叙斯蒙

IBM Security QRadar Sysmon 内容扩展通过使用 Sysmon 日志检测 Windows 端点上的高级威胁。

Sysinternals Sysmon 服务向 Windows 系统添加多个事件标识。 系统管理员使用这些新的事件标识来监视系统进程,网络活动和文件。 Sysmon 提供了比 Windows 安全日志更详细的视图。 有关 Sysmon 的更多信息,请参阅 Secure Your Endpoints With QRadar Content for Sysmon (https://securityintelligence.com/news/secure-your-endpoints-with-qradar-content-for-sysmon/)。

此内容扩展提供了多个用例来检测高级威胁,例如 PowerShell 滥用,隐藏的 Windows 进程,无文件的内存攻击,代码模糊处理等。 此内容扩展包含可帮助您检测这些威胁的新攻击规则,构建块,引用集和定制函数。

注: 在安装 IBM QRadar Sysmon Content Extension 之前,请将 Microsoft Windows DSM 更新为最新版本。

有关此内容扩展所涵盖的用例的更多信息,请参阅以下视频:

Fix Central 上的此软件包仅包括 <月> <年> 虚拟设备安全更新和可选软件包,安装此版本不会更新 App Host,App Host 版本也不会更改。 请使用 App Host <VERSION> 进行 App Host 安装或更新。

视频标题 视频链接
Sysmon PowerShell 用例 1 https://youtu.be/PWiw-RpLIbw
Sysmon PowerShell 用例 2 https://youtu.be/_eaMMo8sPtA
Sysmon PowerShell 用例 3 https://youtu.be/sZUAuYpSe7Q
Sysmon 用例 4 https://youtu.be/gAS-B9gb3RY
Sysmon 用例 5 检测其他库 https://youtu.be/omWnyACNEcM
Sysmon 用例 6 下流注入和编码攻击 https://youtu.be/kC2hIJxqF8Q
QRadar 特权升级检测用例 7 https://www.youtube.com/watch?v=yitGRL-WJCM
QRadar 特权升级继续用例 8 https://www.youtube.com/watch?v=8u6G6SEw3kE
Sysmon 用例 9-更多特权升级检测 https://www.youtube.com/watch?v=0Wy59Otr_Ag
Sysmon 用例 10-创建管理帐户 https://www.youtube.com/watch?v=bJgaFSjuMSs
Sysmon 检测名称管道模拟 https://www.youtube.com/watch?v=pSBQ7NabDUY
Sysmon 检测 Mimikatz https://www.youtube.com/watch?v=gKa_CZAz3Jc
QRadar 横向运动检测,示例 1 https://www.youtube.com/watch?v=IBEIN9sl4lk
QRadar 横向运动检测示例二 https://www.youtube.com/watch?v=whjpScDYaY4
QRadar 横向移动检测示例三 (普通 Windows 功能部件) https://www.youtube.com/watch?v=7PXzi3pbmFo
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM 安全 QRadar Sysmon

IBM 安全 QRadar Sysmon 内容扩展 1.3.2

下表列出了在 IBM Security QRadar Sysmon Content Extension 1.3.2 中重命名的自定义属性、规则和构件。

表 1. 在 IBM Security QRadar Sysmon Content Extension 中重命名的自定义属性、规则、构建模块、保存的搜索和参考数据 1.3.2
原名称 新名称
ServiceFileName 服务文件名
ParentCommandLine 父命令
TargetImage 目标流程路径
进程命令行 命令
StartModule 启动模块
RunLevel 运行级别
PS 编码命令 编码命令
目标映像名称 目标流程名称
流程指南 进程 GUID
PipeName 管道名称
StartFunction 启动功能

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.3.1

下表显示了 IBM Security QRadar Sysmon Content Extension 1.3.1中更新的定制属性。

表 2. 已在 IBM 安全性 QRadar Sysmon Content Extension 1.3.1 中更新定制属性
名称 描述
Image "\bImage:\s.?\\([\\]?)(?:FileVersion|CommandLine):\s" 表达式现在为 "\bImage:\s.?\\([\\]?)\s(?:FileVersion|CommandLine):\s"

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.3.0

检测到基于多个主机的调度任务 定制规则接收到对其规则过滤器的更新。 此更新是一项功能更改,用于确保在运行多个命令时,每个命令都有自己的攻击。

IBM Security QRadar Sysmon 内容扩展 1.2.1

下表显示了 IBM Security QRadar Sysmon Content Extension 1.2.1中更新的定制属性。

表 3. 已在 IBM 安全性 QRadar Sysmon Content Extension 1.2.1 中更新定制属性
名称 描述
Image New Process Name:\s(.*?)Token Elevation Type\: 表达式现在为 New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type)
ShareName Share\sName\:\s*(?:\\\\\*\\)(.*)\s\sShare\sPath 表达式现在为 Share\sName\:\s*(?:\\\\\*\\)(.*?)\s+Share\sPath

