Windows 脅威のカテゴリの概要

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

Windows 脅威カテゴリのルールセットは、エンドポイントの検出と対応（EDR）ログを使用して Microsoft Windows 環境内の脅威を識別するのに役立ちます。このカテゴリには、次のルールセットがあります。

異常な PowerShell: 難読化手法やその他の異常な動作を含む PowerShell コマンドを識別します。
Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
環境寄生型（LotL）バイナリ: Microsoft Windows オペレーティングシステムに固有で、悪意のある人物によって悪意ある目的で使用される可能性があるツール。
Named Threat: 既知の脅威アクターに関連する行動。
Ransomware: ランサムウェアに関連するアクティビティ。
RAT: ネットワーク資産のリモートコマンドとコントロールの提供に使用するツール。
Security Posture Downgrade: セキュリティツールの有効性を無効化または低下しようとするアクティビティ。
Suspicious Behavior: 全般的な不審な動作。

サポート対象のデバイスとログタイプ

Windows 脅威のカテゴリのルールセットはテスト済みであり、Google Security Operations のサポート対象となっている次の EDR データソースでサポートされています。

Windows 脅威のカテゴリのルールセットは、Google Security Operations のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

別の EDR ソフトウェアを使用してエンドポイントデータを収集している場合は、Google Security Operations の担当者にお問い合わせください。

Google Security Operations がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

次のセクションでは、Windows 脅威カテゴリのルールセットで最大の利点を得るために必要な特定のデータについて説明します。デバイスが次のデータをデバイスのイベントログに記録するように構成されていることを確認してください。

ルールの除外を使用して、ルールまたはルールセットによって生成される検出の数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。