Visão geral da categoria de ameaças do Windows

Compatível com:

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Windows, as fontes de dados necessárias e a configuração que pode ser usada para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes do Microsoft Windows usando registros de detecção e resposta de endpoint (EDR, na sigla em inglês). Esta categoria inclui os seguintes conjuntos de regras:

  • PowerShell anormal: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outros comportamentos anormais.
  • Atividade de criptomoeda: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítima, dependendo do uso da organização.
  • Roubo de informações: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptomoedas e outras credenciais sensíveis.
  • Acesso inicial: ferramentas usadas para conseguir a execução inicial em uma máquina com comportamento suspeito.
  • Legítimo, mas mal utilizado: software legítimo que é conhecido por ser abusado para fins maliciosos.
  • Binários living off the land (LotL): ferramentas nativas dos sistemas operacionais Microsoft Windows que podem ser usadas de forma maliciosa por agentes de ameaças.
  • Ameaça nomeada: comportamento associado a um agente de ameaças conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controle remoto de recursos de rede.
  • Rebaixamento da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria Ameaças do Windows foram testados e são compatíveis com as seguintes origens de dados de EDR com suporte do Google Security Operations:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Os conjuntos de regras na categoria "Ameaças do Windows" estão sendo testados e otimizados para as seguintes fontes de dados de EDR com suporte às Operações de Segurança do Google:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Entre em contato com seu representante das Operações de segurança do Google se você estiver coletando dados de endpoint usando um software de EDR diferente.

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Campos obrigatórios da categoria Ameaças do Windows

A seção a seguir descreve os dados específicos necessários para conjuntos de regras na categoria Ameaças do Windows para obter o maior benefício. Verifique se os dispositivos estão configurados para gravar os seguintes dados nos registros de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software EDR está sendo executado.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: local no disco do processo em execução atual, se disponível.
  • Linha de comando do processo principal: parâmetros da linha de comando do processo, se disponível.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: local no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros da linha de comando do processo de destino, se disponível.
  • SHA256\MD5 do processo de destino: soma de verificação do processo de destino, se disponível. Ele é usado para ajustar alertas.
  • ID do usuário: o nome de usuário do processo principal.

Como ajustar os alertas retornados pela categoria Ameaças do Windows

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.