Sysmon: PowerShell

Sysmon 是 Microsoft Windows 系统服务和设备驱动程序,用于监视系统活动并在 Windows 事件日志中记录事件。 您可以将 Windows 事件日志转发到 QRadar® ,并对其进行分析以检测 Windows 端点上的高级威胁。

Sysmon 用例显示了在用户下载文件附件并在 Windows 工作站上运行该文件附件之后, QRadar 如何检测可疑行为。

当用户单击下载的文件时,该文件将启动一个命令 shell ,该命令 shell 运行 PowerShell 脚本以从外部位置下载和运行文件,这将损害用户的计算机。 现在,攻击者会将其特权升级为系统级别的访问许可权,并下载网络的用户名和密码。 通过登录到对等计算机,攻击者可以横向移动并运行 PowerShell 脚本以在网络中的多台计算机上运行进程。

有关支持 Sysmon: PowerShell 用例的更多 QRadar 内容,请下载 IBM® QRadar Content Extension for Sysmon。 内容包包含可用于检测高级威胁 (例如, PowerShell 滥用,隐藏的 Windows 进程和无文件内存攻击) 的规则,构建块,引用集和定制函数。

模拟威胁

要在 QRadar中运行模拟,请执行以下步骤:
  1. 日志活动 选项卡上,单击 显示体验中心
  2. 单击 威胁模拟器
  3. 找到 Sysmon: PowerShell 模拟,然后单击 运行
日志活动 选项卡上,您可以看到以下用于模拟用例的入局事件:
表 1. Sysmon 的传入事件: PowerShell 用例
内容 描述
事件 流程创建

FileCreate

已在系统中安装服务

CreateRemoteThread
日志源 体验中心: WindowsAuthServer @ EC:<机器名称

体验中心: WindowsAuthServer @ EC:<用户名

这些事件在循环中播放,并且同一用例重复多次。 要停止模拟,请单击 威胁模拟器 选项卡上的 停止

正在检测威胁: QRadar

QRadar 的定制规则引擎 (CRE) 组件负责处理入局事件和流。 CRE 将事件和流与一组测试 (称为规则) 进行比较,并且这些规则在满足特定条件时创建攻击。 CRE 会跟踪一段时间内的规则测试和事件计数。

但知道发生了攻击仅仅是第一步。 QRadar 使您能够更轻松地深入了解并确定发生的方式,发生的位置以及执行操作的人员。 通过对攻击建立索引,具有相同威胁名称的所有事件都显示为单个攻击。

调查威胁

要查看有助于此模拟的 QRadar 内容的列表,包括规则,已保存的搜索,攻击和引用集,请执行以下步骤:
  1. 打开 IBM QRadar Experience Center 应用程序。
  2. 威胁模拟器 窗口中,单击 阅读更多内容 链接以进行模拟,然后选择要复审的内容的类型。

    或者,从 日志活动 选项卡中,您可以运行名为 EC: Sysmon 事件 的快速搜索来查看与攻击关联的所有事件。