端点

检测密码喷射攻击。

检测暴力破解攻击。

当检测到从互联网到本地主机的虚拟网络计算（VNC）应用程序时触发。

检测到从互联网到本地主机的 Microsoft 远程桌面协议 (RDP) 时触发。

检测到来自有效帐户的可疑登录时触发。

当一个不应该有子进程的进程启动一个进程时触发。

当关键文件或关键目录中的文件被删除时触发。

当重要文件或目录被修改以及发生可疑活动时触发。

与潜在敌对 IP 地址通信时触发。 潜在的敌对 IP 地址要么记录在 IBM X force 中，要么记录在自定义参考集集合中。

检测到使用 PSExec 模块时触发。

当服务配置为使用 PowerShell 时触发。

在事件中观察到与 Ryuk 勒索软件相关的 IOC（文件散列）时触发。

在流量中观察到与 Ryuk 勒索软件相关的 IOC（文件散列）时触发。

检测搜索常用密码存储位置以获取用户凭证的尝试。

检测为获取用户凭证而搜索常用密码存储位置的连续尝试。

检测使用与令牌冒充或令牌盗窃相关的 Windows API 函数的尝试。

检测由 regsvr32.exe 文件启动的出站连接。

检测由 dllhost.exe 文件启动的出站连接。

检测由 rundll32.exe 文件启动的出站连接。

在流中观察到 Petya 有效内容时触发。

检测令牌模拟和窃取。 例如DuplicateToken(Ex) 和 ImpersonateLoggedOnUser 加上 LOGON32_LOGON_NEW_CREDENTIALS 标志）

在将 IOC 识别为 Turla 注册表值时触发。

检测到可能属于 X-Force Red StandIn 的行为时触发。

在以下目录中检测到当前工作目录 (CWD) 时触发：

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron*（例如 /etc/cron.hourly、 /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

以下文件处于监控之下：

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

定义触发目录遍历攻击警报的敏感当前工作目录。

定义当在以下目录中检测到当前工作目录 (CWD) 时触发的规则：

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron*（例如 /etc/cron.hourly、 /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

以下文件处于监控之下：

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

定义何时使用 PowerShell Get-ChildItem 命令递归发现目录。 指定 -Recurse 参数或在 ForEach 循环内使用该命令时，会发生此事件。

