端點

使用 IBM® QRadar ® Endpoint Content Extension 來密切監視部署中的 Linux® 和 Windows™ 端點。

重要事項: 若要避免此內容延伸中的內容錯誤，請保持最新的相關聯 DSM。在自動更新的過程中，會更新 DSM。如果未啟用自動更新項目，請從 IBM Fix Central (https://www.ibm.com/support/fixcentral) 下載相關聯 DSM 的最新版本。

此內容延伸包括一個以上 Pulse 儀表板。如需 Pulse 儀表板的相關資訊，請參閱 QRadar Pulse 應用程式。

您必須配置要監視以與此內容延伸搭配使用的 Linux 及 Windows 端點。

IBM Security QRadar 端點 2.8.1

下表顯示 IBM Security QRadar Endpoint Content Extension 2.8.1中的新規則。

表 1. IBM Security QRadar 端點內容延伸 2.8.1 中的新規則
類型	名稱	說明
規則	MOVEit 傳輸漏洞惡意探索指令	透過受損的指令行指示器偵測 MOVEit 傳送漏洞利用。
規則	MOVEit 傳輸漏洞惡意探索檔名	透過受損的檔名指示器偵測 MOVEit 傳送漏洞惡意探索。
規則	MOVEit 傳輸漏洞雜湊	透過危害的雜湊指示器偵測 MOVEit 傳送漏洞惡意探索。

_{(回到頂端)}

IBM Security QRadar 端點 2.8.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.8.0中的新規則和建置區塊。

表 2. IBM Security QRadar 端點內容延伸 2.8.0 中的新規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 帳戶竄改-可疑的失敗登入原因	偵測登入失敗時的不常見錯誤碼，以判定已停用或以某種方式限制的可疑活動及竄改帳戶。
建置區塊	BB:BehaviorDefinition: 雲端帳戶探索	偵測雲端帳戶探索指令。
建置區塊	BB:BehaviorDefinition: Cloud Firewall 已修改或已停止	偵測雲端防火牆，已修改或已停止。
建置區塊	BB:BehaviorDefinition: 建立含記號的處理程序	偵測從 Powershell 建立記號。
建置區塊	BB:BehaviorDefinition: 來自 Powershell 的電子郵件帳戶探索	偵測來自 Powershell 的電子郵件帳戶探索。
建置區塊	BB:BehaviorDefinition: 登入時密碼無效	在登入時偵測無效密碼。
建置區塊	BB:BehaviorDefinition: Kerberos Pre-Authentication 期間密碼無效	在 Kerberos 預先鑑別期間偵測無效的密碼登入。
建置區塊	BB:BehaviorDefinition: 已新增信箱許可權	偵測已新增的信箱許可權
建置區塊	BB:BehaviorDefinition: 潛在起始存取作業	定義可能的起始存取作業。這包括下列活動: 帳戶探索、停止防火牆或變更許可權。
建置區塊	BB:BehaviorDefinition: 流氓具名管道模擬	偵測透過惡意具名管道模擬的專用權提升嘗試。
建置區塊	BB:BehaviorDefinition: 使用者代理程式的可疑變更	偵測使用者代理程式的可疑變更。敵人可以使用與 Web 資料流量相關聯的應用程式層通訊協定來進行通訊，以避免偵測或透過與現有資料流量混合進行網路過濾。
建置區塊	BB:BehaviorDefinition: 可疑出埠 SMTP 連線	偵測透過 SMTP 通訊協定的潛在滲漏。
建置區塊	BB:BehaviorDefinition: 具有明確認證的可疑遠端登入	偵測使用明確認證登入的可疑處理程序。
建置區塊	BB:BehaviorDefinition: 新增至本端管理者的使用者	偵測新增至本端 Administrators 群組的使用者帳戶，可能是合法活動或專用權提升活動的跡象。
建置區塊	BB:BehaviorDefinition: 使用者代理程式已透過 Curl 進行變更	偵測透過 curl 變更的使用者代理程式。
建置區塊	BB:BehaviorDefinition: 使用者代理程式已透過 Powershell 變更	偵測透過 Powershell 變更的使用者代理程式。
建置區塊	BB:BehaviorDefinition: Windows 防火牆已停止	偵測 Windows 防火牆已停止。
規則	存取記號濫用	偵測記號模擬及竊取。 (範例: DuplicateToken(例如) 和 ImpersonateLoggedOnUser ，含 LOGON23_LOGON_NEW_CREDENTIALS 旗標。)
規則	Dllhost 出埠網路連線	偵測 dllhost.exe所起始的出埠連線。
規則	使用 PowerShell	偵測敵人搜尋一般密碼儲存位置以取得使用者認證。
規則	使用 PowerShell	偵測敵人搜尋一般密碼儲存位置以取得使用者認證。
規則	偵測到損害指令歷程記載活動	偵測損害指令歷程記載活動。
規則	由於密碼錯誤而多次登入失敗	偵測到敵人正在執行密碼噴灑。
規則	來自預設帳戶的多個登入失敗	偵測來自預設帳戶的多個登入失敗。
規則	可能的強制入侵嘗試	偵測敵人執行強制入侵。
規則	瀏覽器所儲存認證的潛在滲漏	偵測儲存在瀏覽器中的認證是否可能滲漏。
規則	偵測到 PID Sppofing	偵測系統上的 PPID 盜用。
規則	Regsvr32 出埠網路連線	偵測 regsvr32.exe所起始的出埠連線。
規則	RunDLL32 出埠網路連線	偵測 rundll32.exe所起始的出埠連線。
規則	可疑活動後接潛在起始存取作業	執行潛在起始存取作業時觸發，後面接著可疑活動。起始存取作業包括: 帳戶探索、關閉防火牆等。
規則	來自 Windows 的儲存認證	偵測來自 Windows 的儲存認證。
規則	SID 歷程注入	偵測 SID (安全 ID) 歷程注入活動。
規則	可疑有效帳戶登入	偵測到來自有效帳戶的可疑登入時觸發。
規則	記號模擬 (透過 PowerShell )	利用與記號假冒或竊取相關的 Windows API 功能來偵測敵人。

以下是 IBM Security QRadar Endpoint 2.8.0 內容延伸中的新自訂內容清單。

名稱	說明	已最佳化
鑑別套件	來自 DSM 有效負載的預設自訂「鑑別套件」擷取。	True
屬性新值	來自 DSM 有效負載的預設自訂「屬性新值」擷取。	否
說明	來自 DSM 有效負載的預設自訂「說明」擷取。	否
已起始	來自 DSM 有效負載的預設自訂「已起始」擷取。	True
模擬層次	來自 DSM 有效負載的預設自訂「模擬層次」擷取。	True
登入程序	來自 DSM 有效負載的預設自訂「登入程序」擷取。	True
目標伺服器名稱	來自 DSM 有效負載的預設自訂「目標伺服器名稱」擷取。	否

_{(回到頂端)}

IBM Security QRadar 端點 2.7.2

下表顯示 IBM Security QRadar Endpoint Content Extension 2.7.2中的新規則。

表 3. IBM Security QRadar 端點內容延伸 2.7.2 中的新規則
類型	名稱	說明
規則	偵測事件中的 Turla 目錄及檔名 IOC	當 IOC 被辨識為 Turla 目錄及檔名組合時觸發。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。
規則	在事件中偵測 Turla 檔名 IOC	當 IOC 辨識為 Turla 相關檔名時觸發。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。
規則	偵測事件中的 Turla 雜湊 IOC	當 IOC 被辨識為 Turla 雜湊時觸發。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。
規則	偵測事件中的 Turla IP IOC	當 IOC 辨識為已知 Turla IP 時觸發。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。
規則	在事件中偵測 Turla 登錄 IOC	當 IOC 辨識為 Turla 登錄值時觸發程式。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。
規則	在事件中偵測 Turla URL 主機 IOC	當 IOC 被辨識為已知 Turla URL 主機時觸發。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。
規則	在事件中偵測 Turla URL IOC	當 IOC 辨識為已知 Turla URL 時觸發。附註: 規則 Malware as a Service Hash IOC in Events: Ransomware: Ryuk IOC in Events 已從此規則中排除，以避免重複，其目的是要有專用的規則回應。

下列是 IBM Security QRadar Endpoint 2.7.2 內容延伸中的新參照集清單。

Turla SHA Hashes
Turla MD5 雜湊
已知 Turla Filenames
已知 Turla URL
已知 Turla IP
已知 Turla 主機名稱

_{(回到頂端)}

IBM Security QRadar 端點 2.7.1

下列建置區塊清單已收到 AQL 規則過濾器中具有括弧之問題的修正程式。

BB:BehaviorDefinition: 已建立重要處理程序
BB:BehaviorDefinition: 由捷徑 (lnk) 檔案建立的重要處理程序
BB:BehaviorDefinition: 在暫存目錄中建立的新檔案
BB:BehaviorDefinition: 新增登錄至 HKLM/HKCU (Windows)

