Übersicht über die Kategorie „Windows-Bedrohungen“

Unterstützt in:

In diesem Dokument finden Sie eine Übersicht über die Regelsätze in der Kategorie „Windows-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Mit Regelsätzen in der Kategorie „Windows-Bedrohungen“ können Sie Bedrohungen in Microsoft Windows-Umgebungen anhand von EDR-Logs (Endpoint Detection and Response) erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

  • Anomaler PowerShell-Code: Hier werden PowerShell-Befehle erkannt, die Obfuscation-Techniken oder anderes anormales Verhalten enthalten.
  • Kryptoaktivität: Aktivität im Zusammenhang mit verdächtiger Kryptowährung.
  • Hacktool: Ein frei verfügbares Tool, das als verdächtig eingestuft werden kann, aber je nach Verwendung durch die Organisation möglicherweise legitim ist.
  • Info Stealer: Tools, mit denen Anmeldedaten wie Passwörter, Cookies, Krypto-Wallets und andere vertrauliche Anmeldedaten gestohlen werden.
  • Erster Zugriff: Tools, die zum ersten Ausführen auf einem Computer mit verdächtigem Verhalten verwendet werden.
  • Legal, aber missbraucht: Legale Software, die bekanntlich für böswillige Zwecke missbraucht wird.
  • Living-Off-the-Land-Binaries (LoLBinaries): Native Tools für Microsoft-Windows-Betriebssysteme, die von Angreifern für böswillige Zwecke missbraucht werden können.
  • Bekannte Bedrohung: Verhalten, das mit einem bekannten Bedrohungsakteur in Verbindung steht.
  • Ransomware: Aktivität im Zusammenhang mit Ransomware.
  • RAT: Tools, die für die Remote-Befehls- und ‑Steuerung von Netzwerk-Assets verwendet werden.
  • Herabstufung des Sicherheitsstatus: Aktivität, bei der versucht wird, Sicherheitstools zu deaktivieren oder ihre Effektivität zu verringern.
  • Verdächtiges Verhalten: Allgemeines verdächtiges Verhalten.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Windows-Bedrohungen“ wurden getestet und werden von den folgenden EDR-Datenquellen unterstützt, die von Google Security Operations unterstützt werden:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Regelsätze in der Kategorie „Windows-Bedrohungen“ werden für die folgenden von Google Security Operations unterstützten EDR-Datenquellen getestet und optimiert:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Wenden Sie sich an Ihren Ansprechpartner bei Google Security Operations, wenn Sie Endpunktdaten mit einer anderen EDR-Software erfassen.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Pflichtfelder für die Kategorie „Windows-Bedrohungen“

Im folgenden Abschnitt werden bestimmte Daten beschrieben, die Regelsätze in der Kategorie „Windows-Bedrohungen“ benötigen, um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokollen aufgezeichnet werden.

  • Zeitstempel des Ereignisses
  • Hostname: Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
  • Hauptprozess: Name des aktuellen protokollierten Prozesses.
  • Pfad des Hauptprozesses: Speicherort auf dem Laufwerk des aktuell laufenden Prozesses, falls verfügbar.
  • Befehlszeile des Hauptprozesses: Befehlszeilenparameter des Prozesses, sofern verfügbar.
  • Zielprozess: Name des Prozesses, der vom Hauptprozess gestartet wird.
  • Pfad zum Zielprozess: Speicherort des Zielprozesses auf dem Laufwerk, falls verfügbar.
  • Befehlszeile des Zielprozesses: Befehlszeilenparameter des Zielprozesses, falls verfügbar.
  • SHA256\MD5 des Zielprozesses: Prüfsumme des Zielprozesses, falls verfügbar. Damit können Benachrichtigungen angepasst werden.
  • Nutzer-ID: Der Nutzername des Hauptprozesses.

Optimierungswarnungen, die von der Kategorie „Windows-Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder durch bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie eine oder mehrere Regelausschlüsse, um die Anzahl der erkannten Probleme zu reduzieren. Weitere Informationen dazu finden Sie unter Ausschlüsse für Regeln konfigurieren.