir Sisteme Kuruldu Kötü Amaçlı Hizmet Kuruldu
Comvaaded Anasisteminden Bir Ağ Paylaşımından Erişildi Söz Verilen Bir Anasistemden Erişilen Ağ Paylaşımı
Comvaded Anasistemine Ağ Paylaşımı Eklenmiştir Comvaded Anasistemine Ağ Paylaşımı Eklendi
Oluşturulan Veri Bağlantısına Bağlanmak için Hizmet İkili Yolu Güncelleyerek İzlenen Bir Veri Bağlantısı Oluşturuldu Hizmet İkili Yol Güncellemesi tarafından İzlenen Veri Bağlantısı
uzaktan Kaldırma Hizmeti, Powershell Komut Dosyası Oluşturuldu Uzak Yönetim Hizmeti Tarafından Oluşturulan Powershell Komut Dosyası
Birleşik Anasistemde Zamanlanmış Bir Görev Oluşturuldu Vadevad Anasisteminde Yaratılan Zamanlanmış Görev
Vadevad Anasistemine Bir Hizmet Kuruldu Vadevad Anasistemine Kurulan Hizmet
Sistem İşlemi İçin Olağan Dışı Üst Öğe Sistem İşlemi İçin Sıra Dışı Üst Öğe
Yönetici Paylaşıma Erişildi Yönetici Paylaşıma Erişildi
Bir Taahhüt Edilen Makineden Yönetimle Ilgili Bir Paylaşıma Erişildi Comvadeden Anasistemden Erişilen Yönetim Paylaşımı
BB: Zamanlanmış Bir Görev Oluşturuldu BB:CategoryDefinition: Zamanlanmış Görev Yaratma
BB: Yönetici Paylaşıma Erişildi BB:BehaviorDefinition: Administrative Share Accessed
BB: CreateRemoteIş Parçacığı Saptandı BB:CategoryDefinition: Uzak İş Parçacığı Oluşturma
BB: CreateRemoteİş Parçacığı hariç tutulan durumlar BB:BehaviorDefinition: Uzak İş Parçacığı Yaratma False-Konumlar
BB: Powershell Süreci Saptandı BB:CategoryDefinition: Programlama Ortamı
BB: Süreç Yaratma Olayı Bölüm 2 'e dayalı bir Zamanlanmış Görev saptandı BB:CategoryDefinition: Bir Süreç Temelinde Zamanlanmış Görev Oluşturma
BB: Normal Windows İşlemleri Erişildi lsass.exe BB:CategoryDefinition: lsss 'e İzin Verilen İşlemler
BB: Veri Bağlantısı Oluşturuldu BB:CategoryDefinition: Veri Bağlantısı Oluşturma
BB: Süreç bir Ağ Bağlantısı yarattı BB:CategoryDefinition: Ağ Bağlantısı
BB: PsExec Saptandı BB:BehaviorDefinition: PsExec Süreci Gözlemlendi
BB: Hizmet İkili Yolu Ayarlandı ya da Güncellendi BB:BehaviorDefinition: Hizmet İkili Yol Kümesi ya da Güncelleme
Sonsuz Süreç Başlatıldı/İşlem Sildi Olağan Dışı Bir Süreç Tarafından Başlatılan Süreç
Sistem Ayrıcalıklarına Sahip Komut Kabuğu Başlatıldı Programlama Ortamı Ayrıcalıklı Bir Hesapla Başlatıldı
Fodhelper kullanarak Dosyasız UAC Atlama saptandı Fodhelper kullanarak Dosyasız UAC Atlama
sdclt kullanan bir Dosyasız UAC Atlama saptandı sdclt kullanarak dosyasız UAC Atlama
Windows Olay Görüntüleyicisi 'ni kullanarak Dosyasız UAC Atlama saptandı Windows Olay Görüntüleyicisi 'ni kullanarak Dosyasız UAC Atlama
Yeni Görülmeyen HASH Ile Başlatılan Bilinen Bir Işlem Saptandı Bilinen Süreç Farklı Bir HASH Ile Başlatıldı
Windows Kayıt Defterinde Uzun Bir Değer Saptandı Windows Kayıt Defterinde Olağandışı Değer Boyutu
Malicious Access To Lsass Süreci Saptandı Lsass Sürecine Şüpheli Erişim
Bilinmeyen Çağrı İzinden lsss İşlemi İçin Değerli Erişim Saptandı Bilinmeyen Çağrı Izlemesinden Lsass Sürecine Kuşkulu Erişim
Sistem Kullanıcı Ayrıcalıklarına sahip Yeni Görülmeyen Süreç Başlatıldı Ayrıcalıklı Bir Hesapla Yeni Süreç Başlatıldı
Olası Bir Kimlik Bilgileri Eşleme Aracı Saptandı Potansiyel Kimlik Bilgileri Boşaltma Aracı Saptandı
Olası Bir Keylogger Saptandı Olası Keylogger Saptandı
Birden Çok Anasistemden Uzaktan Yürütülen Bir Süreç Saptandı Çoklu Anasistemler üzerinde Uzak Süreç Yürütme
Lsass Boruya Bağlı Uzak Hizmet Saptandı Lsass Boruya Bağlı Uzaktan Yönetim Hizmeti
Birden Çok Anasistemden bir Zamanlanmış Görev Saptandı Çoklu Anasistemler üzerinde Zamanlanmış Görev Oluşturuldu
Eklenen bir Hizmet İkili Yolu Değiştirildi ve ardından Kullanıcı ya da Grup Eklendi Kullanıcı ya da Grup Değişikliği Tarafından İzlenen Hizmet İkili Yol Güncellemesi
Boru Kullanacak bir Hizmet Saptandı Veri Bağlantısını Kullanacak şekilde Yapılandırılmış Hizmet
Powershell Olanağını Kullanacak şekilde Yapılandırılan Bir Hizmet Belirlendi Powershell Kullanacak şekilde Yapılandırılan Hizmet
Paylaşılan Bir Klasörde Bulunan Executable Binary içeren bir Hizmet Belirlendi Paylaşılan Bir Klasörde Bulunan Hizmet İkili
Şüpheli Bir Svchost Süreci Saptandı Şüpheli Svchost Süreci
İşlem için Saptanan Olağandışı Üst Öğe Süreç İçin Sıra Dışı Üst Öğe
