Ringkasan Kategori Ancaman Windows

Didukung di:

Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Ancaman Windows, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh kumpulan aturan ini.

Kumpulan aturan dalam kategori Ancaman Windows membantu mengidentifikasi ancaman di lingkungan Microsoft Windows menggunakan log Endpoint Detection and Response (EDR). Kategori ini mencakup kumpulan aturan berikut:

  • PowerShell Anomalis: Mengidentifikasi perintah PowerShell yang berisi teknik obfuscation atau perilaku anomali lainnya.
  • Aktivitas Kripto: Aktivitas yang terkait dengan mata uang kripto yang mencurigakan.
  • Alat peretasan: Alat yang tersedia secara bebas dan mungkin dianggap mencurigakan, tetapi mungkin memiliki potensi untuk menjadi sah, bergantung pada penggunaan organisasi.
  • Info Stealer: Alat yang digunakan untuk mencuri kredensial, termasuk sandi, cookie, dompet kripto, dan kredensial sensitif lainnya.
  • Akses Awal: Alat yang digunakan untuk mendapatkan eksekusi awal di komputer dengan perilaku yang mencurigakan.
  • Sah tetapi Disalahgunakan: Software sah yang diketahui disalahgunakan untuk tujuan berbahaya.
  • Biner Living off the Land (LotL): Alat native untuk sistem operasi Microsoft Windows yang dapat disalahgunakan oleh pelaku ancaman untuk tujuan berbahaya.
  • Ancaman Bernama: Perilaku yang terkait dengan pelaku ancaman yang diketahui.
  • Ransomware: Aktivitas yang terkait dengan ransomware.
  • RAT: Alat yang digunakan untuk memberikan perintah dan kontrol jarak jauh atas aset jaringan.
  • Penurunan Postur Keamanan: Aktivitas yang mencoba menonaktifkan atau mengurangi efektivitas alat keamanan.
  • Perilaku Mencurigakan: Perilaku mencurigakan umum.

Perangkat dan jenis log yang didukung

Set aturan dalam kategori Ancaman Windows telah diuji dan didukung dengan sumber data EDR yang didukung Google Security Operations berikut:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Kumpulan aturan dalam kategori Ancaman Windows sedang diuji dan dioptimalkan untuk sumber data EDR yang didukung Google Security Operations berikut:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Hubungi perwakilan Google Security Operations jika Anda mengumpulkan data endpoint menggunakan software EDR yang berbeda.

Untuk daftar semua sumber data yang didukung Google Security Operations, lihat Parser default yang didukung.

Kolom wajib diisi yang diperlukan oleh kategori Ancaman Windows

Bagian berikut menjelaskan data spesifik yang diperlukan oleh kumpulan aturan dalam kategori Windows Threats untuk mendapatkan manfaat terbesar. Pastikan perangkat Anda dikonfigurasi untuk merekam data berikut ke log peristiwa perangkat.

  • Stempel Waktu Peristiwa
  • Nama host: Nama host sistem tempat software EDR berjalan.
  • Proses Utama: Nama proses saat ini yang dicatat ke dalam log.
  • Jalur Proses Utama: Lokasi proses yang sedang berjalan saat ini di disk, jika tersedia.
  • Command Line Proses Utama: Parameter command line proses, jika tersedia.
  • Proses Target: Nama proses yang dihasilkan yang diluncurkan oleh proses utama.
  • Jalur Proses Target: Lokasi proses target di disk, jika tersedia.
  • Command Line Proses Target: Parameter command line proses target, jika tersedia.
  • SHA256\MD5 Proses Target: Checksum proses target, jika tersedia. Ini digunakan untuk menyesuaikan pemberitahuan.
  • ID Pengguna: Nama pengguna proses akun utama.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Ancaman Windows

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.