已移除惡意軟體清除失敗已儲存的搜尋。

已修正不正確的參照集鏈結 ID。

_{(回到頂端)}

IBM Security QRadar 端點 2.7.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.7.0中的新規則。

表 4. IBM Security QRadar 端點內容延伸 2.7.0 中的新規則
類型	名稱	說明
規則	Microsoft Windows RCE 漏洞-檔案修改	偵測 Microsoft Exchange 中的遠端程式碼執行漏洞。 Microsoft 已發出 "CVE-2022-41040" 及 "CVE-2022-41082" Exchange Server。
規則	Microsoft Windows RCE 漏洞-使用 Certutil 可疑下載	偵測 Microsoft Exchange 中的遠端程式碼執行漏洞。 Microsoft 已發出 "CVE-2022-41040" 及 "CVE-2022-41082" Exchange Server。
規則	Microsoft Windows RCE 漏洞-可疑檔案	偵測 Microsoft Exchange 中的遠端程式碼執行漏洞。 Microsoft 已發出 "CVE-2022-41040" 及 "CVE-2022-41082" Exchange Server。
規則	Microsoft Windows RCE 漏洞-可疑雜湊	偵測已知 Windows RCE SHA256 雜湊。
規則	Microsoft Windows RCE 漏洞-可疑的 IP	此規則會偵測已知 Windows RCE IP。附註: 根據日誌來源進行調整，以減少符合此規則的事件數。

_{(回到頂端)}

IBM Security QRadar 端點 2.6.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.6.0中的新建置區塊和規則。

表 5. IBM Security QRadar 端點內容延伸 2.6.0 中的新建置區塊及規則
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 已建立重要處理程序	偵測已建立的新重要處理程序。重要程序是指可能被敵人濫用來執行惡意活動的程序。一般處理程序包括 :powershell、cmd、mshta。附註: 可以透過處理程序 CommandLine 欄位來調整規則。出現在惡意軟體中的部分一般處理程序 CommandLine 關鍵字為: findstr、 tmp、 temp、 vbs、 regsvr32、指令、 outfile、 dll及 http。
建置區塊	BB:BehaviorDefinition: 由捷徑 (lnk) 檔案建立的重要處理程序	偵測從捷徑 (lnk) 檔案建立的新處理程序。應該監視一般由對手使用的處理程序，例如 powershell、cmd、mshta。
建置區塊	BB:BehaviorDefinition: 檔案修改過多	偵測在短時間內是否有過多的檔案修改。
建置區塊	BB:BehaviorDefinition: 在暫存目錄中建立的新檔案	偵測在暫存目錄下建立的新檔案。敵人可能會使用某些暫存目錄來捨棄惡意檔案。附註: 受監視的目錄是。 -- Windows -- AppData\Local\Temp AppData\Roaming\
建置區塊	BB:BehaviorDefinition: 新增登錄至 HKLM/HKCU (Windows)	偵測 HKLM 或 HKCU 目錄下的新登錄機碼集。雖然此活動僅合法，但如果偵測到潛在的勒索軟體行為，則這可能是持續性方法。
建置區塊	BB:BehaviorDefinition: 執行重要處理程序的捷徑 (lnk) 檔案 (1)	依 QRadar 規則，偵測從捷徑 (lnk) 檔案建立的重要處理程序。附註: 可能以錯誤順序接收事件，請參閱 BB:BehaviorDefinition: 執行重要處理程序的捷徑 (lnk) 檔案 (2) ，以取得反向順序。
建置區塊	BB:BehaviorDefinition: 執行重要處理程序的捷徑 (lnk) 檔案 (2)	依 QRadar 規則，偵測從捷徑 (lnk) 檔案建立的重要處理程序。附註: 事件可能以錯誤順序接收，請參閱 BB:BehaviorDefinition: 執行重要處理程序的捷徑 (lnk) 檔案 (1) ，以取得反向順序。
規則	潛在 Mailto 勒索軟體行為 (Windows)	偵測到潛在的 mailto 勒索軟體行為時觸發。 mailto 勒索軟體通常會執行下列步驟 (可能根據變式略有變更): 登錄變更以建立機碼 (用於持續性)。捨棄執行檔 ion 暫存目錄。刪除備份副本。加密 (檔案修改)。
規則	透過 MSDT 潛在的 Windows 惡意探索	偵測到潛在的 Microsoft™ Support Diagnostic Tool (MSDT) 漏洞利用時觸發。 Microsoft 針對 MSDT 上的漏洞發出 "CVE-2022-30190"。敵人可以使用 MSDT 來執行遠端程式碼執行，以執行任意程式碼。
規則	捷徑 (lnk) 檔案執行指令 (Windows)	當捷徑 (lnk) 檔案已建立可執行指令的處理程序時觸發。數個惡意軟體 (例如 Emotet) 使用開啟時執行惡意指令的捷徑檔案。

在 BB:BehaviorDefinition: 可疑端點活動建置區塊的規則過濾器中新增了其他規則。

即會更新勒索軟體加密副檔名規則的規則過濾器。

_{(回到頂端)}

IBM Security QRadar 端點 2.5.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.5.0中的新建置區塊及規則。

表 6. IBM Security QRadar 端點內容延伸 2.5.0 中的新建置區塊及規則
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 與潛在惡意主機 (參照集) 通訊	定義與潛在惡意主機的通訊，依參照集分類。以 "XFE ATPF" 字首開頭的參照集由 Threat Intelligence 應用程式自動管理，並且需要付費訂閱。其他參照集由 Threat Intelligence 應用程式提供，可用來包括協力廠商 Threat Intelligence 資訊來源。
建置區塊	BB:BehaviorDefinition: 與潛在惡意主機通訊 (X-force 分類)	偵測到與潛在惡意主機的通訊時觸發。依 X-force 分類。
建置區塊	BB:BehaviorDefinition: 與潛在惡意 IP 位址 (參照集) 通訊	定義與潛在惡意 IP 的通訊，依參照集分類。以 "XFE ATPF" 字首開頭的參照集由 Threat Intelligence 應用程式自動管理，並且需要付費訂閱。其他參照集由 Threat Intelligence 應用程式提供，可用來包括協力廠商 Threat Intelligence 資訊來源。
建置區塊	BB:BehaviorDefinition: 與潛在惡意 IP 位址通訊 (X-force 分類)	偵測到具有潛在惡意 IP 位址的通訊時觸發。依 X-force 分類。
規則	BB:BehaviorDefinition: 重要檔案修改	偵測重要檔案或目錄的任何修改，包括建立或刪除。
規則	已修改重要檔案，後面接著可疑活動	修改重要檔案或目錄時觸發，後面接著可疑活動。這可能表示攻擊者正在修改檔案並捨棄執行檔，以取得主機的存取權。
規則	透過 RDP 連線的過多登入失敗數	在 RDP 中同一部機器上偵測到來自單一來源 IP 位址的多個失敗鑑別事件時觸發。

建置區塊 BB:CategoryDefinition: 具有機密許可權的檔案已重新命名為 BB:CategoryDefinition: 端點的重要檔案及目錄。因此，兩個規則收到其說明的更新，以反映重新命名的建置區塊。

已刪除重要檔案
已變更重要檔案許可權

以下是已在 IBM Security QRadarEndpoint Content Extension 2.5.0中收到其規則附註更新的建置區塊及規則清單。

與潛在惡意主機通訊
與潛在惡意 IP 位址通訊
透過網路連線的過多登入失敗

已更新與潛在惡意主機通訊及與潛在惡意 IP 位址通訊建置區塊的規則過濾器。

下列是 IBM Security QRadarEndpoint Content Extension 2.5.0中的新參照集清單。

XFE ATPF-anonsvcs_ipv4
XFE ATPF-anonsvcs_ipv6
XFE ATPF-anonsvcs_url
XFE ATPF-bots_ipv4
XFE ATPF-bots_ipv6
XFE ATPF-c2server_ipv4
XFE ATPF-c2server_ipv6
XFE ATPF-c2server_url
XFE ATPF-cryptomining_ipv4
XFE ATPF-cryptomining_ipv6
XFE ATPF-cryptomining_url
XFE ATPF-ew_url
XFE ATPF-mw_ipv4
XFE ATPF-mw_ipv6
XFE ATPF-mw_url
XFE ATPF-phishing_url
XFE ATPF-scanning_ipv4
XFE ATPF-scanning_ipv6

以下是 IBM Security QRadarEndpoint Content Extension 2.5.0中元素類型更新為「英數不區分大小寫」的參照集清單。

Petya_File_Hash
Petya_File_Name
Sims Allowlist
WCry_FileHash
WCry_FileName
WCry_HostName

_{(回到頂端)}

IBM Security QRadar 端點 2.4.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.4.0中的自訂內容。