Bilinmeyen/Görülmeyen Süreç Saptandı (İşlem Hash 'a Göre) Bilinmeyen Süreç Hash Gözlemlendi
Bilinmeyen/Görülmeyen Süreç Saptandı (Süreç Adına Dayalı) Bilinmeyen Süreç Adı Gözlemlendi
Saptanan SC Komutu Aşırı Yürütme SC Komutunun Aşırı Kullanımı
Tek Bir Makineden Sistem Araçlarının Aşırı Kullanımından Saptanmış Tek Bir Anasistemden Aşırı Sistem Araçları Kullanımı
IMP Hash üzerine Dayalı Mimikatz Saptandı Mimikatz IMP Hash Gözlemlendi
Farklı bir Süreç Adı ile PsExec saptandı PsExec Süreç Maskeleme
Comvadid Anasisteminden Ağ Paylaşılan Kaynağına Erişmek Için Aşırı Başarısız Denemeler Comvadid Anasisteminden Gelen Aşırı Ağ Paylaşımı Erişim Başarısızlıkları
Tek Bir Kaynaktan Yönetici Paylaşıma Erişmek İçin Aşırı Başarısız Deneme Sayısı Aynı Anasistemden Gelen Aşırı Denetim Paylaşımı Erişim Başarısızlıkları
Boruya Bağlı Lsss İşlemi Boruya Bağlı Lsss İşlemi
Metasploit PSExec Birimi Algılandı Metasploit PSExec Birimi Kullanımı
Qwerty bağımsız değişkeniyle rundll32 temel alınarak olası Locky ransomware saptanmıştır Qwerty Bağımsız Değişken Kullanımı ileRundll32
Olası UAC Atlama-Zamanlanmış Bir Görev En Yüksek Ayrıcalıklarla Çalışacak şekilde Yapılandırıldı UAC Atlama-Zamanlanmış Görev, En Yüksek Ayrıcalıklarla çalışacak şekilde Yapılandırıldı
Powershell Başlatıldı Powershell Süreci Gözlemlendi
Powershell, Comvadid Host 'ta Başlatıldı Taahhüt Edilen Bir Anasistemde Gözlenen Powershell Süreci
Powershell Kötücül Kullanım, Kodlanmış Komut Ile Saptandı Bir Programlama Ortamında Kodlanmış Komut Kötücül Kullanım
Powershell Script download with EncodedCommand Kodlanmış Komut Dosyası Aracılığıyla Karşıdan Yükleme Işlemi Başlatıldı
İşlem Baselining: Süreç HASH İşlem Baselining: Süreç HASH
İşlem Baselining: Süreç Adı İşlem Baselining: Süreç Adı
İşlem Baselining: Süreç Adı-Hash 'a İşle İşlem Baselining: Süreç Adı-Hash 'a İşle
İşlem Baselining: Process Name to Parent Process İşlem Baselining: Process Name to Parent Process
İşlem Baselining: Süreç Sistem Kullanıcı Ayrıcalıkları ile Başlatıldı İşlem Baselining: Süreç Sistem Kullanıcı Ayrıcalıkları ile Başlatıldı
Süreç, Bir Geçici Dizinden Başlatılan Bir Süreçten Iş Parçacığı Yarattı Bir Geçici Dizin 'den Başlatılan Süreç Temelinde İş Parçacığı Oluşturma
Süreç Bir Iş Parçacığı Başka Bir Sürece Yarattı İş Parçacığı Başlangıç 'dan farklı bir sürece ilişkin iş parçacığı oluşturma
Süreç, bir iş parçacıkını lsass Süreci 'ne yarattı İş Parçacığı Yaratma İşlemine (lsss Süreci)
Süreç, Sistem Sürecine ilişkin bir iş parçacığı yarattı İş Parçacığı Bir Sistem Sürecine Yaratma
Paylaşılan Klasör Tarafından Başlatılan Süreç Paylaşılan Bir Klasörden Başlatılan Süreç
Paylaşılan Bir Klasörden Başlatılan İşlem ve Başka Bir Süreçte İş Parçacığı Oluşturulması Paylaşılan Bir Klasörden Başlatılan Süreç Temelinde İş Parçacığı Oluşturma
Geçici Dizinden Başlatılan Süreç Temp Dizininden Başlatılan Süreç
İşlem Yüklü Yürütülebilir Dosyayı Temp Dizininden İşle Yürütülebilir Dosya Temp Dizininden Yüklendi
Süreç Olağan Dışı Dizinlerden Başlatıldı (Recycle.bin, ..) Olağan Olmayan Dizinden Süreç Başlatıldı
PsExec Algılandı PsExec Süreci Gözlemlendi
PsExec , Taahhüt Edilen Bir Anasistemden Başlatıldı PsExec Process Observed on a Compromised Host
SAM Kayıt Defteri anahtarı-Alt anahtarlar (kullanıcılar) sıralı değer listesi SAM Kayıt Anahtarını Kullanarak Kimlik Bilgisi Dökümü
Service Binary Path Has Been Updated with a CreateRemoteThread Detected from the Same Process Uzak İş Parçacığı Oluşturma İzlenip İzlenen Hizmet İkili Yol Güncellemesi
Hizmet İkili Yolu, Aynı Süreçten Gelen Bir Ağ Bağlantısı Tarafından Güncelleştirildi Ağ Bağlantısı Tarafından İzlenen Hizmet İkili Yol Güncellemesi
Gölge Kopyalarının Silinmesi Saptandı Gölge Kopyalarının Silinmesi
Olağan Dışı Dizinden Sistem Işlemi Başlatıldı Olağan Dışı Dizinden Sistem Işlemi Başlatıldı
İmzasız Sürücü Windows çekirdeğine Yüklendi Windows Çekirdeğine Imzalanmamış Sürücü Yüklendi
İmzasız Yürütülür Dosya lsass.exeIçine Yüklendi. İmzasız Yürütülebilir Yürütülebilir Dosya Lsass
İmsiz Yürütülür Dosya Duyarlı Sistem Sürecine Yüklendi Duyarlı Sistem Işleminde Imzalanmamış Yürütülebilir Dosya
whoami /grous Has Yürütüldü Grup ya da Hesap Keşfesi