观察到与 StandIn 工具相关的进程时触发。 StandIn 是红队常用的渗透测试工具。 然而，恶意行为者可以利用这一应用程序进行攻击。

观察到与StandIn工具相关的持久化命令时触发。 StandIn 是红队常用的渗透测试工具。 然而，恶意行为者可以利用这一应用程序进行攻击。

观察到与StandIn工具相关的防御规避命令时触发。 StandIn 是红队常用的渗透测试工具。 然而，恶意行为者可以利用这一应用程序进行攻击。

观察到与 StandIn 工具相关的权限升级命令时触发。 StandIn 是红队常用的渗透测试工具。 然而，恶意行为者可以利用这一应用程序进行攻击。

观察到与 StandIn 工具相关的枚举命令时触发。 StandIn 是红队常用的渗透测试工具。 然而，恶意行为者可以利用这一应用程序进行攻击。

将服务配置为使用管道时触发。 这可能指示攻击者使用 getsystem通过特权升级获取对用户系统的访问权。

通过命令行损害指示符检测 MOVEit 传输漏洞利用。

通过损害的文件名指示符检测 MOVEit 传输漏洞利用。

通过损害的散列指示符检测 MOVEit 传输漏洞利用。

在 Microsoft Exchange 中检测远程代码执行漏洞。

Microsoft 发出了 "CVE-2022-41040" 和 "CVE-2022-41082" Exchange Server。

在 Microsoft Exchange 中检测远程代码执行漏洞。

Microsoft 发出了 "CVE-2022-41040" 和 "CVE-2022-41082" Exchange Server。

在 Microsoft Exchange 中检测远程代码执行漏洞。

Microsoft 发出了 "CVE-2022-41040" 和 "CVE-2022-41082" Exchange Server。

此规则会检测已知的 Windows RCE IP。

检测创建的新关键流程。 关键流程是指可能被对手滥用来执行恶意活动的流程。 常见进程包括PowerShell, cmd、mshta。

检测在临时目录下创建的新文件。 某些临时目录可能被对手用于删除恶意文件。

根据 QRadar 规则的顺序，检测从快捷方式 (lnk) 文件创建的关键进程。

根据 QRadar 规则的顺序，检测从快捷方式 (lnk) 文件创建的关键进程。

1. 注册表更改以创建密钥 (用于持久性)。
2. 删除可执行的 ion 临时目录。
3. 删除影子副本。
4. 加密 (文件修改)。

检测到潜在的 Microsoft 支持诊断工具 (MSDT) 漏洞利用时触发。

Microsoft 针对 MSDT 上的漏洞发出了 "CVE-2022-30190"。 对手可以使用 MSDT 执行远程代码执行以运行任意代码。

定义与潜在敌对主机的通信，按引用集分类。

以 "XFE ATPF" 前缀开头的引用集由 Threat Intelligence 应用程序自动管理，并且需要付费预订。 其他参考集由 Threat Intelligence 应用程序提供，可用于包含第三方威胁情报订阅源。

定义与潜在恶意 IP 的通信，按引用集分类。

以 "XFE ATPF" 前缀开头的引用集由 Threat Intelligence 应用程序自动管理，并且需要付费预订。 其他参考集由 Threat Intelligence 应用程序提供，可用于包含第三方威胁情报订阅源。

当观察到与恶意软件即服务 (MaaS) 相关的文件路径损害指示符 (IoC) (例如 Emotet Trojan 和 Trickbot Trojan) 时触发。

IOC 将遵循以下定制目录中的模式:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

将预填充 Malware as a Service_Path 引用集。 使用相关 IOC 调整此参考集。

• 炭黑反应
• 端点
• FireEye 公安部
• Linux
• Microsoft Windows
• ObserveIT
• 查询

当观察到与恶意软件即服务 (MaaS) 相关的文件路径损害指示符 (IoC) (例如 Emotet Trojan 和 Trickbot Trojan) 时触发。

IOC 将遵循以下定制目录中的模式:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

将预填充 Malware as a Service_Path 引用集。 使用相关 IOC 调整此参考集。

在引用集集合中将 IoC 分类为恶意时触发。

Malware as a Service Hash IOC in Events和 Ransomware: R旭 IOC in Events 规则将从此规则中排除，以避免重复。 他们的目的是要有专门的规则响应。

在引用集集合中将 IoC 分类为恶意时触发。

流中的恶意软件即服务散列 IOC和 Ransomware: 流中的R旭 IOC 将从此规则中排除，以避免重复。 他们的目的是要有专门的规则响应。

此规则已从 对来自同一源的管理共享的过度失败访问权 重命名

在同一机器上检测到来自单个源 IP 地址的多个失败认证事件时触发。

此行为指示潜在的暴力尝试访问机器。

此规则已从 过多登录失败 (通过 RDP)重命名。

在不同机器上检测到来自单个源 IP 地址的多个失败认证事件时触发。

此行为指示潜在的暴力尝试访问机器。

此规则已从 过多登录失败 (通过网络连接到多台机器)重命名。

在观察到恶意软件即服务行为时触发。

这些行为包括在端点上使用下载实用程序以及显示损害指示的文件路径。

当观察到与MaaS,（如 Emotet 木马和 Trickbot 木马）相关的文件散列 IoC 时触发。

将预填充 Malware as a Service_SHA1， Malware as a Service_SHA256和 Malware as a Service_MD5 参考集。 使用相关的 IoC来调整这些参考集。

当观察到与MaaS,（如 Emotet 木马和 Trickbot 木马）相关的文件散列 IoC 时触发。

将预填充 Malware as a Service_SHA1， Malware as a Service_SHA256和 Malware as a Service_MD5 。 使用相关的 IoC来调整这些参考集。