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.2.0

下表显示了 IBM Security QRadar Sysmon Content Extension 1.2.0中的定制属性。

表 4。 IBM 安全性 QRadar Sysmon 内容扩展 1.2.0 中的定制属性
名称 描述
Image SourceImage\:\s(.*)\sTargetProcessGuid 表达式现在是 SourceImage\:\s(.*?)\sTargetProcessGuid 表达式

Image:\s(.*)\sUser\: 表达式现在是 Image:\s(.*?)\sUser\: 表达式

Image:\s(.*?)\s(FileVersion|CommandLine): 表达式现在是 \bImage:\s(.*?)\s(?:FileVersion|CommandLine):

New\sProcess\sName:\s*(.*)\s{2}Token\sElevation\sType\: 表达式现在是 New Process Name:\s(.*?)TokenElevation Type\:

SourceImage\:\s(.*)\sTargetProcessG 表达式现在是 SourceImage\:\s.*?\([^\\]*?)\sTargetProcessG

以下表达式已禁用:
  • Image:\s(.*)\sImageLoaded
  • Image:\s(.*)\sTargetFilename\:
  • 映像: \s (. *)
  • Image:/s(.*)\sDevice:
  • Image:\s(.*)\sTargetObject
  • Process\sName\:\s*(.*?)\s*Access\sRequest
ImageName Image:\s(?:.*\)?(.*?)\s(?:FileVersion|CommandLine):\s 表达式现在是 \bImage:\s.*?\([^\\]*?)(?:FileVersion|CommandLine):\s

Image:\s(?:.*\)?(.*)\sImageLoaded 表达式现在是 Image:.*?\([^\\]*?)\sImageLoaded 表达式

Image:\s(?:.*\)?(.*)\sTargetFilename\: 表达式现在是 Image:.*?\([^\\]*?)\sTargetFilename 表达式

Image:\s(?:.*\)?(.*)\sUser\: 表达式现在是 Image:\s.*?\([^\\]*?)\sUser\: 表达式

Image:\s(?:.*\)?(.*)\sTargetObject 表达式现在是 Image\:\s.*?\([^\\]*?)\sTargetObject 表达式

SourceImage\:\s(?:.*\)?(.*)\sTargetProcessGuid 表达式现在是 SourceImage\:\s.*?\([^\\]*?)\sTargetProcessGuid

New\sProcess\sName:\s*(?:.*\)?(.*)\s{2}Token\sElevation\sType\: 表达式现在是 New Process Name:\s.*?\([^/\]*?)Token Elevation Type\:

以下表达式已禁用:
  • 映像: \s (?:. * \\) ?(. *)
  • 映像: \s (?:. * \\) ?(. *)
  • Image:\s(?:.*\)?(.*)\sTargetObject
  • Image:\s(?:.*\)(.*)\sDevice:
  • Process\sName\:\s*(?:.*\\)?(.*?)\s*Access\sRequest
  • SourceImage\:\s(?:.*\\)?(.*)\sTargetProcessG
进程命令行 进程命令行:\s(.*)\sToken 提升类型表达式现在是进程命令行[:\s\=]+(.*?)\s*(?:令牌提升类型)
ServiceName 服务名称*(.*)\sService\sFile 表达式现在是 (?i)Service Name[\:\s\=\]*(.*?)\s+(?:Service File Name:|&&)
SourceImage 将从内容扩展中除去此定制属性。

下表显示了在 IBM Security QRadar Sysmon Content Extension 1.2.0中更新的规则。

表 5。 在 IBM 安全性 QRadar Sysmon 内容扩展 1.2.0 中更新了规则
名称 描述
由从共享文件夹启动的进程创建线程 现在使用 Image 定制属性,而不是 SourceImage 定制属性。

IBM Security QRadar Sysmon Content Extension 1.2.0 中删除了以下规则和构件,因为它们与 IBM Security QRadar Endpoint content extension 中的规则重复。

  • BB:BehaviorDefinition: 已访问管理共享
  • 使用 SAM 注册表键进行凭证转储
  • 编程环境中的编码命令恶意使用
  • 使用 Fodhelper 的无文件 UAC 旁路
  • 使用 sdclt 的无文件 UAC 旁路
  • 使用 Windows 事件查看器的无文件 UAC 旁路
  • 由异常进程启动的进程
  • 使用特权帐户启动编程环境
  • 配置为使用 Powershell 的服务
  • 检测到可疑的 PSExec 模块使用情况

检测到可疑 PSExec 模块使用情况 规则用于称为 Metasploit PSExec 模块使用情况

已除去 检测到 Powershell 恶意使用情况 规则,并将其替换为端点内容包中的 文件解码或下载后跟可疑活动

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.1.3

下表显示了 IBM Security QRadar Sysmon Content Extension 1.1.3中的定制属性。

表 6。 IBM 安全性 QRadar Sysmon 内容扩展 1.1.3 中的定制属性
名称 已优化 捕获组 正则表达式
服务名称 1 服务名称.*)\sService\sFile
ServiceFileName 1 Service\sFile\sName\:\s*(.*)\sService\sType