(En başa dön)

IBM Security QRadar Sysmin Content Extension 1.1.2

Aşağıdaki çizelge, IBM Security QRadar Sysmoon Content Extension 1.1.2içindeki özel özellikleri göstermektedir.

Tablo 7. IBM Security QRadar Sysmon Content Extension 1.1.2içindeki Özel Özellikler
Ad Regex
Resim Image: \s (. *?) \s (FileVersion|CommandLine):
ImageName Image: \s (?:. * \\) ?(. *?) \s (?:FileVersion|CommandLine): \s
LoadedImage ImageLoaded: \s (. *?) \s (FileVersion| Hap 'ler) \:
LoadedImageAd ImageLoaded\: \s (?:. * \\) (. *?) \s* (FileVersion| Hashes) \:

Aşağıdaki tablo, IBM Security QRadar Sysmin Content Extension 1.1.2içindeki kuralları ve oluşturma öbeklerini göstermektedir.

Tablo 8. IBM Security QRadar Sysmon Content Extension 1.1.2içindeki kurallar
Ad Açıklama
İşlem Baselining: Süreç Adı-Hash 'a İşle ProcessNametoHashRefMapOfSetKeys başvuru kümesine veri yerleştirmek için bir kural yanıtı eklenmiştir.
İşlem Baselining: Process Name to Parent Process ProcesstoParentProcessPathRefMapKeys başvuru kümesine veri yerleştirmek için bir kural yanıtı eklenmiştir.
Yeni Görülmeyen HASH Ile Başlatılan Bilinen Bir Işlem Saptandı Bilinen bir sürecin yeni görünmeyen HASH ile ne zaman başladığını saptar.
İşlem için Saptanan Olağandışı Üst Öğe Bir süreç için olağandışı bir üst öğe saptar.
İşlem Baselining: Süreç HASH Süreç HASH ' ları için bir temel çizgisi sağlar.
İşlem Baselining: Süreç Adı Standart Windows günlükleri ya da Sysmin günlükleri ile süreç adları için bir temel çizgisi sağlar.
Bilinmeyen/Görülmeyen Süreç Saptandı (İşlem Hash 'a Göre) Olağan dışı ya da bilinmeyen bir süreç keşfini algılar.
Bilinmeyen/Görülmeyen Süreç Saptandı (Süreç Adına Dayalı) Olağan dışı ya da bilinmeyen süreç adlarını algılar.
Paylaşılan Bir Klasörden Başlatılan İşlem ve Başka Bir Süreçte İş Parçacığı Oluşturulması Kural testlerinden biri güncellendi.

Aşağıdaki çizelge, IBM Security QRadar Sysmoon Content Extension 1.1.2içindeki başvuru verilerini göstermektedir.

Tablo 9. IBM Security QRadar Sysmon Content Extension 1.1.2Içindeki Başvuru Verileri
Tip Ad Açıklama
Referans Kümesi Profillenen Süreç Adları Süreç adlarının temel çizgi listesini depolar.
Referans Kümesi Profillenen Süreç Haplar İşlem çizgilerinin temel çizgi listesini depolar.
Referans Kümesi ProcessNametoHashRefMapOfSetKeys Bir süreç adını karma olarak eşleyen küme eşleminde kullanılan anahtarları depolar.
Referans Kümesi ProcesstoParentProcessPathRefMapTuşları Bir süreç adını üst süreciyle eşleyen küme eşleminde kullanılan anahtarları saklar.
kümelerin başvuru eşlemi ProcessMaptoProcessParentYolu Öğe tipi alfa sayısal yoksayma vakasına çevrilecek.
kümelerin başvuru eşlemi ProcessNametoHash Öğe tipi alfa sayısal yoksayma vakasına çevrilecek.

Aşağıdaki tablo, IBM Security QRadar Sysmin Content Extension 1.1.2içindeki kayıtlı aramaları göstermektedir.

Tablo 10. IBM Security QRadar Sysmon Content Extension 1.1.2Içinde Saklanmış Aramalar
Ad Açıklama
Bilinmeyen Süreç Hash Değeri Başlatıldı Arama ölçütleri güncellendi.
Süreç İçin Olağan Dışı Üst Öğe Arama ölçütleri güncellendi.
Bilinmeyen Süreç Adı Başlatıldı Bu arama, proces adına dayalı olarak bilinmeyen süreçleri gösterir.