已针对 Windows 漏洞更新此规则。

已针对R旭勒索软件更新此规则。

已针对R旭勒索软件更新此规则。

已针对此发行版中添加的所有新检测规则更新此规则。

当观察到与R行为勒索软件相关的文件散列 IoC 时触发。

Ryuk_SHA256， Ryuk_SHA1和 Ryuk_MD5 已预填充。 使用相关的 IoC来调整这些参考集。

当观察到与R行为勒索软件相关的文件散列 IoC 时触发。

Ryuk_SHA256， Ryuk_SHA1和 Ryuk_MD5 已预填充。 使用相关的 IoC来调整这些参考集。

当R旭勒索软件在生成自身的副本后终止正在运行的进程时触发。

已预填充 R旭服务和进程终止列表 参考集。 使用相关服务和流程调整此参考集。

• 事件中的恶意软件即服务散列 IOC
• 流中的恶意软件即服务散列 IOC

• 尝试删除影子副本
• 已删除关键文件 (Unix)
• 检测到 RDP 劫持工具
• 在引导配置数据中禁用恢复
• 勒索软件: R旭服务或流程终止

• 检测恶意文件或进程
• 检测恶意 IOC
• 文件解码或下载后跟可疑活动
• 勒索软件: 事件中的 BadRabbit IOC
• 勒索软件: BadRabbit IOC in Flows
• 勒索软件 :Maze IOC in Events
• 勒索软件: 事件中的 Petya/ NotPetya IOC
• 勒索软件: 流中的 Petya/ NotPetya IOC
• 勒索软件 :REvil IOC in Events
• 勒索软件 :WCry IOC in Events
• 勒索软件 :WCry IOC in Flows
• 勒索软件 :WCry Payload in Flows
• 在多台机器上检测到勒索软件 IOC
• 勒索软件: 事件中的R旭 IOC
• 勒索软件:R旭 IOC 在流中
• 勒索软件加密文件扩展名

• 检测到钴打击行为
• 对来自同一源的管理共享的过多访问失败
• 使用过多的 Nslookup
• 检测到侦察工具

• 过多的文件删除和创建
• 勒索软件加密文件扩展名
• 勒索软件: 迷宫可疑文件传输
• 在同一机器上删除的可疑文件量
• 在同一机器上重命名的可疑文件量 (Windows)
• 在同一机器上重命名/移动的可疑文件数 (Unix)

• ls -d
• find -type d
• ls -r

编辑 BB:CategoryDefinition: 具有敏感权限的文件 构建模块，添加要监控的文件或目录。 这些位置应该与引导，备份，日志记录或凭证相关，这些位置在利用时具有更高的严重性。

• 米纳盖特
• 内什塔
• 杀手捕食者
• NLBrute (NL)
• EternalBlue
• MimiKatz / MimiPenguin

• ngrok ，可用于打开绕过防火墙的连接
• tscon ，一种本机 Windows 工具，可用于截取另一个活动的 RDP 会话

• BloodHound,及其数据挖掘工具 SharpHound,是一个应用程序，用于映射 Active Directory环境中的隐藏和非预期关系。 攻击者可以使用这些工具来轻松识别攻击路径。
• PingCastle 是企业常用的工具，用于评估其 Active Directory的安全性。 恶意参与者可以使用此工具来检测环境中的漏洞。
• 高级 IP 扫描程序是可用于远程控制环境中的设备的网络扫描程序。 此工具可在勒索软件攻击期间使用，以实现横向移动。
• AdFind 是一个命令行 Active Directory 查询工具。 它可用于快速识别 Active Directory 配置中的薄弱点。
• 所有内容 (或 ES) 都是一个搜索实用程序，允许更快地查找文件和文件夹。 此功能可使勒索软件收集有关所有文件和文件夹的信息，以便稍后进行加密。
• Masscan 是一种端口扫描工具。 攻击者经常使用它来列出潜在易受攻击的端口。 这些工具也可以被红队使用，并不是天生的危险，但是恶意参与者可以在攻击之前使用它们来调查一个环境。