下表显示了 IBM Security QRadar Sysmon Content Extension 1.1.3中的规则和构建块。

表 7。 IBM 安全性 QRadar Sysmon 内容扩展 1.1.3 中的规则和构建块
类型 名称 描述
规则 已启动通过编码命令下载 从编程环境类型 cmd 或 Powershell 启动 PowerShell 脚本下载时,将触发此规则。
规则 已安装恶意服务 当已安装分类为恶意的服务时,将触发此规则。
规则 Metasploit PSExec 模块使用情况 当检测到 PSExec 模块的使用时,将触发此规则。
规则 在已承诺的主机上观察到 PSExec 进程 在受损主机上检测到 PsExec 进程时,将触发此规则。
规则 远程管理服务已连接到 lsass 管道 当远程管理服务连接到 lsass 管道时,将触发此规则。
规则 位于共享文件夹中的服务二进制文件 当服务二进制文件位于共享文件夹中时,会触发此规则。
规则 配置为使用管道的服务 当服务配置为使用管道时,将触发此规则。
规则 配置为使用 Powershell 的服务 此规则在服务配置为使用 Powershell 时触发。
规则 已安装在已压缩主机上的服务 在已泄密的主机上创建服务时,将触发此规则。

下表显示了在 IBM Security QRadar Sysmon Content Extension 1.1.3中重命名的定制属性,规则和构建块。

表 8。 在 IBM 安全性 QRadar Sysmon 内容扩展 1.1.3 中重命名的定制属性,规则,构建块,已保存的搜索和参考数据
原名称 新名称
已添加隐藏网络共享 已添加隐藏网络共享
已在系统中安装恶意服务 已安装恶意服务
已从已承诺的主机访问网络共享 从已压缩主机访问的网络共享
已在已承诺的主机中添加网络共享 添加到已压缩主机的网络共享
已创建管道,然后更新服务二进制路径以连接到已创建的管道 后跟服务二进制路径更新创建的管道
远程服务已创建 Powershell 脚本文件 由远程管理服务创建的 Powershell 脚本
已在已承诺的主机中创建预定任务 在已承诺的主机上创建的预定任务
已在已承诺的主机中安装服务 已安装在已压缩主机上的服务
系统进程的异常父代 系统进程的异常父代
已访问管理共享 访问的管理共享
已从已压缩的机器访问管理共享 从已压缩主机访问的管理共享
BB: 已调度任务已创建 Been BB:CategoryDefinition:计划任务创建
BB: 已访问管理共享 BB:BehaviorDefinition: 已访问管理共享
BB: CreateRemoteThread 检测到 BB:CategoryDefinition: 远程线程创建
BB:CreateRemoteThread排除情况 BB:BehaviorDefinition: 远程线程创建误报
BB: 检测到 Powershell 进程 BB:CategoryDefinition:编程环境
BB: 检测到基于流程创建事件部分的已调度任务 2 BB:CategoryDefinition:进程创建的预定任务
BB: 正常 Windows 进程已访问 lsass.exe BB:CategoryDefinition: 允许访问 lsass 的进程
BB: 已创建管道 BB:CategoryDefinition: 管道创建
BB: 进程已创建网络连接 BB:CategoryDefinition: 网络连接
BB: 已检测到 PsExec BB:BehaviorDefinition: PsExec 观察到的过程
BB: 已设置或更新服务二进制路径 BB:BehaviorDefinition: 服务二进制路径设置或更新
无子进程已启动/衍生进程 由异常进程启动的进程
使用系统特权启动的命令 Shell 使用特权帐户启动编程环境
使用 Fodhelper 检测到无文件 UAC 旁路 使用 Fodhelper 的无文件 UAC 旁路
使用 sdclt 检测到无文件 UAC 旁路 使用 sdclt 的无文件 UAC 旁路
使用 Windows 事件查看器检测到无文件 UAC 旁路 使用 Windows 事件查看器的无文件 UAC 旁路
检测到已知进程是使用新的不可见散列启动的 使用不同散列启动的已知进程
在 Windows 注册表中检测到长整型值 Windows 注册表中的异常值大小
检测到对 lsass 进程的恶意访问 对 lsass 进程的可疑访问
检测到来自未知调用跟踪的 lsass 进程的恶意访问 从未知调用跟踪对 lsass 进程的可疑访问
检测到使用系统用户特权启动的新不可见进程 使用特权帐户启动的新流程
检测到可能的凭证转储工具 检测到潜在凭证转储工具
检测到可能的密钥记录器 检测到潜在的密钥记录器
在多个主机上检测到远程执行的进程 多个主机上的远程进程执行
检测到连接到 lsass 管道的远程服务 远程管理服务已连接到 lsass 管道
在多个主机上检测到调度的任务 在多个主机上创建的调度任务
检测到服务二进制路径已更改,后跟已添加的用户或组 服务二进制路径更新后跟用户或组修改
检测到配置为使用管道的服务 配置为使用管道的服务
检测到配置为使用 Powershell 的服务 配置为使用 Powershell 的服务
检测到具有位于共享文件夹中的可执行二进制文件的服务 位于共享文件夹中的服务二进制文件
检测到可疑的 svchost 进程 可疑的 svchost 进程
检测到进程的异常父代 进程的异常父代