(En başa dön)

IBM Security QRadar İçerik Uzantısı 1.1.1

1.1.1içinde, olası performans sorunları nedeniyle iki kural ve iki AQL işlevi kaldırıldı:
  • Kural: Görmeyen HASH ile Başlatılan Bilinen Bir Süreç Saptandı
  • Kural: İşlem için Olağandışı Üst Öğe Saptandı
  • Özel işlev: checkWithMapOfKümeleri
  • Özel işlev: IsItWhiteListedSüreci

(En başa dön)

IBM Security QRadar Sysmin Content Extension 1.1.0

IBM Security QRadar Sysmin Content Extension 1.1.0 , temel çizgi işlemlerini oluşturmak ve aşağıdaki etkinlikleri saptamak için yeni kurallar içerir:
  • Ayrıcalık Yükseltme
  • Dosya belirtilmeyen kullanıcı hesabı denetimi (UAC) atlanır
  • Kimlik bilgileri dökümü
  • Yanal hareket teknikleri
  • Metasploit PSExec somutlaması
  • Kötücül PowerShell kullanımı

Bu sürüm, yeni özel özellikler, saklanmış aramalar ve AQL özel işlevi de içerir. Sysmoon özel işlevleri için bir yetkilendirme belirteci yapılandırmak üzere QRadar yönetim ayarlarına yeni bir simge eklenir.

Aşağıdaki tabloda, IBM Security QRadar Sysmin Content Extension 1.1.0içinde yer alan değişiklikler açıklanmaktadır.