表 7. IBM Security QRadar 端點內容延伸 2.4.0 中的自訂內容
名稱	已最佳化	在中找到
完整性層次	True	Microsoft Windows
ParentCommand行	True	Microsoft Windows
程序 ID	True	Microsoft Windows
登錄值名稱	True	Microsoft Windows
已簽署	True	Microsoft Windows

表示式 ID 在已編碼的引數、 StartAddress及已終止處理程序名稱自訂內容中是固定的。

下表顯示 IBM Security QRadar Endpoint 2.4.0中的規則及建置區塊。

表 8. IBM Security QRadar 端點 2.4.0 中的規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 從模擬系統目錄載入的影像	從假冒系統目錄的目錄載入執行檔或 DLL 時觸發。
建置區塊	BB:BehaviorDefinition: 可疑端點活動	已將潛在 UAC 略過新增至可疑活動清單
建置區塊	BB:BehaviorDefinition:UAC 略過-DLL 強制存取 (非系統目錄)	將特定檔案捨棄至特定位置時觸發程式，在此位置可以使用真正的 Windows 執行檔在沒有 UAC 的情況下載入及執行這些檔案。
建置區塊	BB:BehaviorDefinition:UAC 略過-DLL 強制存取 (系統目錄)	當特許處理程序從系統目錄載入未簽署的 DLL 時觸發。
建置區塊	BB:BehaviorDefinition:UAC 略過-提升 COM 物件	當可以略過 UAC 的 COM 介面由 dllhost.exe 管理並大量產生特許處理程序時觸發。
建置區塊	BB:BehaviorDefinition:UAC Bypass-IE Add-On Installer	從 COM 介面啟動 Internet Explorer 附加程式安裝程式時大量產生特許處理程序時觸發。
建置區塊	BB:BehaviorDefinition:UAC 略過-模擬系統目錄 (影像)	當特許處理程序從假冒系統目錄的目錄載入執行檔或 DLL 時觸發。
建置區塊	BB:BehaviorDefinition:UAC 略過-模擬系統目錄 (程序)	當特許處理程序從假冒系統目錄的目錄啟動時觸發。
建置區塊	BB:BehaviorDefinition: 從系統目錄載入未簽署的 DLL	從系統目錄載入未簽署的 DLL 時觸發。
建置區塊	BB:CategoryDefinition: 提升處理程序 (Windows)	識別提升的處理程序。
建置區塊	BB:CategoryDefinition: UAC 略過登錄機碼	識別已知有助於 UAC 略過的登錄機碼。
規則	潛在 UAC 略過	偵測到與略過 Windows 使用者帳戶控制相關聯的行為時觸發。

_{(回到頂端)}

IBM Security QRadar 端點 2.3.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.3.0中的自訂內容。

表 9. IBM Security QRadar 端點內容延伸 2.3.0 中的自訂內容
名稱	已最佳化	在中找到
已編碼的引數	True	Microsoft Windows

下表顯示 IBM Security QRadar Endpoint 2.3.0中的規則及建置區塊。

表 10. IBM Security QRadar 端點 2.3.0 中的規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 從遠端主機進行遠端桌面存取	識別從遠端主機存取遠端桌面應用程式的流程
建置區塊	BB:BehaviorDefinition: 已存取管理共用	存取管理共用時觸發。
建置區塊	BB:BehaviorDefinition: 鈷罷工入埠資料流量	識別顯示主機將郵件傳送至遠端主機的流程。
建置區塊	BB:BehaviorDefinition: 鈷罷工入埠資料流量	當偵測到已知來自 Cobalt Strike 伺服器的通訊的 TLS 指紋時觸發。
建置區塊	BB:BehaviorDefinition: 鈷打擊出埠資料流量	偵測到已知來自 Cobalt Strike 用戶端的通訊的 TLS 指紋時觸發。
建置區塊	BB:BehaviorDefinition: 潛在鈷撞擊資料流量	觀察到已知與 Cobalt Strike 相關的 TLS 指紋時觸發。 Cobalt Strike 是紅隊常用的滲透測試工具。不過，惡意動作者通常會使用此應用程式的非法取得版本，以在自己的攻擊中使用。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
建置區塊	BB:BehaviorDefinition: 使用特許帳戶啟動的程式設計環境	使用特許帳戶啟動程式設計環境時觸發。
建置區塊	BB:BehaviorDefinition: 一般端點管理	定義一般管理活動，例如使用者管理、指令行中的下載檔案，或以提升的專用權執行。
建置區塊	BB:BehaviorDefinition: 可疑端點活動	定義可疑端點活動。
建置區塊	BB:BehaviorDefinition: 來自遠端主機的 VNC 活動	識別從遠端主機存取 VNC 服務的流程。
規則	偵測到鈷罷工行為	偵測到可能屬於 Cobalt Strike 的行為時觸發。 Cobalt Strike 是紅隊常用的滲透測試工具。不過，惡意動作者通常會使用此應用程式的非法取得版本，以在自己的攻擊中使用。
規則	與潛在惡意主機通訊	偵測到與潛在惡意主機 (由 X-force 分類或在參照集集合中分類) 進行通訊時觸發。
規則	程式設計環境中的編碼指令惡意用法	在程式設計環境類型 cmd 或 Powershell 中使用編碼指令時觸發。
規則	惡意軟體: 潛在 Dridex 資料流量	觀察到已知與 Dridex 特洛伊木馬相關的 TLS 指紋時觸發。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	惡意軟體: 潛在 Emotet 資料流量	當觀察到已知與 Emotet 特洛伊木馬相關的 JA3 指紋時觸發。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	惡意軟體: 潛在帝國資料流量	在觀察到與帝國下載器相關的 TLS 指紋時觸發。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	惡意軟體: 潛在的 Tickbot 資料流量	觀察到已知與 Trickbot 特洛伊木馬相關的 TLS 指紋時觸發。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	潛在 Metasploit 資料流量	當觀察到已知與 Metasploit 相關的 TLS 指紋時觸發。 Metasploit 是紅隊常用的滲透測試工具。不過，惡意動作者通常會在自己的攻擊中使用它。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	潛在的工具資料流量	觀察到已知與 Tor 專案相關的 TLS 指紋時觸發。 Tor 是一種非惡意匿名化服務，可用來略過原則並進行惡意活動。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	勒索軟體 :Ryuk Potential Traffic	當觀察到已知與 Ryuk 勒索軟體相關的 TLS 指紋時觸發。規則正在尋找同時符合用戶端和伺服器指紋，以減少誤判的風險。
規則	遠端: 從網際網路存取遠端桌面	當偵測到從網際網路到本端主機的「Microsoft 遠端桌面通訊協定」時觸發。大多數公司都將此視為違反公司原則。如果這是網路上的正常活動，您應該停用此規則。
規則	遠端 :VNC 從網際網路存取	當偵測到從網際網路到本端主機的 VNC (遠端桌面存取應用程式) 時觸發。許多公司將此視為應解決的原則問題。如果這是網路上的正常活動，請停用此規則。
規則	配置為使用 Powershell 的服務	當服務配置為使用 Powershell 時觸發。
規則	程序的可疑母項	當服務配置為使用 Powershell 時觸發。
規則	偵測到可疑的 PSExec 模組使用情形	偵測到使用 PSExec 模組時觸發。

下表顯示 IBM Security QRadar Endpoint 2.3.0 中更新的參照集

表 11. 已更新 IBM Security QRadar 端點 2.3.0 中的參照集
名稱	說明
預設程序名稱及程序目錄	列出機密處理程序及其目錄。

已在端點概觀 Pulse 儀表板中修正同步化錯誤。

_{(回到頂端)}

IBM Security QRadar 端點 2.2.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.2.0中的自訂內容。

表 12. IBM Security QRadar 端點內容延伸 2.2.0 中的自訂內容
名稱	已最佳化	在中找到
ServiceFile名稱	True	Microsoft Windows

下表顯示 IBM Security QRadar Endpoint 2.2.0中的規則及建置區塊。

表 13. IBM Security QRadar 端點 2.2.0 中的規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 惡意軟體即服務路徑 IOC	觀察到與「惡意軟體即服務 (MaaS)」相關的檔案路徑指標 (IoC) (例如 Emotet 木馬程式和 Trickbot 木馬程式) 時觸發。 IOC 將遵循下列自訂目錄中的型樣: %APPDATA%\roaming\winapp\client_id %APPDATA%\roaming\winapp\group_tag %APPDATA%\system32\Tasks\services update %APPDATA%\system32\Tasks\MsSysToken HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE C:\WINDOWS\SYSWOW64\RandomNumber.EXE C:\WINDOWS\SYSWOW64\RandomNumber.EXE C:\WINDOWS\TEMP\RandomNumber.TMP 已預先移入惡意軟體作為 Service_Path 參照集。請使用相關 IOC 調整此參照集。
規則	潛在記憶體程式碼注入	當 Cobalt 刪除引標大量產生 Windows 處理程序時觸發。 Cobalt strike 引標會大量產生原生 Windows 二進位檔，並操作其記憶體空間，導致大量產生的處理程序沒有指令行引數。指定。
規則	配置為使用管道的服務	當服務配置為使用管道時觸發。這可能表示攻擊者利用 getsystem 透過專用權提升來取得使用者系統的存取權。