检测到未知/不可见的进程 (基于进程散列) 观察到未知进程散列
检测到未知/不可见的进程 (基于进程名称) 观察到的未知进程名称
检测到过度执行 SC 命令 过度使用 SC 命令
检测到单台机器过度使用系统工具 从单个主机过度使用系统工具
检测到基于 IMP 散列的 Mimikatz 已观察到 Mimikatz IMP 散列
检测到具有不同进程名称的 PsExec PsExec 进程伪装
从已压缩主机访问网络共享资源的尝试失败次数过多 来自已压缩主机的过多网络共享访问失败
尝试从单一源访问管理共享失败次数过多 来自同一主机的过多管理共享访问失败
连接到管道的 lsass 进程 连接到管道的 lsass 进程
检测到 Metasploit PSExec 模块 Metasploit PSExec 模块使用情况
基于带有 qwerty 参数的 rundll32 检测到可能的 Locky Ransomware 带有 qwerty 参数用法的Rundll32
可能的 UAC 旁路-已配置调度任务以使用最高特权运行 UAC 旁路-已配置为使用最高特权运行的调度任务
Powershell 已启动 观察到的 Powershell 进程
已在已承诺的主机中启动 PowerShell 在已压缩的主机上观察到 Powershell 进程
使用编码命令检测到 Powershell 恶意使用 编程环境中的编码命令恶意使用
使用 EncodedCommand 已启动通过编码命令下载
进程基线: 进程散列 进程基线: 进程散列
流程基线: 流程名称 流程基线: 流程名称
进程基线: 进程名称到散列 进程基线: 进程名称到散列
流程基线: 流程名称到父流程 流程基线: 流程名称到父流程
进程基线: 进程已使用系统用户特权启动 进程基线: 进程已启动,具有系统用户特权
进程从从临时目录启动的进程创建线程 由从临时目录启动的进程创建线程
进程在另一个进程中创建了线程 将线程创建到不同于初始进程的进程中
进程已创建到 lsass 进程中的线程 在 lsass 进程中创建线程
进程已创建到系统进程中的线程 在系统进程中创建线程
从共享文件夹启动的流程 从共享文件夹启动的流程
从共享文件夹启动的进程和创建的线程进入另一个进程 由从共享文件夹启动的进程创建线程
从临时目录启动的进程 从临时目录启动的过程
从临时目录装入的进程可执行文件 从临时目录装入的可执行文件
从异常目录启动的进程 (Recycle.bin, ..) 从异常目录启动的进程
已检测到PsExec PsExec 观察到的进程
PsExec 已从已承诺的主机启动 在已压缩的主机上观察到PsExec 进程
SAM 注册表键-枚举子键 (用户) 使用 SAM 注册表键进行凭证转储
服务二进制路径已更新,随后检测到来自同一进程的 CreateRemoteThread 服务二进制路径更新后跟远程线程创建
已更新服务二进制路径,后跟来自同一进程的网络连接 服务二进制路径更新后跟网络连接
检测到影子副本删除 影子副本删除
从异常目录启动的系统进程 从异常目录启动的系统进程
未签名的驱动程序已装入 Windows 内核 在 Windows 内核中装入未签名的驱动程序
未签名的可执行文件已装入 lsass.exe lsass 中装入的未签名可执行文件
装入到敏感系统进程中的未签名可执行文件 在敏感系统进程中装入未签名的可执行文件
已执行的 whoami/组 组或帐户发现

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.1.2

下表显示了 IBM Security QRadar Sysmon Content Extension 1.1.2中的定制属性。

表 9。 IBM 安全性 QRadar Sysmon 内容扩展 1.1.2 中的定制属性
名称 正则表达式
Image Image:\s(.*?)\s(FileVersion|CommandLine):
ImageName Image:\s(?:.*\)?(.*?)\s(?:FileVersion|CommandLine):\s
LoadedImage ImageLoaded:\s(.*?)\s(FileVersion|Hashes)\:
LoadedImageName ImageLoaded\:\s(?:.*\)(.*?)\s*(FileVersion|Hashes)\:

下表显示了 IBM Security QRadar Sysmon Content Extension 1.1.2中的规则和构建块。

表 10. IBM 安全性 QRadar Sysmon 内容扩展 1.1.2 中的规则
名称 描述
进程基线: 进程名称到散列 已添加规则响应,以填充 ProcessNametoHashRefMapOfSetKeys 引用集。
流程基线: 流程名称到父流程 已添加规则响应,以填充 ProcesstoParentProcessPathRefMapKeys 引用集。
检测到已知进程是使用新的不可见散列启动的 检测已知进程何时以新的不可见散列启动。
检测到进程的异常父代 检测进程的异常父代。
进程基线: 进程散列 提供流程散列的基线。
流程基线: 流程名称 使用标准 Windows 日志或 Sysmon 日志为进程名称提供基线。
检测到未知/不可见的进程 (基于进程散列) 检测任何异常或未知的进程散列。
检测到未知/不可见的进程 (基于进程名称) 检测任何异常或未知的进程名称。
从共享文件夹启动的进程和创建的线程进入另一个进程 已更新其中一个规则测试。