Tip Ad Değişiklik açıklaması
Kural Olağan Dışı Süreç (örn: sözcük, iexplore, AcroRd..) bir Command Shell başlatma MS Word, Internet Explorer, Acrobat Reader gibi olağan dışı bir sürecin komut kabuğunu ya da PowerShell' i başlattıysa algılar.
Kural Birden Çok Anasistemden Uzaktan Yürütülen Bir Süreç Saptandı Bilinen yan hareket teknikleri olarak PowerShell, wmi ya da PSExec kullanan uzaktan çalıştırma işlemlerini algılar.
Kural Birden Çok Anasistemden bir Zamanlanmış Görev Saptandı Birden çok anasistem üzerinde zamanlanmış bir görev saptar.
Kural Metasploit PSExec Birimi Algılandı PSExec aracının Metasploit uygulamasını saptar.
Kural PSExec, Taahhüt Edilen Bir Anasistemden Başlatıldı Tehlikeye açık bir anasistem olarak işaretlenen bir anasistemden PSExec başlatılıp başlatılacağını saptar.
Kural PSExec Algılandı Herhangi bir anasistemin PSExec uygulamasını başlatıp başlatmadığını belirler.
Kural Farklı bir Süreç Adı ile PSExec saptandı PSExec 'in farklı bir adla karşıya yüklenip yüklenmediğini saptar.
Kural Sistem Ayrıcalıklarına Sahip Komut Kabuğu Başlatıldı Bir komut kabuğunun yükseltilmiş ayrıcalıklarla başlatılıp başlatılıp başlatımediğini saptar. Örneğin, olağan bir kullanıcı komut kabuğunu Windows Sistem kullanıcısı olarak başlatıyorsa.
Kural İşlem Baselining: Süreç Sistem Kullanıcı Ayrıcalıkları ile Başlatıldı İşlemlerin genellikle bir sistem ayrıcalığına başlayacağı bir temel çizgisi sağlar. Bu temel çizgisi, sistem ayrıcalığına sahip yeni bir işlemin başlatılıp başlatılıp başlatılmediğini saptamak için başka kurallar tarafından kullanılır. Bu temel çizgisi, bir kullanıcının ayrıcalık yükseltme işlemi yapmaya çalışıp çalışmadığını gösterebilir.
Kural Sistem Kullanıcı Ayrıcalıklarına sahip Yeni Görülmeyen Süreç Başlatıldı Sistem ayrıcalığına sahip yeni ya da olağan dışı bir sürecin başlatılıp başlatıldığını saptar. Varsayılan olarak bu kural devre dışıdır. Bakım yordamınızın bir parçası olarak, bu kuralı etkinleştirmeden önce bir hafta boyunca süreç temel çizgisi kurallarını çalıştırın.
Kural İşlem Baselining: Process Name to Parent Process Her süreç için üst süreçleri tanımlamak için bir temel çizgisi sağlar. Bu temel çizgisi, olağan dışı işlemlerin saptanmasına yardımcı olabilir.
Kural İşlem Baselining: Süreç Adı-Hash 'a İşle Süreç adları ve ilgili paylaşımları için bir temel çizgisi sağlar. Bu temel çizgi, bilinmeyen bir işlemin başlatılıp başlatılmıyorsa ya da bir işlemin yeni bir HASH ile başlıyorsa saptamanıza yardımcı olabilir. Bu bilgiler, Sysmin günlüklerini diğer günlüklerle bütünleştirmek için de kullanılabilir.
Kural Tek Bir Makineden Sistem Araçlarının Aşırı Kullanımından Saptanmış Aşağıdakiler gibi çeşitli sistem araçlarından oluşan tek bir makineden fazla kullanım algılar:
  • lcacl.exe
  • procdump.exe
  • vssadmin.exe
  • accesschk.exe
  • netsh.exe
  • arp.exe
  • systeminfo.exe
  • whoami.exe
Kural PowerShellKullanacak şekilde Yapılandırılan Bir Hizmet Saptandı Herhangi bir hizmetin PowerShell' i kullanacak şekilde yapılandırılıp yapılandırımediğini algılar.
Kural Windows Kayıt Defterinde Uzun Bir Değer Saptandı Bir saldırganın PowerShell kodlamalı komutu gibi uzun bir değeri kullanarak bir kayıt anahtarı eklemeye ya da bir kayıt anahtarı ayarlamaya çalıştıysa saptar.
Kural Paylaşılan Bir Klasörde Bulunan Executable Binary içeren bir Hizmet Belirlendi Herhangi bir hizmetin, paylaşılan bir klasörden yürütülebilir bir ikili başlatılacak şekilde yapılandırılıp yapılandırılıp yapılandırımediğini saptar.
Kural Boru Kullanacak bir Hizmet Saptandı Herhangi bir hizmetin bir veri bağlantısına bağlanmaya yapılandırılıp yapılandırılıp yapılandırımediğini belirler.
Kural Oluşturulan Veri Bağlantısına Bağlanmak için Hizmet İkili Yolu Güncelleyerek İzlenen Bir Veri Bağlantısı Oluşturuldu Ayrıcalık yükseltmesi için bir teknik olan bir veri bağlantısı kimliğine bürünme olduğunu saptar.
Kural Eklenen bir Hizmet İkili Yolu Değiştirildi ve ardından Kullanıcı ya da Grup Eklendi Bir hizmet ikili yolu değiştikten sonra bir kullanıcı ya da grup eklenip eklenmediğini saptar.
Kural Hizmet İkili Yolu, Aynı Süreçten Gelen Bir Ağ Bağlantısı Tarafından Güncelleştirildi Bir işlemin bir hizmeti yapılandırma ya da ekleme girişiminde bulunduğunu ve aynı işlemin giden bir bağlantı yaratıp yaratmadığını algılar.
Kural Saptanan SC Komutu Aşırı Yürütme Hizmet denetleyicisi komutunun aşırı bir şekilde kullanılıp kullanılmadığını saptar.
Kural Boşluklarla Tırnak Içine Alınmamış Hizmet Ikili Yolu Saptandı Alınmamış bir hizmet ikili yolunun boşluk olup olmadığını saptar. Tırnak işareti içine alınmayan ve yoldaki boşluklar içeren bir dosya yolu kullanılabilir. Örneğin, C:\Program Files (x86)\.
Kural Olası UAC Atlama-Zamanlanmış Bir Görev En Yüksek Ayrıcalıklarla Çalışacak şekilde Yapılandırıldı En yüksek ayrıcalıkları kullanarak çalışmak üzere zamanlanmış bir görevin oluşturulup oluşturulabilmediğini belirler.
Kural Service Binary Path Has Been Updated with a CreateRemoteThread Detected from the Same Process Bir işlemin bir hizmeti yapılandırma ya da ekleme girişiminde bulunduğunu algılar ve aynı işlemin diğer süreçlerde bir iş parçacığı oluşturup oluşturmadığını algılar.