_{(回到頂端)}

IBM Security QRadar 端點 2.1.1

已修正端點概觀及勒索軟體 Pulse 儀表板中的同步化錯誤。

_{(回到頂端)}

IBM Security QRadar 端點 2.1.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.1.0中的自訂內容。

表 14. IBM Security QRadar 端點內容延伸 2.1.0 中的自訂內容
名稱	已最佳化	在中找到
程序名稱	True	Carbon Black 回應端點 FireEye MPS Linux Microsoft Windows ObserveIT osquery
終止處理程序	True	Microsoft Windows

下表顯示 IBM Security QRadar Endpoint 2.1.0中的規則和建置區塊。

表 15. IBM Security QRadar 端點 2.1.0 中的規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 惡意軟體即服務路徑 IOC	觀察到與「惡意軟體即服務 (MaaS)」相關的檔案路徑指標 (IoC) (例如 Emotet 木馬程式和 Trickbot 木馬程式) 時觸發。 IOC 將遵循下列自訂目錄中的型樣: %APPDATA%\roaming\winapp\client_id %APPDATA%\roaming\winapp\group_tag %APPDATA%\system32\Tasks\services update %APPDATA%\system32\Tasks\MsSysToken HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE C:\WINDOWS\SYSWOW64\RandomNumber.EXE C:\WINDOWS\SYSWOW64\RandomNumber.EXE C:\WINDOWS\TEMP\RandomNumber.TMP 已預先移入惡意軟體作為 Service_Path 參照集。請使用相關 IOC 調整此參照集。
建置區塊	BB:DeviceDefinition: 作業系統	定義系統上的所有作業系統。
規則	偵測事件中的惡意 IOC	當 IoC 在參照集集合中分類為惡意時觸發。事件中的惡意軟體即服務雜湊 IOC及 Ransomware: Ryuk IOC in Events 規則會從此規則中排除，以避免重複。其目的是要有專用的規則回應。
規則	在流程中偵測惡意 IOC	當 IoC 在參照集集合中分類為惡意時觸發。此規則會排除惡意軟體作為流程中的服務雜湊 IOC及勒索軟體: 流程中的 Ryuk IOC ，以避免重複。其目的是要有專用的規則回應。
規則	來自相同主機的過多管理共用存取失敗	從相同主機看到存取管理共用重複失敗時的觸發程式。此規則已從從相同來源對管理共用的過多失敗存取權重新命名
規則	透過網路連線的過多登入失敗	在同一部機器上偵測到來自單一來源 IP 位址的多個失敗鑑別事件時觸發。此行為指出可能嘗試強制入侵存取機器。此規則已從透過 RDP 的過多登入失敗重新命名。
規則	透過網路連線到多部機器的過多登入失敗	在來自單一來源 IP 位址的不同機器上偵測到多個失敗鑑別事件時觸發。此行為指出可能嘗試強制入侵存取機器。此規則已從透過網路連線到多部機器的過多登入失敗重新命名。
規則	spoolsv 建立的惡意 DLL	spoolsv.exe已建立可疑檔案時觸發。
規則	惡意軟體即服務行為	在觀察到「惡意軟體即服務」行為時觸發。這些行為包括在端點上使用下載公用程式，以及顯示妥協指示的檔案路徑。
規則	事件中的惡意軟體即服務雜湊 IOC	觀察到與 MaaS相關的檔案雜湊 IoC 時觸發，例如 Emotet 木馬程式和 Trickbot 木馬程式。系統會預先移入惡意軟體作為 Service_SHA1、惡意軟體作為 Service_SHA256及惡意軟體作為 Service_MD5 參照集。使用相關 IoC來調整這些參照集。
規則	流程中的惡意軟體即服務雜湊 IOC	觀察到與 MaaS相關的檔案雜湊 IoC 時觸發，例如 Emotet 木馬程式和 Trickbot 木馬程式。會預先移入惡意軟體作為 Service_SHA1、惡意軟體作為 Service_SHA256及惡意軟體作為 Service_MD5 。使用相關 IoC來調整這些參照集。
規則	由可疑程序大量產生的程式設計環境	當可疑處理程序大量產生程式設計環境時觸發。這可能表示攻擊者嘗試執行惡意 Script。已針對 Windows 漏洞更新此規則。
規則	已建立勒索軟體解密指示	在機器上找到解密指令檔名時觸發。通常勒索軟體會建立解密指令檔，以提供使用者如何支付贖金以回復其檔案的指示。此特定檔案通常使用一般術語來命名，例如: decrypt、 recover、 instructions或 how to。已針對 Ryuk 勒索軟體更新此規則。
規則	勒索軟體加密副檔名	偵測到已知勒索軟體副檔名時觸發。勒索軟體通常會加密檔案，並在其處理程序中附加特定的副檔名。已針對 Ryuk 勒索軟體更新此規則。
規則	在多部機器上偵測到勒索軟體 IOC	在五部以上不同的機器上偵測到勒索軟體 IoC 時觸發。這可能表示勒索軟體已順利在網路中展開。已針對此版本中新增的所有新偵測規則更新此規則。
規則	勒索軟體 :Ryuk IOC in Events	觀察到與 Ryuk 勒索軟體相關的檔案雜湊 IoC 時觸發。會預先移入 Ryuk_SHA256、 Ryuk_SHA1及 Ryuk_MD5 。使用相關 IoC來調整這些參照集。
規則	勒索軟體 :Ryuk IOC in Flows	觀察到與 Ryuk 勒索軟體相關的檔案雜湊 IoC 時觸發。會預先移入 Ryuk_SHA256、 Ryuk_SHA1及 Ryuk_MD5 。使用相關 IoC來調整這些參照集。
規則	勒索軟體 :Ryuk 服務或處理程序終止	在建立 Ryuk 勒索軟體本身的副本之後，終止執行中程序時觸發。已預先移入留克服務及處理程序終止清單參照集。使用相關服務及處理程序調整此參照集。

下表顯示 IBM Security QRadar Endpoint 2.1.0中的參照集。

表 16. IBM Security QRadar 端點 2.1.0 中的參照集
名稱	說明
惡意軟體作為 Service_MD5	列出作為惡意軟體即服務的指示器的 MD5 檔案雜湊。
惡意軟體即服務路徑	列出作為惡意軟體即服務的指示器的檔案路徑。
惡意軟體作為 Service_SHA1	列出作為惡意軟體即服務的指示器的 SHA1 檔案雜湊。
惡意軟體作為 Service_SHA256	列出 SHA256 檔案雜湊，這些雜湊是惡意軟體即服務的指示器。
Pulse_imports	Pulse 儀表板。
柳克服務和程序終止清單	列出由 Ryuk 勒索軟體終止的可能處理程序或服務。
Ryuk_MD5	列出作為柳克勒索軟體指示器的 MD5 檔案雜湊。
Ryuk_SHA1	列出作為 Ryuk 勒索軟體指示器的 SHA1 檔案雜湊。
Ryuk_SHA256	列出作為 Ryuk 勒索軟體指示器的 SHA256 檔案雜湊。

IBM Security QRadar Endpoint Content Extension 2.1.0 中新增的 Pulse 儀表板包含八個與勒索軟體相關的小組件:

其中一個含有每個規則受影響機器數目的統計資料。
一個具有每部機器的警示數目相關統計資料。
六個表格，代表攻擊的六個階段。

前兩個小組件包括每一個階段中的所有規則:

WHERE (RULENAME(creEventList) IN ('Attempt to Delete Shadow Copies', 'Critical File Deleted (Unix)', 'RDP Hijacking Tool Detected', 'Recovery Disabled in Boot Configuration Data', 'Detection of Malicious File or Process', 'Detection of Malicious IOC', 'File Decode or Download followed by Suspicious Activity', 'Cobalt Strike Behaviour Detected', 'Excessive Failed Access to an Administrative Share from the Same Source', 'Excessive Nslookup Usage', 'Reconnaissance Tool Detected', 'Excessive File Deletion and Creation', 'Suspicious Amount of Files Renamed on the Same Machine (Windows)', 'Suspicious Amount of Files Renamed/Moved on the Same Machine (Unix)', 'Suspicious Amount of Files Deleted on the Same Machine') 
OR RULENAME(creEventList) MATCHES '.*(Ransomware|Maze|Bad Rabbit|Petya|REvil|Ryuk|WCry|Malware as a Service Hash IOC).*?')