下表显示了 IBM Security QRadar Sysmon Content Extension 1.1.2中的参考数据。

表 11. IBM 安全性 QRadar Sysmon 内容扩展 1.1.2 中的参考数据
类型 名称 描述
引用集 已概要分析的进程名称 存储流程名称的基线列表。
引用集 已概要分析的进程散列 存储流程散列的基线列表。
引用集 ProcessNametoHashRefMapOfSetKeys 存储将进程名称映射到其散列的集合映射中使用的键。
引用集 ProcesstoParentProcessPathRefMapKeys 存储将流程名称映射到其父流程的集合映射中使用的键。
集合的引用映射 ProcessMaptoProcessParentPath 已将元素类型更改为字母数字忽略大小写。
集合的引用映射 ProcessNametoHash 已将元素类型更改为字母数字忽略大小写。

下表显示了 IBM Security QRadar Sysmon Content Extension 1.1.2中的已保存搜索。

表 12. IBM 安全性 QRadar Sysmon 内容扩展 1.1.2 中的已保存搜索
名称 描述
未知进程散列已启动 已更新搜索条件。
进程的异常父代 已更新搜索条件。
未知进程名称已启动 此搜索根据进程名称显示未知进程。

(返回页首)

IBM Security QRadar 内容扩展 1.1.1

在 1.1.1中,由于可能的性能问题,除去了两个规则和两个 AQL 函数:
  • 规则: 检测到使用不可见散列启动的已知进程
  • 规则: 检测到进程 的异常父代
  • 自定义函数:checkWithMapOfSets
  • 自定义函数:IsItWhiteListedProcess

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.1.0

IBM Security QRadar Sysmon Content Extension 1.1.0 包含用于建立基线进程以及检测以下活动的新规则:
  • 特权提升
  • 无文件用户帐户控制 (UAC) 旁路
  • 凭证转储
  • 横向移动技术
  • Metasploit PSExec 实现
  • 恶意 PowerShell 用法

