Übersicht über die Kategorie „Windows-Bedrohungen“

Unterstützt in:

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Windows-Bedrohungen“, der die erforderlichen Datenquellen und die Konfiguration, mit der Sie die Benachrichtigungen optimieren können, für diese Regelsätze.

Regelsätze in der Kategorie „Windows-Bedrohungen“ helfen bei der Identifizierung von Bedrohungen in Microsoft Windows-Umgebungen mithilfe von EDR-Protokollen (Endpoint Detection and Response) Diese Kategorie umfasst die folgenden Regelsätze:

  • Anomale PowerShell-Instanz: identifiziert PowerShell-Befehle, die Verschleierungstechniken enthalten oder ein anderes ungewöhnliches Verhalten.
  • Kryptoaktivität: Aktivität im Zusammenhang mit verdächtiger Kryptowährung.
  • Hacktool: Ein frei verfügbares Tool, das als verdächtig eingestuft werden kann, aber je nach Verwendung durch die Organisation möglicherweise legitim ist.
  • Info Stealer: Tools, mit denen Anmeldedaten wie Passwörter, Cookies, Krypto-Wallets und andere vertrauliche Anmeldedaten gestohlen werden.
  • Anfänglicher Zugriff: Tools für die erste Ausführung auf einer Maschine mit verdächtiges Verhalten.
  • Legal, aber missbraucht: Legale Software, die bekanntlich für böswillige Zwecke missbraucht wird.
  • Living-off-the-Land-Binaries (LoLBinaries): Native Tools für Microsoft-Windows-Betriebssysteme, die von Angreifern für böswillige Zwecke missbraucht werden können.
  • Benannte Bedrohung: Das Verhalten eines bekannten Angreifers.
  • Ransomware (Erpressungstrojaner): Aktivitäten im Zusammenhang mit Ransomware.
  • RAT: Tools zur Fernsteuerung und Steuerung von Netzwerkressourcen.
  • Herabstufung des Sicherheitsstatus: Aktivität, bei der versucht wird, Sicherheitstools zu deaktivieren oder ihre Effektivität zu verringern.
  • Verdächtiges Verhalten: Allgemeines verdächtiges Verhalten.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Windows-Bedrohungen“ wurden getestet und werden unterstützt mit den folgenden von Google Security Operations unterstützten EDR-Datenquellen:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Regelsätze in der Kategorie „Windows-Bedrohungen“ werden für die folgenden von Google Security Operations unterstützten EDR-Datenquellen getestet und optimiert:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, wenn Sie Endpunktdaten mit verschiedene EDR-Software.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Pflichtfelder für die Kategorie „Windows-Bedrohungen“

Im folgenden Abschnitt werden spezifische Daten beschrieben, die von Regelsätzen in der Dokumentation zu Windows-Bedrohungen benötigt werden. um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokollen aufgezeichnet werden.

  • Zeitstempel des Ereignisses
  • Hostname: Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
  • Hauptkontoprozess: Name des aktuellen Prozesses, der protokolliert wird.
  • Pfad des Hauptprozesses: Speicherort auf dem Laufwerk des aktuell laufenden Prozesses, falls verfügbar.
  • Befehlszeile des Hauptprozesses: Befehlszeilenparameter des Prozesses, sofern verfügbar.
  • Zielprozess: Name des Prozesses, der vom Hauptprozess gestartet wird.
  • Pfad zum Zielprozess: Speicherort des Zielprozesses auf dem Laufwerk, sofern verfügbar.
  • Befehlszeile des Zielprozesses: Befehlszeilenparameter des Zielprozesses, sofern verfügbar.
  • SHA256\MD5 des Zielprozesses: Prüfsumme des Zielprozesses, falls verfügbar. Dies wird verwendet, zur Feinabstimmung von Benachrichtigungen.
  • Nutzer-ID: Der Nutzername des Hauptkontoprozesses.

Optimierungswarnungen, die von der Kategorie „Windows-Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis von der Auswertung durch Regelsatz oder nach bestimmten Regeln im Regelsatz erfolgen. Einen oder mehrere Regelausschlüsse erstellen um die Anzahl der Erkennungsmechanismen zu reduzieren. Weitere Informationen dazu finden Sie unter Ausschlüsse für Regeln konfigurieren.