下表列出每一個階段所包含的規則。

表 17. 針對每一個攻擊階段包含的規則
階段	規則
分佈	事件中的惡意軟體即服務雜湊 IOC 流程中的惡意軟體即服務雜湊 IOC
暫置	嘗試刪除備份副本已刪除重要檔案 (Unix) 偵測到 RDP 強制存取工具在開機配置資料中已停用回復勒索軟體 :Ryuk 服務或處理程序終止
感染	偵測惡意檔案或程序惡意 IOC 的偵測檔案解碼或下載，後面接著可疑活動勒索軟體: BadRabbit 事件中的 IOC 勒索軟體: 流程中的 BadRabbit IOC 勒索軟體: 事件中的 Maze IOC 勒索軟體: 事件中的 Petya/ NotPetya IOC 勒索軟體: 流程中的 Petya/ NotPetya IOC 勒索軟體 :REvil IOC in Events 勒索軟體: 事件中的 WCry IOC 勒索軟體: 流程中的 WCry IOC 勒索軟體: 流程中的 WCry 有效負載在多部機器上偵測到勒索軟體 IOCs 勒索軟體 :Ryuk IOC in Events 勒索軟體 :Ryuk IOC in Flows 勒索軟體加密副檔名
偵察	偵測到鈷罷工行為從相同來源對管理共用的過多失敗存取權 nslookup 用量過多偵測到偵察工具
加密	過多的檔案刪除及建立勒索軟體加密副檔名勒索軟體: 迷宮可疑檔案傳送同一機器上刪除的可疑檔案數量同一機器上重新命名的可疑檔案數量 (Windows) 在相同機器上重新命名/移動的可疑檔案數量 (Unix)
贖金通知	已建立勒索軟體解密指示

_{(回到頂端)}

IBM Security QRadar 端點 2.0.0

下表顯示 IBM Security QRadar Endpoint Content Extension 2.0.0中的自訂內容。

表 18. IBM Security QRadar 端點內容延伸 2.0.0 中的自訂內容
名稱	已最佳化	在中找到
登入類型	True	Microsoft Windows
共用名稱	True	Microsoft Windows
StartAddress	True	Microsoft Windows