此版本还包含新的定制属性,已保存的搜索和 AQL 定制函数。 将向 QRadar 管理设置添加一个新图标,以配置 Sysmon 定制函数的授权令牌。

下表描述了 IBM Security QRadar Sysmon Content Extension 1.1.0 中包含的更改

类型 名称 修改描述
规则 异常过程 (例如 :word , iExplore , AcroRd..) 已启动命令 Shell 检测异常进程 (例如, MS Word , Internet Explorer 和 Acrobat Reader) 是否启动命令 shell 或 PowerShell。
规则 在多个主机上检测到远程执行的进程 检测任何使用 PowerShell, wmi 或 PSExec 作为著名横向移动技术的远程运行进程。
规则 在多个主机上检测到调度的任务 检测多个主机上的已调度任务。
规则 检测到 Metasploit PSExec 模块 检测 PSExec 工具的 Metasploit 实现。
规则 已从已承诺的主机启动 PSExec 检测是否要从标记为受损主机的主机启动 PSExec。
规则 已检测到 PSExec 检测是否有任何主机启动 PSExec。
规则 检测到具有不同进程名称的 PSExec 检测是否使用其他名称上载了 PSExec。
规则 使用系统特权启动的命令 Shell 检测是否使用已升级的特权启动命令 shell。 例如,如果常规用户以 Windows 系统用户身份启动命令 shell。
规则 进程基线: 进程已使用系统用户特权启动 提供进程通常以系统特权开头的基线。 此基线由其他规则用于检测新进程是否以系统特权启动。 此基线可指示是否有人尝试执行特权升级。
规则 检测到使用系统用户特权启动的新不可见进程 检测新进程或异常进程是否以系统特权启动。 缺省情况下,此规则处于禁用状态。 作为维护例程的一部分,请在启用此规则之前运行一周的流程基线规则。
规则 流程基线: 流程名称到父流程 提供用于标识每个流程的父流程的基线。 此基线可帮助检测异常进程。
规则 进程基线: 进程名称到散列 提供流程名称及其相应散列的基线。 此基线可帮助检测未知进程是否启动,或者进程是否以新散列启动。 此信息还可用于将 Sysmon 日志与其他日志集成。
规则 检测到单台机器过度使用系统工具 检测来自多个系统工具的单台机器的超额使用情况,例如:
  • lcacl.exe
  • procdump.exe
  • vssadmin.exe
  • accesschk.exe
  • netsh.exe
  • arp.exe
  • systeminfo.exe
  • whoami.exe
规则 检测到配置为使用 PowerShell的服务 检测是否有任何服务配置为使用 PowerShell。
规则 在 Windows 注册表中检测到长整型值 检测攻击者是否尝试使用长整型值 (例如 PowerShell 编码的命令) 来添加或设置注册表键。
规则 检测到具有位于共享文件夹中的可执行二进制文件的服务 检测是否有任何服务配置为从共享文件夹启动可执行二进制文件。
规则 检测到配置为使用管道的服务 检测是否有任何服务配置为连接到管道。
规则 已创建管道,然后更新服务二进制路径以连接到已创建的管道 检测命名管道模拟,这是特权升级的技术。
规则 检测到服务二进制路径已更改,后跟已添加的用户或组 检测是否在服务二进制路径更改后添加了用户或组。
规则 已更新服务二进制路径,后跟来自同一进程的网络连接 检测进程是否尝试配置或添加服务,并检测同一进程是否创建出站连接。
规则 检测到过度执行 SC 命令 检测是否过度使用了服务控制器命令。
规则 检测到具有空间的未加引号的服务二进制路径 检测未加引号的服务二进制路径是否包含空格。 可以利用未括在引号内且在路径中包含空格的文件路径。 例如,C:\Program Files (x86)\
规则 可能的 UAC 旁路-已配置调度任务以使用最高特权运行 检测是否创建了调度任务以使用最高特权运行。
规则 服务二进制路径已更新,随后检测到来自同一进程的 CreateRemoteThread 检测进程是否尝试配置或添加服务,并检测同一进程是否在其他进程中创建线程。
规则 从共享文件夹启动的流程 检测是否有任何进程从共享文件夹启动。
规则 从共享文件夹启动的进程和创建的线程进入另一个进程 检测进程是否从共享文件夹启动并在另一个进程中创建线程。
规则 远程服务已创建 PowerShell 脚本文件 检测是否有任何远程服务 (例如 wsmprovhostpsexesvcwmiprvse) 创建 PowerShell 脚本文件。
规则 LSASS 进程已连接到管道 检测是否有任何管道连接到从本地安全权限子系统服务 (LSASS) 进程启动的活动,这可能会导致转储凭证。
规则 检测到连接到 LSASS 管道的远程服务 检测是否有任何远程服务 (例如 wsmprovhostpsexesvcwmiprvse) 尝试连接到名为 LSASS 的管道。
规则 使用 sdclt 检测到无文件 UAC 旁路 检测使用 sdclt.exe(允许用户运行备份和复原操作的 Windows 进程) 的用户帐户控制 (UAC) 旁路尝试。 缺省情况下, sdclt.exe 以高完整性级别运行。 进程启动后,它将在注册表中查找特定密钥。 如果存在这些密钥,那么它将运行这些密钥。
规则 使用 Fodhelper 检测到无文件 UAC 旁路 通过劫持注册表中的特殊密钥,检测 Fodhelper 进程是否用于在 Windows 10 中绕过 UAC。
规则 使用 Windows 事件查看器检测到无文件 UAC 旁路 检测 Windows 事件查看器是否用于绕过 UAC。
规则 未签名的驱动程序已装入 Windows 内核 检测是否尝试将未签名的驱动程序装入到 Windows 内核中。
规则 已在已承诺的主机中安装服务 检测标记为受损主机的主机上的任何服务安装。
规则 已在已承诺的主机中创建预定任务 检测在标记为受损主机的主机上创建调度任务的任何尝试。
规则 来自已通信主机的过量拒绝 SMB 流量 检测来自受损主机的过量 SMB 流量被拒绝。
规则 尝试从单一源访问管理共享失败次数过多 检测从单个源主机访问管理共享的尝试失败次数过多。