Kural Paylaşılan Klasör Tarafından Başlatılan Süreç Herhangi bir işlemin paylaşılan bir klasörden başlatılıp başlatıldığını saptar.
Kural Paylaşılan Bir Klasörden Başlatılan İşlem ve Başka Bir Süreçte İş Parçacığı Oluşturulması Bir sürecin paylaşılan bir klasörden başlayıp başka bir işlemde bir iş parçacığı yarattıysa saptayın.
Kural Uzaktan Kaldırma Hizmeti, PowerShell Komut Dosyası Oluşturuldu Detects if any remoting service, such as wsmprovhost, psexesvc, or wmiprvse, creates a PowerShell script file.
Kural Veri Bağlantısına Bağlı LSASS İşlemi Local Security Authority Subsystem Service (LSASS) sürecinden başlatılan ve kimlik bilgilerini boşaltmaya yol açabilen bir etkinliğe ilişkin herhangi bir veri bağlantısının bağlantı olup olmadığını saptar.
Kural LSASS Boruya Bağlı Bir Uzak Hizmet Saptandı Detects if any remoting service, such as wsmprovhost, psexesvc, or wmiprvse, attempts to connect to a pipe called LSASS.
Kural sdclt kullanan bir Dosyasız UAC Atlama saptandı Detects a user account control (UAC) bypass attempt that uses sdclt.exe, the Windows process that allows users to run backup and restore operations. Varsayılan olarak, sdclt.exe yüksek bir bütünlük düzeyiyle çalışır. İşlem başladıktan sonra, kayıt defterindeki belirli anahtarları arar. Eğer anahtarlar varsa, onları çalıştırıyor.
Kural Fodhelper kullanarak Dosyasız UAC Atlama saptandı Fodhelper işleminin, kayıt defterinde özel bir anahtar gaspederek Windows 10 'da UAC ' yi atlamak için kullanılıp kullanılmadığını saptar.
Kural Windows Olay Görüntüleyicisi 'ni kullanarak Dosyasız UAC Atlama saptandı UAC ' yi atlamak için Windows olay görüntüleyicisinin kullanılıp kullanılmadığını saptar.
Kural İmzasız Sürücü Windows çekirdeğine Yüklendi Windows çekirdeğine imzalanmamış bir sürücü yükleme girişimi saptar.
Kural Vadevad Anasistemine Bir Hizmet Kuruldu Tehlikeye açık anasistem olarak işaretlenen bir anasistemde hizmet kuruluşu saptar.
Kural Birleşik Anasistemde Zamanlanmış Bir Görev Oluşturuldu Tehlikeye açık bir anasistem olarak işaretlenen bir anasistemde zamanlanmış bir görev yaratma girişimi saptar.
Kural Comvadivad Anasisteminden Büyük Ve Küçük Ölçekli KOBİ Trafiği Reddedildi Tehlikeye açık bir anasistemden reddedilen aşırı KOBİ trafiğini algılar.
Kural Tek Bir Kaynaktan Yönetici Paylaşıma Erişmek İçin Aşırı Başarısız Deneme Sayısı Tek bir kaynak anasistemden yönetim paylaşımlarına erişmeye ilişkin aşırı başarısız girişimleri saptar.
Kural Comvadid Anasisteminden Ağ Paylaşılan Kaynağına Erişmek Için Aşırı Başarısız Denemeler Ağ üzerindeki birden çok anasistem üzerinde paylaşılan klasörlere erişim için aşırı başarısız girişimler algılar.
Kural Comvaaded Anasisteminden Bir Ağ Paylaşımından Erişildi Tehlikeye açık bir anasistemin paylaşılan bir klasöre başarıyla erişip erişmediğini saptar.
Kural Comvaded Anasistemine Ağ Paylaşımı Eklenmiştir Tehlikeye açık bir anasistemin paylaşılan bir klasör ya da dosya eklemesi durumunda saptar.
Kural Bir Taahhüt Edilen Anasistemden Diğer Anasistemlere KOBİ Trafiği Saptandı Tehlikeye açık bir anasistemden diğer anasistemlere giden KOBİ trafiğini algılar.
Kural Bir Comvaaded Anasisteminden Başka Anasistemlere Başarıyla Oturum Açma Başarılı Oldu Tehlikeye açık bir anasistemden diğer anasistemlere başarılı olan oturum açma işlemlerini saptar.
Kural Yönetici Paylaşıma Erişildi Bir denetim paylaşıma erişilip erişilmediğini saptar.
Kural Gizli Ağ Paylaşımı Eklendi Gizlenmiş bir paylaşılan dosyanın yaratılmasını saptar.
Kural PowerShell Başlatıldı Bir anasistemin PowerShell' i başlattıysa algılar.
Kural PowerShell , Taahhüt Edilen Bir Anasistemde Başlatılmış Tehlikeye açık bir anasistemin PowerShell' i başlattıysa algılar.
Kural Kötü Amaçlı Bir Hizmet Bir Sisteme Kuruldu Sistemde bilinen bir kötü niyetli hizmetin kurulu olup olmadığını saptar.
Kural Sonsuz Süreç Başlatıldı/İşlem Sildi Çocuksuz olarak amaçlanan bir işlemin alt süreci başlatması durumunda saptar.
Kural Gölge Kopyalarının Silinmesi Saptandı Gölge kopyalarının silinip silinmediğini saptar.
Kural Şüpheli Bir Svchost Süreci Saptandı Kötücül bir svchost işlemi saptar.
Kural IMP Hash üzerine Dayalı Mimikatz Saptandı Mimikatz sonrası kullanım aracını, Invoke Mimikatz PowerShell (IMP) HASH öğesinin kullanılıp kullanılmadığına dayalı olarak algılar.
Kural Uzak Sistem 'den Bir Komut Kabuğu ya da Powershell Başlatıldı Uzak bir sistemde wsmprovhost, psexesvcya da wmiprvsegibi herhangi bir uzaktan kumanda hizmetinin komut kabuğu ya da PowerShell başlatıp başlatmadığını algılar.
Kural whoami /grous Has Yürütüldü Herhangi bir ayrıcalık yükseltme tekniğinden önce whoami ya da group komutunun kullanılıp kullanılmadığını saptar.
Kural SAM Kayıt Defteri anahtarı-Alt anahtarlar (kullanıcılar) sıralı değer listesi SAM kayıt anahtarını numaralandırılmaya çalışılan herhangi bir girişimi saptar.
Kural SAM Ya Da Sistem Anahtarı Için Bir Kayıt Dökümü Saptandı SAM kayıt defterinin dökümünü almak için herhangi bir girişimde bulunmayı belirler.
Kural SAM Kayıt Defteri Anahtarı Erişildi-regedit kullanılarak SAM kayıt dosyası anahtarına erişmek için herhangi bir girişimde bulunmayı saptar