• 思科 AMP
• 思科火力
• Linux
• Microsoft Office 365
• Microsoft Windows
• 查询
• Microsoft 365 后卫

• Amazon AWS
• 蓝外套
• 思科 AMP
• Cisco IronPort
• McAfee 欧专局
• Microsoft Office 365
• Microsoft Windows
• 查询
• Postfix
• Squid
• Microsoft 365 后卫

• Linux
• 查询

• Amazon AWS
• Azure
• Bit9 安全平台
• 蓝外套
• 碳黑保护
• 思科 AMP
• 思科火力
• Cisco IronPort
• 端点
• FireEye 公安部
• Fortinet FortiAnalyzer
• Linux
• McAfee 欧专局
• Microsoft Office 365
• Microsoft Windows
• 查询
• Palo Alto PA 系列
• Postfix
• Squid
• Sysmon
• VMware
• Microsoft 365 后卫

• Linux
• Microsoft Windows

• Linux
• Microsoft Windows

• 思科 AMP
• Microsoft 365 后卫
• Microsoft Windows

• 查询
• Microsoft Windows

• 炭黑反应
• Kubernetes
• Microsoft Windows
• 查询
• Sysmon

• 炭黑反应
• 端点
• FireEye 公安部
• Linux
• Microsoft Windows
• ObserveIT
• 查询

• 炭黑反应
• Microsoft Windows

• 思科 AMP
• Microsoft 365 后卫
• 查询
• Sysmon

• Amazon AWS
• Azure
• Kubernetes
• Microsoft Office 365
• Microsoft Windows
• 查询
• VMware

• 蓝外套
• Cisco IronPort
• IBM 云发现应用程序 QRadar
• McAfee 欧专局
• Squid
• Microsoft 365 后卫

• Azure
• Linux
• 查询

• 以点开头
• 以点开头并包含空格
• 基于许可权 (例如 -rwx ------)

• /etc/login.defs
• /etc/pam.d/common-password
• /etc/pam.d/system-auth
• /etc/security/pwquality.conf

• /boot/
• /etc/pam.d/
• /etc/shadow
• /etc/passwd
• /etc/rsyslog/
• /etc/openldap/
• /etc/sysconfig/syslog
• /etc/syslog.conf
• /etc/sysconfig/network-scripts/
• /etc/default/ufw
• /etc/sudoers

• 注册表扫描可由系统或其他程序使用的密码
• 使用安全帐户管理器 (SAM) 进行散列转储
• 修改 WDigest 注册表以允许以明文形式存储密码。

下面的 AQL 过滤条件指示此规则中实现的三个凭证转储方法。 可以使用这些 AQL 过滤器单独实现每种方法以进行调整。

1. 对手可以通过扫描密码值来搜索注册表：当事件匹配到 LOWER("Process CommandLine") MATCHES 'reg\s+query.*password.*' 时，对手就可以搜索注册表 AQL 过滤器查询。
2. 可以将注册表 hives 转储并由对手出于恶意目的进行渗透。 这是通过安全帐户管理器 (SAM) 进行凭证转储的迹象：当事件匹配 LOWER("Process CommandLine") MATCHES 'reg.*save.*(sam|system|security)' AQL 过滤查询时。
3. 此注册表键修改强制 wdigest 在下次有人登录此系统时以纯文本形式存储凭证: 当事件匹配 LOWER (" Process CommandLine) MATCHES 'reg\s + (add|query). * uselogoncredential. *' 当事件与 LOWER ("Registry Key") MATCHES '\\system \\ (controlset001|controlset002|currentcontrolset) 匹配时， AQL 过滤器查询。* wdigest ' AQL 过滤器查询。

• %WINDIR%\AppPatch\Custom
• %WINDIR%\AppPatch\CustomSDB
• %WINDIR%\AppPatch\AppPatch64\Custom