规则 从已压缩主机访问网络共享资源的尝试失败次数过多 检测从受损主机通过网络中的多个主机访问共享文件夹的尝试失败次数过多。
规则 已从已承诺的主机访问网络共享 检测受损主机是否成功访问了共享文件夹。
规则 已在已承诺的主机中添加网络共享 检测受损主机是否添加共享文件夹或文件。
规则 检测到从受损主机到其他主机的 SMB 流量 检测从受损主机到其他主机的出站 SMB 流量。
规则 检测到从受损主机成功登录到其他主机 检测从受损主机到其他主机的成功登录。
规则 已访问管理共享 检测是否访问管理共享。
规则 已添加隐藏网络共享 检测是否创建了隐藏的共享文件。
规则 PowerShell 已启动 检测主机是否启动 PowerShell。
规则 PowerShell 已在已承诺的主机中启动 检测受损主机是否启动 PowerShell。
规则 已在系统中安装恶意服务 检测是否在系统中安装了已知恶意服务。
规则 无子进程已启动/衍生进程 检测计划为无子进程的进程是否启动子进程。
规则 检测到影子副本删除 检测是否删除影子副本。
规则 检测到可疑的 svchost 进程 检测恶意 svchost 进程。
规则 检测到基于 IMP 散列的 Mimikatz 根据是否使用 "调用 Mimikatz PowerShell (IMP) 散列" 来检测 Mimikatz 后开发工具。
规则 已从远程系统启动命令 Shell 或 Powershell 检测是否有任何远程服务 (例如 wsmprovhostpsexesvcwmiprvse) 在远程系统上启动命令 shell 或 PowerShell 。
规则 已执行的 whoami/组 检测 whoami 或组命令是否由任何特权升级技术之前使用。
规则 SAM 注册表键-枚举子键 (用户) 检测枚举 SAM 注册表键的任何尝试。
规则 检测到 SAM 或系统密钥的注册表转储 检测任何转储 SAM 注册表的尝试。
规则 已访问 SAM 注册表键-使用 regedit 检测任何访问 SAM 注册表键的尝试
规则 进程已创建到 LSASS 进程中的线程 检测在 LSASS 进程中创建线程的任何尝试。
规则 未签名的可执行文件已装入 LSASS.exe 检测是否尝试将未签名的可执行文件装入到 LSASS 进程中。
规则 检测到对 LSASS 进程的恶意访问 检测对 LSASS 进程的任何恶意访问。
规则 检测到来自未知调用跟踪的 LSASS 进程的恶意访问 检测访问 LSASS 进程的任何无文件尝试。
规则 从异常目录启动的进程 (Recycle.bin, ..) 检测进程是否从异常目录 (例如回收站) 开始。
规则 检测到可能的凭证转储工具
如果以下任何规则匹配,那么用作额外标记:
  • 检测到对 LSASS 进程的恶意访问
  • 检测到来自未知调用跟踪的 LSASS 进程的恶意访问
  • 检测到 SAM 或系统密钥的注册表转储
  • 进程已创建到 LSASS 进程中的线程
  • SAM 注册表键-枚举子键 (用户)
  • 已访问 SAM 注册表键-使用 regedit
  • 检测到基于 IMP 散列的 Mimikatz
  • 检测到连接到 LSASS 管道的远程服务
  • LSASS 进程已连接到管道
规则 检测到可能的密钥记录器 检测机器是否感染了密钥记录器。
规则 基于带有 qwerty 参数的 rundll32 检测到可能的 Locky Ransomware 检测 Locky 勒索软件的已知签名。
规则 PowerShell 使用编码命令检测到恶意使用情况 已更新以检测 PowerShell的更多恶意使用。
规则 PowerShell 检测到恶意使用情况 已更新以检测 PowerShell的更多恶意使用。
构建块 BB: 已检测到 PSExec 在 PSExec 规则中使用。
构建块 BB: 进程已创建网络连接 在将网络连接与其他活动关联的规则中使用。
构建块 BB: 已访问管理共享 在用于检测具有共享文件夹的任何恶意活动的规则中使用。
构建块 BB: CreateRemoteThread 检测到 用于检测远程线程创建的规则。
构建块 BB: 正常 Windows 进程已访问 LSASS.exe 用于检测 LSASS 进程的规则。
构建块 BB: 检测到 PowerShell 进程 用于检测 PowerShell 进程的规则。
构建块 BB: 已调度任务已创建 Been 在用于检测调度任务的规则中使用。
构建块 BB: 检测到基于流程创建事件部分的已调度任务 1 在根据流程事件创建来检测调度任务的规则中使用。
构建块 BB: 已创建管道 用于检测管道创建的规则。
构建块 BB: 检测到基于流程创建事件部分的已调度任务 2 在根据流程事件创建来检测调度任务的规则中使用。
构建块 BB: 已设置或更新服务二进制路径 在用于检测是否设置或更新服务路径二进制文件的规则中使用。
构建块 BB:CreateRemoteThread排除情况 用于检测远程线程创建的规则。
保存的搜索 进程的异常父代 此搜索根据基线数据显示具有异常父代的任何进程
保存的搜索 Windows 敏感进程检测到的网络连接 此搜索显示从 Windows 敏感进程启动的任何连接。
保存的搜索 对 LSASS 的进程访问权 此搜索显示访问 LSASS 的任何进程。
保存的搜索 通过 WMI 或 PowerShell 此搜索显示远程运行的进程。
保存的搜索 已设置或更新服务二进制路径 此搜索将显示任何新服务或服务二进制文件的位置是否发生更改。
保存的搜索 未知进程散列已启动 此搜索显示任何不可见的进程散列。
保存的搜索 装入到敏感系统进程中的未签名可执行文件 此搜索显示将未签名的可执行文件装入敏感系统进程的任何尝试。
保存的搜索 检测到非常长的命令行 此搜索显示长命令行文本。
引用集 列入白名单的散列 包含列入白名单的散列列表。
引用集 系统工具 包含系统管理员使用的工具列表。
引用集 以系统用户身份启动的进程散列 包含可以从系统级别特权开始的进程散列的列表。
引用集 受损主机 包含使用任何受损主机填充的列表。
引用集 进程名称到散列 包含映射到其散列的流程名称的列表。
引用集 IOC-恶意服务名称 包含已知恶意服务名称的列表。