下表顯示 IBM Security QRadar Endpoint 2.0.0中的規則及建置區塊。

表 19. IBM Security QRadar 端點 2.0.0 中的規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 鈷罷工入埠資料流量	當偵測到已知來自 Cobalt Strike 伺服器的通訊的 TLS 指紋時觸發。
建置區塊	BB:BehaviorDefinition: 鈷打擊出埠資料流量	偵測到已知來自 Cobalt Strike 用戶端的通訊的 TLS 指紋時觸發。
建置區塊	BB:BehaviorDefinition: 鈷罷工埠使用情形	當偵測到透過埠 50050 的出埠 TCP 資料流量時觸發。這是與 Cobalt Strike Server 通訊的預設埠。
建置區塊	BB:BehaviorDefinition: 鈷罷工處理程序位址	在以 "0B80" 結尾的起始位址建立遠端執行緒時觸發。此行為指出 Cobalt Strike 正在建立執行緒。
建置區塊	BB:BehaviorDefinition: 目錄探索 (Unix)	定義何時執行 Unix 指令，以探索大量目錄。此規則偵測到的指令如下: ls -d find -type d ls -r
建置區塊	BB:BehaviorDefinition: 目錄探索 (Windows)	定義何時執行 PowerShell ，以遞迴方式探索目錄。當 Get-ChildItem 函數搭配 -recurse 引數執行，或在 ForEach 迴圈內使用時，就會發生這種情況。
建置區塊	BB:BehaviorDefinition: 檔案建立和刪除	偵測 Windows 電腦上相同目錄中的檔案建立及檔案刪除事件，並可在規則中用來偵測多個目錄之間的多個檔案修改。
建置區塊	BB:BehaviorDefinition: PowerShell 檔案上傳活動	使用 PowerShell 上傳檔案時觸發。
建置區塊	BB:BehaviorDefinition: 重複的 nslookup 用法	反覆使用 nslookup 時觸發。臨界值仍可視為正常管理行為，且需要與其他事件產生關聯才能視為異常。
建置區塊	BB:CategoryDefinition: 端點系統上的多個檔案刪除	在端點系統上刪除多個非暫存檔時觸發。
建置區塊	BB:BehaviorDefinition: 主機名稱或網路探索	執行主機名稱或網路探索動作時相符。
建置區塊	BB:BehaviorDefinition: 一般端點管理	定義一般管理活動，例如使用者管理、在指令行中下載檔案、以提升的專用權執行。
建置區塊	BB:BehaviorDefinition: 可疑端點活動	定義可疑端點活動。
規則	嘗試刪除陰影副本	執行刪除 Shadowcopies 的指令時觸發。惡意程式可以嘗試使用 Windows Management Instrumentation 或 Vssadmin 來移除 Windows 所建立檔案的 Snapshot。
規則	偵測到鈷罷工行為	偵測到可能屬於 Cobalt Strike 的行為時觸發。 Cobalt Strike 是紅色團隊常用的滲透測試工具。不過，惡意動作者通常會使用此應用程式的非法取得版本，以在自己的攻擊中使用。
規則	已刪除重要檔案 (Unix)	偵測何時刪除重要目錄中的重要檔案。依預設會排除交換檔，也可以排除您不想監視的任何其他副檔名。編輯 BB:CategoryDefinition: 具有機密許可權的檔案建置區塊，其中包含要監視的檔案或目錄。這些位置應該與開機、備份、記載或認證相關，這些位置在不當運用時具有較高的嚴重性。
規則	偵測惡意檔案或程序	偵測何時觀察到檔名或程序名稱被視為「惡意軟體」執行的一部分。此規則正在監視下列檔案或處理程序名稱: 礦門內什塔斯雷特-利徹 NLBrute (NL) EternalBlue MimiKatz / MimiPenguin
規則	從相同來源對管理共用的過多失敗存取權	在連續嘗試存取管理共用失敗之後，會觀察到觸發程式。
規則	過多檔案刪除及建立	在多個目錄中建立及刪除大量檔案時觸發。這可能表示存在 WCry 或 Samsam 之類的勒索軟體，它會在刪除原始檔案之前建立檔案的加密副本。
規則	透過 RDP 的過多登入失敗數	在 RDP 中同一部機器上偵測到來自單一來源 IP 位址的多個失敗鑑別事件時觸發。此行為指出存取機器的可能強制入侵。
規則	透過 RDP 到多部機器的過多登入失敗	從單一來源 IP 位址偵測到 RDP 中不同機器上的多個失敗鑑別事件時觸發。此行為指出可能強制入侵嘗試存取多部機器。
規則	過多 nslookup 用量	從相同機器執行 nslookup 指令的次數過多時觸發。此行為可能指出惡意動作者嘗試收集網路的相關資訊，以進行滲出。
規則	已建立勒索軟體解密指示	在機器上找到解密指令檔名稱時觸發。勒索軟體一般會建立解密指令檔，以提供使用者如何支付贖金以回復其檔案的指示。這個特定檔案通常會以一般術語來命名，例如: 解密、回復、指示、如何執行等等。
規則	勒索軟體加密副檔名	偵測到已知勒索軟體副檔名時觸發。勒索軟體通常會加密檔案，並在其處理程序中附加特定的副檔名。完整延伸清單為 :aes_ni ， 1999 ， _23-06-2016-20-27-23_$f_tactics@aol.com$.legion， _crypt ， $centurion_legion@aol.com$.cbf ， 0x0， 34xxx， 3angle@india.com， 73i87a， 8lock8， aaa ， abc ， acypt ， aes_ni_0day， aes256， alcatraz ， arzamass7@163.com， bart.zip， better_call_sblez ， block ， block blocato、btc、btc-help-you、btcbtcbtc、btcware、bugsecccc、cazzo、ccc、cerber、chifrator@qq_com、clf、code、coverton、crab、crinf、crjoker、哭、 cryp1、crypt、crypted、cryptendblackdc、crypto、cryptobyte、cryptoshield、 cryptotorlocker2015! cryptowall, cryptowin, crysis, ctb2, ctbl, czvxce, darkness, dharma, dll555, don0t0uch7h!$cryptedfile, doomed, duhust, dyatel@qq_com_ryp, ecc, ecovector2@aol.com, ecrypt, enc, encedrsa, enciphered, encrypt, encrypted, encryptedaes, encryptedfile, encryptedrsa, encryptile, enigma, epic, exploit, exx, ezz, flyper, foobar.docx.onyon, frozen, fucked, fun, gdcb, gefickt, globe, good, greg_blood@india.com, gruzin@qq_com, gsupport, gws, ha3, hb15, helpdecrypt@ukr, hnyear, hollycrypt, html, hush, infected, j, johnycryptor@hackermail.com, justbtcwillhelpyou, keybtc@inbox_com, keyh0les, keyz, kimcilware, kimcilware.lechiffre, kkk, korrektor, krab, kraken, kratos, krypted, kyra, lechiffre, lesli, lock, locked, locky, lok, lol!, magic、mecpt、micro、 milarepa.lotos@aol.com、mol、monstro、 mychemicalromance4ever、nalog@qq_com、 no.btc@protonmail.ch、 no.btcw@protonmail.ch、 no.xop@protonmail.ch、無機會、模糊化、omg! 、 only-we_can-help_you ， oor ， oplata@qq_com ， obit ， p5tkjw， payb ， paybtcs ， paymds ， paymrts ， payms ， paymst ， paymst ， paymst ， payranas ， pays ， pizda@qq_com ， poar2w， porno ， pornoransom ， pelted ， pzdc ， r16m01d05， r4a， r5a， rddkqq5a ， raqqq5a siri-down@india.com、sport、 sql772@aol.com、supercrypt、驚喜、 systemdown@india.com、szf、theva、 tombit@india.com、toxcrypt、troyancoder@qq_com、trun、ttt 、 uk-dealer@sigaint.org、unlockit、vault、 vegclass@aol.com、versiegelt、vscrypt、vvvvv、wallet、xdata、xort、xrnt、xrtn、xtbl、xxx、xyz、zendr、zzendrz、zentz、zzz、zz、zzzz、wosphores
規則	在多部機器上偵測到勒索軟體 IOC	在五部以上不同的機器上偵測到勒索軟體 IOC 時觸發。這可能表示勒索軟體已順利在網路中展開。
規則	勒索軟體: BadRabbit 事件中的 IOC	觀察到與 BadRabbit 勒索軟體相關的 IOC (檔名、檔案雜湊、主機名稱、IP 位址) 時觸發。
規則	勒索軟體: BadRabbit IOC in Flows	觀察到與 BadRabbit 勒索軟體相關的 IOC (檔名、檔案雜湊、主機名稱、IP 位址) 時觸發。
規則	勒索軟體: 事件中的 Maze IOC	觀察到與 Maze 勒索軟體相關的 IOC (檔名) 時觸發。
規則	勒索軟體: 迷宮可疑檔案傳送	偵測到與 Maze 勒索軟體資料滲漏相關聯的檔案傳送時觸發。
規則	勒索軟體 :Petya/ NotPetya 事件中的 IOC	觀察到與 Petya 勒索軟體相關的 IOC (檔名、檔案雜湊、主機名稱、IP 位址) 時觸發。
規則	勒索軟體 :Petya/ NotPetya 流程中的 IOC	觀察到與 Petya 勒索軟體相關的 IOC (檔名、檔案雜湊、主機名稱、IP 位址) 時觸發。
規則	勒索軟體 :Petya/ NotPetya 流程中的有效負載	在流程中觀察到 Petya 有效負載時觸發。
規則	勒索軟體 :REvil IOC in Events	觀察到與 REvil Ransomware (也稱為 Sodinokibi 和 Sodin) 相關的 IOC (檔名) 時觸發。
規則	勒索軟體: 事件中的 WCry IOC	當觀察到與 WCry 勒索軟體相關的 IOC (檔名、檔案雜湊、主機名稱、IP 位址) 時觸發。
規則	勒索軟體: 流程中的 WCry IOC	當觀察到與 WCry 勒索軟體相關的 IOC (檔名、檔案雜湊、主機名稱、IP 位址) 時觸發。
規則	勒索軟體: 流程中的 WCry 有效負載	在流程中觀察到 WCry 有效負載時觸發。
規則	偵測到 RDP 強制存取工具	建立可略過 RDP 安全的處理程序時觸發。受監視的工具如下: ngrok ，可用來開啟略過防火牆的連線 tscon 是原生 Windows 工具，可用來強制存取另一個作用中 RDP 階段作業
規則	偵測到偵察工具處理程序	偵測到部署勒索軟體之前常用的探索工具時觸發。這些工具也可以由紅色團隊使用，而且本質上並不危險，不過惡意動作者可以在攻擊環境之前使用它們來進行調查。規則已預先移入下列工具: BloodHound及其資料汲取工具 SharpHound是一個應用程式，用來對映 Active Directory 環境內隱藏及非預期的關係。攻擊者可以使用這些工具來輕鬆識別攻擊路徑。 PingCastle 是企業常用的工具，用來評量其 Active Directory的安全。惡意動作者可以使用此工具來偵測環境內的漏洞。「進階 IP 掃描器」是一種網路掃描器，可用來遠端控制環境中的裝置。此工具可以在勒索軟體攻擊期間使用，以啟用橫向移動。 AdFind 是指令行 Active Directory 查詢工具。它可以用來快速識別 Active Directory 配置內的弱點。所有項目 (或 ES) 都是搜尋公用程式，可讓您更快找到檔案和資料夾。此功能可讓勒索軟體收集所有檔案及資料夾的相關資訊，以供稍後加密。 Masscan 是一個埠掃描工具。攻擊者經常使用它來列出有潛在漏洞的埠。這些工具也可以由紅色團隊使用，而且本質上並不危險，不過惡意動作者可以在攻擊環境之前使用它們來進行調查。
規則	在開機配置資料中停用回復	在開機配置資料中停用回復選項時觸發。這可能表示惡意動作者試圖停用從勒索軟體攻擊回復檔案的能力。
規則	使用 findstr 搜尋密碼檔 (Windows)	使用 findstr 指令對字串 password 進行搜尋時觸發。此行為可能指出惡意動作者正在搜尋包含密碼的檔案。
規則	使用 grep 或 find 搜尋密碼檔 (Unix)	使用 grep 或 find 指令搜尋字串 password 時觸發。此行為可能表示惡意動作者在 Unix 系統上搜尋包含密碼的檔案。
規則	使用 Select-String 搜尋密碼檔 (Windows)	使用 Select-String PowerShell 指令對字串 password 進行搜尋時觸發。此行為可能指出惡意動作者正在搜尋包含密碼的檔案。
規則	SharpHound PowerShell 偵測到	執行 SharpHound PowerShell Script 時觸發。 Script 中使用的主要函數命名為 invoke-BloodHound。
規則	相同機器上刪除的可疑檔案數量	從大量不同的資料夾中刪除可疑數目的檔案時觸發。這可能表示嘗試中斷服務或隱藏追蹤攻擊。
規則	相同機器上重新命名的可疑檔案數量 (Windows)	從 Powershell 重新命名可疑數目的檔案時觸發程式。這可能表示存在勒索軟體，通常會在其處理程序中加密及重新命名檔案。
規則	相同機器上重新命名/移動的可疑檔案數量 (Unix)	使用 mv 指令重新命名可疑數目的檔案時觸發程式。這可能表示存在勒索軟體，通常會在其處理程序中加密及重新命名檔案。

下表顯示 IBM Security QRadar 端點中的參照資料

表 20. IBM Security QRadar 端點中的參照資料
類型	名稱	說明
參照集	BadRabbit_FileHash	列出與 BadRabbit 勒索軟體相關聯的檔案雜湊。
參照集	BadRabbit_FileName	列出與 BadRabbit 勒索軟體相關聯的檔名。
參照集	BadRabbit_Hostname	列出與 BadRabbit 勒索軟體相關聯的主機名稱。
參照集	BadRabbit_IP	列出與 BadRabbit 勒索軟體相關聯的 IP 位址。
參照集	Petya_File_Name	列出與 Petya/NotPetya 勒索軟體相關聯的檔名。
參照集	Petya_FileHash	列出與 Petya/NotPetya 勒索軟體相關聯的檔案雜湊。
參照集	Petya_HostName	列出與 Petya/NotPetya 勒索軟體相關聯的主機名稱。
參照集	Petya_IP	列出與 Petya/NotPetya 勒索軟體相關聯的 IP 位址。
參照集	WCry_FileHash	列出與 WannaCry 勒索軟體相關聯的檔案雜湊。
參照集	WCry_FileName	列出與 WannaCry 勒索軟體相關聯的檔名。
參照集	WCry_HostName	列出與 WannaCry 勒索軟體相關聯的主機名稱。
參照集	WCry_IP	列出與 WannaCry 勒索軟體相關聯的 IP 位址。