Kural Süreç, LSASS sürecine ilişkin bir iş parçacığı yarattı LSASS işlemine ilişkin bir iş parçacığı yaratma girişimi saptar.
Kural İmzasız Yürütülür Dosya LSASS.exe' ye Yüklür İmzalanmamış bir yürütülür dosyayı LSASS işlemine yüklemeye yönelik herhangi bir girişimde bulunulmasını saptar.
Kural LSASS Sürecine Malicious erişim saptandı LSASS işlemine zararlı erişimleri saptar.
Kural Bilinmeyen Çağrı İzleme İşleminden LSASS Sürecine Malicious erişimi saptandı LSASS işlemine erişmek için herhangi bir dosya bilgisiz girişimde bulunduğunu saptar.
Kural Süreç Olağan Dışı Dizinlerden Başlatıldı (Recycle.bin, ..) Bir işlemin, geri dönüşüm kutusu gibi olağan dışı bir dizinden başlayıp başlamadığını saptar.
Kural Olası Bir Kimlik Bilgileri Eşleme Aracı Saptandı
Aşağıdaki kurallardan herhangi biri eşleşiyorsa, ek bir işaret olarak kullanılır:
  • LSASS Sürecine Malicious erişim saptandı
  • Bilinmeyen Çağrı İzleme İşleminden LSASS Sürecine Malicious erişimi saptandı
  • SAM Ya Da Sistem Anahtarı Için Bir Kayıt Dökümü Saptandı
  • Süreç, LSASS sürecine ilişkin bir iş parçacığı yarattı
  • SAM Kayıt Defteri anahtarı-Alt anahtarlar (kullanıcılar) sıralı değer listesi
  • SAM Kayıt Defteri Anahtarı Erişildi-regedit kullanılarak
  • IMP Hash üzerine Dayalı Mimikatz Saptandı
  • LSASS Boruya Bağlı Bir Uzak Hizmet Saptandı
  • Veri Bağlantısına Bağlı LSASS İşlemi
Kural Olası Bir Keylogger Saptandı Bir makinenin, bir anahtar kaydediciyle enfekte olup olmadığını saptar.
Kural Qwerty bağımsız değişkeniyle rundll32 temel alınarak olası Locky ransomware saptanmıştır Locky ransomware için bilinen bir imzayı tespit et.
Kural PowerShell Kötü Amaçlı Kullanım, Kodlanmış Komut Ile Algıladı PowerShell' in daha kötü amaçlı kullanımları saptanması için güncellenmiştir.
Kural PowerShell Malicious Kullanımı Saptandı PowerShell' in daha kötü amaçlı kullanımları saptanması için güncellenmiştir.
Yapı Taşı BB: PSExec Algılandı PSExec kurallarında kullanılır.
Yapı Taşı BB: Süreç bir Ağ Bağlantısı yarattı Ağ bağlantılarını diğer etkinliklerle ilintilendiren kurallarda kullanılır.
Yapı Taşı BB: Yönetici Paylaşıma Erişildi Paylaşılan klasörlerle kötü amaçlı etkinlikleri algılayan kurallarda kullanılır.
Yapı Taşı BB: CreateRemoteIş Parçacığı Saptandı Uzak iş parçacıklarının yaratılmasını saptayan kurallarda kullanılır.
Yapı Taşı BB: Normal Windows İşlemleri LSASS.exe LSASS sürecini saptayan kurallarda kullanılır.
Yapı Taşı BB: Bir PowerShell işlemi algılandı PowerShell süreçlerini algılayan kurallarda kullanılır.
Yapı Taşı BB: Zamanlanmış Bir Görev Oluşturuldu Zamanlanan görevleri saptayan kurallarda kullanılır.
Yapı Taşı BB: Süreç Yaratma Olayı Bölüm 1 'e dayalı bir Zamanlanmış Görev saptandı Süreç olayı yaratılmasına dayalı olarak zamanlanan görevleri saptayan kurallarda kullanılır.
Yapı Taşı BB: Veri Bağlantısı Oluşturuldu Veri bağlantısı oluşturmayı algılayan kurallarda kullanılır.
Yapı Taşı BB: Süreç Yaratma Olayı Bölüm 2 'e dayalı bir Zamanlanmış Görev saptandı Süreç olayı yaratılmasına dayalı olarak zamanlanan görevleri saptayan kurallarda kullanılır.
Yapı Taşı BB: Hizmet İkili Yolu Ayarlandı ya da Güncellendi Bir hizmet yolu ikili ayarının ayarlandıysa ya da güncellenip güncellenmediğini saptayan kurallarda kullanılır.
Yapı Taşı BB: CreateRemoteİş Parçacığı hariç tutulan durumlar Uzak iş parçacıklarının yaratılmasını saptayan kurallarda kullanılır.
Kayıtlı Arama Süreç İçin Olağan Dışı Üst Öğe Bu arama, temel alınan verilere dayalı olarak, olağan dışı bir üst öğeye ilişkin herhangi bir süreci gösterir.
Kayıtlı Arama Windows Duyarlı Süreçler Tarafından Saptanan Ağ Bağlantısı Bu arama, Windows duyarlı bir süreçten başlatılan bağlantıyı gösterir.
Kayıtlı Arama LSASS ' ye İşlem Erişimi Bu arama, LSASS ' e erişen işlemleri gösterir.
Kayıtlı Arama WMI ya da PowerShellüzerinden Uzaktan Başlatılan Yürütücü çizelgeler Bu arama, uzaktan çalıştırılan işlemleri gösterir.
Kayıtlı Arama Hizmet İkili Yolu Ayarlandı ya da Güncellendi Bu arama, yeni hizmeti gösterir ya da hizmet ikili değişikliklerinin konumu değişir.
Kayıtlı Arama Bilinmeyen Süreç Hash Değeri Başlatıldı Bu arama, görülmeyen süreç paylaşımlarından herhangi birini gösterir.
Kayıtlı Arama İmsiz Yürütülür Dosya Duyarlı Sistem Sürecine Yüklendi Bu arama, imzalanmamış bir yürütülür dosyayı duyarlı sistem işlemlerine yükleme girişiminde bulunmanızı sağlar.
Kayıtlı Arama Çok Uzun Komut Satırı Saptandı Bu arama uzun komut satırı metnini gösterir.
Referans Kümesi Whitelisted Haplar Beyaz çizgilerden oluşan bir HASH listesini içerir.
Referans Kümesi Systools Sistem yöneticileri tarafından kullanılan araçların bir listesini içerir.
Referans Kümesi Sistem Kullanıcısı Olarak Başlatılan Süreçler İşlemleri Sistem düzeyi ayrıcalıklarıyla başlayabilen süreç paylaşımlarından oluşan bir liste içerir.
Referans Kümesi Ihlal Edilen Anasistemler Herhangi bir tehlikeye açık ana makine ile doldurulan bir liste içerir.
Referans Kümesi Hash için Süreç Adı Paylaşımlarıyla eşlenmiş süreç adlarının bir listesini içerir.
Referans Kümesi IOC ' ler-Değerli Hizmet Adları Bilinen kötü amaçlı hizmet adlarının bir listesini içerir.