(返回页首)

IBM Security QRadar Sysmon 内容扩展 1.0.0

下表描述了 IBM Security QRadar Sysmon Content Extension 1.0.0 中包含的更改

类型 名称 修改描述
规则 从临时目录装入的未签名可执行文件或 DLL 检测何时从临时目录装入未分配的可执行文件或 DLL。
规则 从临时目录启动的进程 检测何时从临时目录启动进程。
规则 未签名的可执行文件或装入敏感系统进程的 DLL 检测何时将未分配的可执行文件或 DLL 装入到另一个敏感系统进程中。
规则 进程已创建到系统进程中的线程 检测进程何时在系统进程中创建线程。
规则 进程从临时导向器启动的进程创建了线程 检测进程何时从从临时目录启动的进程创建线程。
规则 进程在另一个进程中创建了线程 检测进程何时在另一进程中创建线程。
规则 PowerShell 检测到恶意使用情况 检测恶意 PowerShell 使用情况。
规则 PowerShell 使用编码命令检测到恶意使用情况 使用编码命令检测恶意 PowerShell 使用情况。
规则 PowerShell 脚本已下载 检测何时下载 PowerShell 脚本。
规则 从异常目录启动的系统进程 检测系统进程何时从异常目录启动。
规则 系统进程的异常父代 检测是否存在系统进程的异常父代。
规则 检测到可疑的 svchost 进程 检测可疑的 svchost 进程。
规则 检测到影子副本删除 检测何时删除影子副本文件。
构建块 BB: 未签名的可执行文件或 DLL 已装入敏感系统进程部件 1 由 "未签名可执行文件" 或 "装入到敏感系统进程中的 DLL" 规则使用。
构建块 BB: 检测到已下载的 PowerShell 脚本 已下载由 PowerShell 脚本使用的规则。
构建块 BB: 使用 EncodedCommand检测到已下载的 PowerShell 脚本 由 PowerShell 通过 "编码命令" 规则检测到的恶意使用情况使用。
定制属性 Image Image:\s(.*)\sImageLoaded
定制属性 ImageName Image:\s(?:.*\\)(.*)\sImageLoaded
定制属性 已签名 Signed:\s(true|false)
定制属性 签名 Signature:\s(.*)\sSignatureStatus
定制属性 SignatureStatus SignatureStatus:\s(Valid)
定制属性 LoadedImage ImageLoaded:\s(.*)\sHashes
定制属性 Image Image:\s(.*)\sCommandLine
定制属性 ImageName Image:\s(?:.*\\)(.*)\sCommandLine
定制属性 ParentImage ParentImage:\s(.*)\sParentCommandLine
定制属性 ParentImageName ParentImage:\s(?:.*\\)(.*)\sParentCommandLine
定制属性 目标映像名称 TargetImage:\s(?:.*\\)(.*)\sNewThreadId
定制属性 SourceImage SourceImage:\s(.*)\sTargetProcessGuid
定制属性 TargetImage TargetImage:\s(.*)\sNewThreadId
定制属性 PS 编码命令 [\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)
定制属性 进程命令行 CommandLine:\s(.*)\sCurrentDirectory
定制属性 SourceImageTempPath SourceImage:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
定制属性 ImageTempPath Image:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
定制属性 ImageLoadedTempPath ImageLoaded:\s+.*((?:Windows\\Temp)|(?:AppData\\Local\\Temp))\\.*
定制属性 进程命令行 Process Command Line:\s*(.*)\s*Token Elevation Type
定制属性 PS 编码命令 Process Command Line:\s*powershell.*[\-^]{1,2}[Ee^]{1,2}[NnCcOoDdEeMmAa^]*[\s^]+(\S+)\s*Token Elevation Type
定制属性 ImageName New Process Name:\s*(?:.*\\)(\S*)\s*Token\sElevation\sType\:
定制属性 SHA1 散列 SHA1=(\w+)
定制属性 MD5 散列 MD5=(\w*)
定制属性 SHA256 散列 SHA256=(\w*)
定制属性 IMP 散列 IMPHASH=(\w*)
定制属性 Image New Process Name:\s*(\S*)\s*Token\sElevation\sType\:
定制函数 base64Decode 将 PowerShell 编码命令中的 base64 文本解码为正常可读字符串。
定制函数 PScmdFilter 从 Sysmon 事件过滤进程命令行。
保存的搜索 检测到非常长的命令行 这是在 Sysmon 事件的长流程命令行上要匹配的事件搜索。
引用集 TempFilePath 包含临时目录的文件路径列表。
引用集 Windows 敏感进程 包含所有 Windows 敏感进程的列表。
引用集 ProcessMaptoProcessPath 包含进程名称以及这些进程的路径的列表。
引用集 ProcessMaptoProcessParentPath 包含流程名称和父流程路径的列表。

(返回页首)