下表顯示 IBM Security QRadar Endpoint 中已儲存的搜尋

表 21. IBM Security QRadar 端點中已儲存的搜尋
名稱	說明
BadRabbit 事件 "DestinationIP" 過去 24 小時	顯示具有已知 BadRabbit 目的地 IP 位址的事件。
BadRabbit 事件 "FileHash" 過去 24 小時	顯示具有已知 BadRabbit 檔案雜湊的事件。
BadRabbit 事件「主機名稱」過去 24 小時	顯示具有已知 BadRabbit 主機名稱的事件。
BadRabbit 事件 "SourceIP" 過去 24 小時	顯示具有已知 BadRabbit 來源 IP 位址的事件。
BadRabbit Flows "DestinationIP" 前 24 小時	顯示具有已知 BadRabbit 目的地 IP 位址的流程。
BadRabbit Flows "SourceIP" 過去 24 小時	顯示具有已知 BadRabbit 來源 IP 位址的流程。
出埠 UDP 資料流量	顯示使用 UDP 的出埠流程。
Petya/NotPetya 事件 "DestinationIP" 過去 24 小時	顯示具有已知 Petya/NotPetya 目的地 IP 位址的事件。
Petya/NotPetya 事件「檔案雜湊」過去 24 小時	顯示具有已知 Petya/NotPetya 檔案雜湊的事件。
Petya/NotPetya 事件 "SourceIP" 過去 24 小時	顯示具有已知 Petya/NotPetya 來源 IP 位址的事件。
過去 24 小時的 Petya/NotPetya Flows "DestinationIP"	顯示具有已知 Petya/NotPetya 目的地 IP 位址的流程。
過去 24 小時的 Petya/NotPetya Flows "SourceIP"	顯示具有已知 Petya/NotPetya 來源 IP 位址的流程。
過去 24 小時的 Petya/NotPetya 流程數	顯示與 Petya/NotPetya相關聯的流程。
潛在勒索軟體 (可疑活動、可能的 Petya、 NotPetya)	顯示具有與勒索軟體相關聯之可疑有效負載的流程。
過去 24 小時 WannaCry 事件「目的地主機名稱」	顯示具有已知 WannaCry 目的地主機名稱的事件。
WannaCry 事件 "DestinationIP" 過去 24 小時	顯示具有已知 WannaCry 目的地 IP 位址的事件。
WannaCry 事件「檔案雜湊」過去 24 小時	顯示具有已知 WannaCry 檔案雜湊的事件。
WannaCry 過去 24 小時的事件「主機名稱」	顯示具有已知 WannaCry 主機名稱的事件
過去 24 小時 WannaCry 事件「來源主機名稱」	顯示具有已知 WannaCry 來源主機名稱的事件。
WannaCry 事件 "SourceIP" 過去 24 小時	顯示具有已知 WannaCry 來源 IP 位址的事件。
WannaCry 過去 24 小時的事件 "URL"	顯示具有已知 WannaCry URL 的事件。
WannaCry 流程數	顯示與 WannaCry相關聯的流程。

_{(回到頂端)}

IBM Security QRadar 端點 1.0.0

下表顯示 IBM Security QRadar Endpoint Content Extension 1.0.0中的自訂內容。

表 22. IBM Security QRadar 端點內容延伸 1.0.0 中的自訂內容
名稱	已最佳化	在中找到
應用程式	True	Linux
架構	True	Linux
審核 ID	True	Linux
呼叫類型	True	Linux
指令引數	True	Linux
編碼檔案目錄	True	Linux
編碼檔名	True	Linux
檔案目錄	True	Cisco AMP Cisco Firepower Linux Microsoft Office 365 Microsoft Windows osquery Microsoft 365 防禦程式
副檔名	True	Amazon AWS 藍色外套 Cisco AMP Cisco IronPort McAfee EPO Microsoft Office 365 Microsoft Windows osquery 字尾 Squid Microsoft 365 防禦程式
檔案許可權	True	Linux osquery
檔名	True	Amazon AWS Azure Bit9 安全平台藍色外套碳黑色保護 Cisco AMP Cisco Firepower Cisco IronPort 端點 FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA 系列字尾 Squid Sysmon VMware Microsoft 365 防禦程式
群組名稱	True	Linux Microsoft Windows
機器 ID	True	Linux Microsoft Windows
MD5 雜湊	否	Cisco AMP Microsoft 365 防禦程式 Microsoft Windows
母程序名稱	True	osquery Microsoft Windows
程序指令行	True	Carbon Black 回應 Kubernetes Microsoft Windows osquery Sysmon
程序名稱	True	Carbon Black 回應端點 FireEye MPS Linux Microsoft Windows ObserveIT osquery
程序路徑	True	Carbon Black 回應 Microsoft Windows
記錄編號	否	Linux
登錄機碼	True	Microsoft Windows
登錄值資料	True	Microsoft Windows
規則名稱	True	Microsoft Windows
SHA256 雜湊	True	Cisco AMP Microsoft 365 防禦程式 osquery Sysmon
目標使用者名稱	True	Amazon AWS Azure Kubernetes Microsoft Office 365 Microsoft Windows osquery VMware
記號提升類型	True	Microsoft Windows
UrlHost	True	藍色外套 Cisco IronPort IBM Cloud Discovery App for QRadar McAfee EPO Squid Microsoft 365 防禦程式
使用者 ID	True	Azure Linux osquery