(En başa dön)

IBM Security QRadar Sysmo Content Extension 1.0.0

Aşağıdaki tabloda, IBM Security QRadar Sysmo Content Extension 1.0.0içinde yer alan değişiklikler açıklanmaktadır.

Tip Ad Değişiklik açıklaması
Kural İmzasız Yürütülür Dosya ya da DLL Temp Dizininden Yüklendi Atanmamış bir yürütülür dosya ya da DLL dosyasının geçici bir dizinden yüklendiğini saptar.
Kural Geçici Dizinden Başlatılan Süreç Geçici bir dizinden bir işlemin ne zaman başlatılacadığını saptar.
Kural İmsiz Yürütülür Dosya ya da DLL Duyarlı Sistem Sürecine Yüklendi Atanmamış bir yürütülür dosyanın ya da DLL ' in başka bir hassas sistem süreçlerine yüklendiğini saptar.
Kural Süreç, Sistem Sürecine ilişkin bir iş parçacığı yarattı Bir işlemin, bir sistem işleminde bir iş parçacığı yarattığında algılar.
Kural Süreç, Bir Geçici Yönetimden Başlatılan Süreçten Bir İş Parçacığı Oluşturdu Bir işlemin geçici bir dizinden başlatılan bir süreçten iş parçacığı yarattığında algılanır.
Kural Süreç Bir Iş Parçacığı Başka Bir Sürece Yarattı Bir işlemin başka bir işlemde bir iş parçacığı yarattığında algılar.
Kural PowerShell Malicious Kullanımı Saptandı Kötücül PowerShell kullanımını algılar.
Kural PowerShell Kötü Amaçlı Kullanım, Kodlanmış Komut Ile Algıladı Kodlanmış bir komutla kötü amaçlı PowerShell kullanımını algılar.
Kural PowerShell komut dosyası karşıdan yüklenmiştir Bir PowerShell komut dosyasının karşıdan yüklendiğini algılar.
Kural Olağan Olmayan Dizinden Sistem Süreci Başlatıldı Bir sistem işleminin olağan dışı bir dizinden ne zaman başlayacağını saptar.
Kural Sistem İşlemi İçin Olağan Dışı Üst Öğe Bir sistem işlemi için olağan dışı bir üst öğe olup olmadığını saptar.
Kural Şüpheli Svchost Süreci Saptandı Şüpheli svchost süreçlerini saptar.
Kural Gölge Kopyalarının Silinmesi Saptandı Bir gölge kopya dosyası silindiğinde saptar.
Yapı Taşı BB: İmzasız Yürütülebilir Dosya ya da DLL Hassas Sistem Süreci Bölüm 1 'e Yüklendi İmzalanmamış Yürütülebilir yürütülür dosya ya da DLL, Duyarlı Sistem İşlem kuralına göre kullanıldı.
Yapı Taşı BB: Aşağı yüklenen bir PowerShell komut dosyası saptandı PowerShell komut dosyası tarafından kullanılan kural karşıdan yüklenmiştir.
Yapı Taşı BB: EncodedCommandile aşağı yüklenen bir PowerShell Komut Dosyası saptandı Used by the PowerShell Malicious Usage Detected with Encoded Command rule.
Özel özellik Resim Image:\s(.*)\sImageLoaded
Özel özellik ImageName Image:\s(?:.*\\)(.*)\sImageLoaded
Özel özellik İmzalanmış Signed:\s(true|false)
Özel özellik İmza Signature:\s(.*)\sSignatureStatus
Özel özellik SignatureStatus SignatureStatus:\s(Valid)
Özel özellik LoadedImage ImageLoaded:\s(.*)\sHashes
Özel özellik Resim Image:\s(.*)\sCommandLine
Özel özellik ImageName Image:\s(?:.*\\)(.*)\sCommandLine
Özel özellik ParentImage ParentImage:\s(.*)\sParentCommandLine
Özel özellik ParentImageAdı ParentImage:\s(?:.*\\)(.*)\sParentCommandLine
Özel özellik Hedef Görüntü Adı TargetImage:\s(?:.*\\)(.*)\sNewThreadId
Özel özellik SourceImage SourceImage:\s(.*)\sTargetProcessGuid
Özel özellik TargetImage TargetImage:\s(.*)\sNewThreadId
Özel özellik PS Kodlanmış Komut [\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)
Özel özellik Süreç CommandLine CommandLine:\s(.*)\sCurrentDirectory
Özel özellik SourceImageTempPath SourceImage:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
Özel özellik ImageTempYolu Image:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
Özel özellik ImageLoadedTempPath ImageLoaded:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
Özel özellik Süreç CommandLine Process Command Line:\s*(.*)\s*Token Elevation Type
Özel özellik PS Kodlanmış Komut Process Command Line:\s*powershell.*[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)\s*Token Elevation Type
Özel özellik ImageName New Process Name:\s*(?:.*\\)(\S*)\s*Token\sElevation\sType\:
Özel özellik SHA1 HASH SHA1=(\w+)
Özel özellik MD5 HASH MD5=(\w*)
Özel özellik SHA256 HASH SHA256=(\w*)
Özel özellik IMP HASH IMPHASH=(\w*)
Özel özellik Resim New Process Name:\s*(\S*)\s*Token\sElevation\sType\:
Özel İşlev base64Decode PowerShell kodlamalı komutundan base64 metninin kodu, okunabilir bir dizgiye doğru çözülür.
Özel İşlev PScmdFilter Sysdon olaylarından süreç komut satırına süzgeç uygular.
Kayıtlı Arama Çok Uzun Komut Satırı Saptandı Bu, Syslon olaylarındaki uzun süreç komut satırlarında eşleştirmek için kullanılan bir olay arasıdır.
Referans Kümesi TempFileYolu Geçici dizine ilişkin dosya yollarının bir listesini içerir.
Referans Kümesi Windows Duyarlı Süreçler Tüm Windows duyarlı süreçlerin bir listesini içerir.
Referans Kümesi ProcessMaptoProcessPath Süreç adlarının ve bu süreçlerin yollarının bir listesini içerir.
Referans Kümesi ProcessMaptoProcessParentYolu Süreç adlarının ve üst süreçlerin yollarının bir listesini içerir.

(En başa dön)