下表顯示 IBM Security QRadar Endpoint 1.0.0中的規則及建置區塊。

表 23. IBM Security QRadar 端點 1.0.0 中的規則和建置區塊
類型	名稱	說明
建置區塊	BB:BehaviorDefinition: 已新增管理專用權 (Unix)	偵測新增至標準使用者的管理專用權。敵人可能會提升其專用權以進行進一步攻擊。
建置區塊	BB:BehaviorDefinition: 已新增管理專用權 (Windows)	偵測新增至標準使用者的管理專用權。敵人可能會提升其專用權以進行進一步攻擊。
建置區塊	BB:BehaviorDefinition: 已移除管理專用權 (Windows)	偵測從超級使用者群組移除的許可權。敵人可能會除去高專用權，以防止管理者採取緩和動作。
建置區塊	BB:BehaviorDefinition: 元件物件模型強制存取	偵測元件物件模型 (COM) 強制存取活動。監視可變更以載入不同處理程序的登錄詳細資料。例如，「命令提示字元」已修改為改為執行惡意 .exe 檔案，接著建立程序。
建置區塊	BB:BehaviorDefinition: 元件物件模型強制存取規則	偵測「元件物件模型 (COM)」強制存取活動，方法是監視 Windows Tooltip 處理程式上的登錄修改、包含用來建立「動態資料交換 (DDE)」交談之應用程式的索引鍵，以及包含「動態鏈結程式庫 (DLL)」路徑的索引鍵。
建置區塊	BB:BehaviorDefinition: 重要安全工具處理程序資訊	偵測審核訊息何時記錄「重要安全工具」的相關資訊，以作為另一個信號將其 PID 設為目標的回應。
建置區塊	BB:BehaviorDefinition: 下載事件中的公用程式	偵測何時在端點上使用下載公用程式，例如 ftp、sftp、curl、cuteftp、wget、certutil、bits 或 nc。
建置區塊	BB:BehaviorDefinition: 群組或帳戶探索	執行群組或帳戶探索動作時相符。
建置區塊	BB:BehaviorDefinition: 已建立隱藏檔案或資料夾	建立隱藏式檔案或資料夾時觸發。隱藏式檔案或資料夾有三種格式: 以點開頭以點開頭並包含空格許可權型 (例如 -rwx ------)
建置區塊	BB:BehaviorDefinition: 密碼原則探索 (Unix)	偵測何時執行密碼原則探索動作。依預設，此建置區塊會監看下列檔案: /etc/login.defs /etc/pam.d/common-password /etc/pam.d/system-auth /etc/security/pwquality.conf
建置區塊	BB:BehaviorDefinition: 密碼原則探索 (Windows)	偵測何時執行密碼原則探索動作。
建置區塊	BB:BehaviorDefinition: PowerShell 檔案下載活動	偵測何時使用 powershell 來下載檔案。
建置區塊	BB:BehaviorDefinition: 處理程序已刪除	使用 kill 系統呼叫結束 Linux 處理程序時觸發。
建置區塊	BB:BehaviorDefinition: 一般端點管理	定義一般管理活動，例如使用者管理、在指令行中下載檔案、以提升的專用權執行。
建置區塊	BB:BehaviorDefinition: 以超級使用者或另一個使用者身分執行 (Unix)	偵測以 root 或其他使用者身分執行的程式。
建置區塊	BB:BehaviorDefinition: 以超級使用者或另一個使用者身分執行 (Windows)	偵測以管理者身分或由其他使用者執行的程式。
建置區塊	BB:BehaviorDefinition: 可疑端點活動	定義可疑端點活動。
建置區塊	BB:BehaviorDefinition: 已新增使用者帳戶 (Unix)	偵測何時建立使用者帳戶。
建置區塊	BB:BehaviorDefinition: 已新增使用者帳戶 (Windows)	偵測何時建立使用者或群組帳戶。
建置區塊	BB:BehaviorDefinition: 已刪除使用者帳戶 (Unix)	偵測何時刪除使用者帳戶。
建置區塊	BB:BehaviorDefinition: 已刪除使用者帳戶 (Windows)	偵測何時刪除使用者或群組帳戶。
建置區塊	BB:CategoryDefinition: 依公用程式的檔案解碼	偵測何時使用公用程式來解碼檔案。
建置區塊	BB:CategoryDefinition: 檔案許可權已變更	偵測何時執行指令來變更指派給檔案的許可權。
建置區塊	BB:CategoryDefinition: 具有機密許可權的檔案	定義不應變更其許可權的檔案。這可能會顯示攻擊者試圖阻止正常運作的行為。依預設，此建置區塊會監看下列檔案: /boot/ /etc/pam.d/ /etc/shadow /etc/passwd /etc/rsyslog/ /etc/openldap/ /etc/sysconfig/syslog /etc/syslog.conf /etc/sysconfig/network-scripts/ /etc/default/ufw /etc/sudoers
建置區塊	BB:DeviceDefinition: 作業系統	定義系統上的所有作業系統。
規則	與潛在惡意主機通訊	偵測與潛在惡意主機的通訊，由 X-force 或在參照集集合中分類。
規則	與潛在惡意 IP 位址通訊	偵測與潛在惡意 IP 位址的通訊，由 X-force 或參照集集合中分類。
規則	探索到認證傾出活動	在 Windows 登錄中偵測到認證傾出活動時觸發。敵人可能會查詢登錄，尋找已儲存以供其他程式或服務使用的認證和密碼，並利用這些認證。認證傾出活動包括但不限於: 登錄掃描可由系統或其他程式使用的密碼使用 Security Accounts Manager (SAM) 進行雜湊傾出修改 WDigest 登錄以容許以純文字儲存密碼。下面的 AQL 過濾器條件指出在此規則中實作了三個認證傾出方法。每一個方法都可以使用這些 AQL 過濾器來個別實作，以進行調整。敵人可以透過掃描密碼值來搜尋登錄 hives: 當事件符合 LOWER ("Process CommandLine") 時符合 'reg\s + query. * password. ' AQL 過濾器查詢。敵人可以基於惡意目的而傾出及滲出登錄 Hives。這是透過「安全帳戶管理程式 (SAM)」進行認證傾出的指示: 當事件符合 LOWER ("Process CommandLine") 時符合 'reg. save.* (sam\|system\|security)' AQL 過濾器查詢。此登錄機碼修改會強制 wdigest 在下次有人登入此系統時以純文字儲存認證: 當事件符合 LOWER (" Process CommandLine) MATCHES 'reg\s + (add\|query). * uselogoncredential.' 事件符合 LOWER (「登錄機碼」) 時的 AQL 過濾器查詢符合 '\\system \\ (controlset001\|controlset002\|currentcontrolset). wdigest' AQL 過濾器查詢。
規則	已變更重要檔案許可權 (Unix)	修改重要檔案或目錄的許可權時觸發。攻擊者可以修改機密檔案的許可權，成為唯一能夠存取它並繼續破壞、資料毀損或停用安全工具的使用者。附註: 編輯 BB:CategoryDefinition: 具有機密許可權的檔案建置區塊包含要監視的檔案或目錄。這些位置應該與開機、備份、記載或認證相關，這些位置在不當運用時具有較高的嚴重性。
規則	已結束重要安全工具 (Unix)	偵測是否已結束重要安全處理程序。敵人可能會停用安全工具以避免偵測。附註: 此規則中包含的建置區塊使用重要安全工具處理程序參照集。重要安全工具處理程序參照集已預先移入一般安全工具處理程序名稱。使用組織使用的任何工具來調整參照集。
規則	重要安全工具已停止	修改重要檔案或目錄的許可權時觸發。攻擊者可以修改機密檔案的許可權，成為唯一能夠存取它並繼續破壞、資料毀損或停用安全工具的使用者。附註: 重要安全工具處理程序參照集已預先移入一般安全工具處理程序名稱。使用組織使用的任何工具來調整參照集。
規則	偵測惡意 IOC	偵測 IOC 在參照集集合中是否分類為惡意。
規則	以由右至左置換所建立的檔案	在所建立檔案的名稱中找到由右至左置換字元 (U+202E) 時觸發。在部分作業系統中，圖形介面將處理此字元-反轉檔名部分的顯示順序。
規則	檔名之後以空格建立的檔案	當檔名的最後一個字元是空格時觸發。這將強制作業系統判定檔案的類型並相應地執行，即使似乎有有效的副檔名也一樣。例如，名為 info.txt 的 Shell Script 會開啟為文字檔，而 info.txt (請注意名稱後面的空格) 則會開啟預設程式處理 Shell Script。
規則	檔案解碼或下載後接可疑活動	當使用 certutil 之類的公用程式來解碼檔案時觸發。這可能表示惡意使用者下載已編碼的檔案並解碼檔案以規避安全。
規則	潛在元件物件模型 (COM) 強制存取	偵測潛在元件物件模型 (COM) 強制存取活動。攻擊者可以強制存取合法 COM 參照來執行惡意程式碼。
規則	潛在 DLL 強制存取	建立或下載動態鏈結程式庫 (DLL) 檔案並由應用程式載入時觸發。這可能表示 DLL 搜尋順序強制存取。附註: 排除要監視以減少誤判的處理程序。
規則	潛在惡意應用程式勻場	透過監視登錄修改來偵測應用程式勻場活動。攻擊者可以使用追溯相容性功能來執行專用權提升、安裝後門等。可在下列位置找到「自訂資料庫」: %WINDIR%\AppPatch\Custom %WINDIR%\AppPatch\CustomSDB %WINDIR%\AppPatch\AppPatch64\Custom 附註: Shims Allowlist 參照集會移入預設 Windows 安裝程式所安裝的預設 Shims。使用任何自訂 SHM 來調整此參照集。
規則	處理程序假冒 (Unix)	從不應該執行處理程序的目錄執行處理程序時觸發。攻擊者可以假冒合法程序來避免偵測，從而從非合法程序執行惡意指令。附註: 調整此規則以併入或排除任何目錄。
規則	處理程序假冒 (Windows)	從非合法目錄執行機密處理程序時觸發。攻擊者可以假冒合法程序來避免偵測，從而從非合法程序執行惡意指令。附註: 機密處理程序名稱參照集會移入已知機密處理程序。使用要監看的處理程序來調整此參照集。預設程序名稱及程序目錄參照對映集已預先移入機密程序名稱及目錄。使用機密處理程序的預設位置來調整此參照資料。
規則	由可疑程序大量產生的程式設計環境	當可疑處理程序大量產生程式設計環境時觸發。這可能表示攻擊者嘗試執行惡意 Script。
規則	建議已封鎖的處理程序正在執行中	偵測系統中執行的建議區塊處理程序。 Microsoft Windows 列出建議的封鎖規則，以停用攻擊者可能不當運用的應用程式，同時略過「Windows Defender 應用程式控制」。附註: 建議的已封鎖處理程序參照集會預先移入 Microsoft 常用的應用程式。使用任何端點處理程序來調整參照集，以符合商業需要。
規則	可疑活動後接端點管理作業	偵測在相同機器上偵測到可疑活動之後執行正常管理作業 (下載檔案、更新使用者權限、以其他使用者身分執行等)。
規則	在建立使用者帳戶之後刪除帳戶	在短時間內建立並刪除使用者時觸發。這可能表示攻擊者或惡意軟體嘗試使用不同的使用者帳戶來隱藏或迴避偵測，或在系統上投下炸彈。

下表顯示 IBM Security QRadar Endpoint 1.0.0中的參照資料。

表 24. IBM Security QRadar 端點 1.0.0 中的參照資料
類型	名稱	說明
集的參照對映	預設程序名稱及程序目錄	此集的參照對映會列出機密處理程序及其目錄。
參照資料	pulse_imports	Pulse 儀表板的一部分。
參照集	匿名程式 IP	列出已識別的匿名程式 IP 位址。
參照集	Botnet C&C IPs	列出識別的 botnet 指令及控制伺服器 IP 位址。
參照集	殭屍網路 IP	列出已識別的殭屍網路 IP 位址。
參照集	重要安全工具處理程序	列出重要安全工具。
參照集	惡意 URL	列出已識別的惡意 URL。
參照集	惡意軟體雜湊 MD5	列出識別的 md5 惡意軟體雜湊。
參照集	惡意軟體雜湊 SHA	列出已識別的 sha256 惡意軟體雜湊。
參照集	惡意軟體 IP	列出已識別的惡意軟體 IP 位址。
參照集	惡意軟體 URL	列出已識別的惡意軟體 URL。
參照集	網路釣魚 IP	列出已識別的網路釣魚 IP 位址。
參照集	釣魚網站 URL	列出已識別的網路釣魚 URL。
參照集	建議的已封鎖處理程序	列出建議封鎖的處理程序。
參照集	機密處理程序名稱	列出機密處理程序。
參照集	Sims Allowlist	列出應用程式勻場登錄。

_{(回到頂端)}