Panoramica della categoria Minacce di Windows

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce di Windows, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi insiemi di regole.

Gli insiemi di regole nella categoria Minacce di Windows consentono di identificare le minacce negli ambienti Microsoft Windows utilizzando i log di rilevamento e risposta degli endpoint (EDR). Questa categoria include le seguenti serie di regole:

  • PowerShell anomalo: identifica i comandi PowerShell contenenti tecniche di offuscamento o altri comportamenti anomali.
  • Attività di crittografia: attività associata a criptovalute sospette.
  • Hacktool: strumento disponibile gratuitamente che potrebbe essere considerato sospetto, ma potrebbe essere potenzialmente legittimo a seconda dell'utilizzo da parte dell'organizzazione.
  • Furto di informazioni: strumenti usati per rubare le credenziali, tra cui password, cookie, crypto-wallet e altre credenziali sensibili.
  • Accesso iniziale: strumenti utilizzati per ottenere l'esecuzione iniziale su una macchina con comportamento sospetto.
  • Legittimo, ma utilizzato in modo improprio: software legittimo di cui è noto che viene utilizzato in modo improprio per scopi dannosi.
  • Living off the Land (LotL) Binaries: strumenti nativi dei sistemi operativi Microsoft Windows che possono essere utilizzati in modo illecito dagli aggressori per scopi dannosi.
  • Minaccia con nome: comportamento associato a un aggressore noto.
  • Ransomware: attività associata al ransomware.
  • RAT: strumenti utilizzati per fornire il comando e il controllo remoto delle risorse di rete.
  • Downgrade della condizione di sicurezza: attività che tentano di disattivare o ridurre l'efficacia degli strumenti di sicurezza.
  • Comportamento sospetto: comportamento sospetto generale.

Dispositivi e tipi di log supportati

I set di regole nella categoria Windows Threats sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google Security Operations:

  • Nero carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Falcon CrowdStrike (CS_EDR)

Le serie di regole nella categoria Windows Threats sono in fase di test e ottimizzazione per le seguenti origini dati EDR supportate da Google Security Operations:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cilindro (CYLANCE_PROTECT)

Contatta il tuo rappresentante di Google Security Operations se raccogli i dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Campi obbligatori richiesti dalla categoria Windows Threats

La sezione seguente descrive i dati specifici necessari per gli insiemi di regole nella categoria Minacce di Windows per ottenere il massimo vantaggio. Assicurati che i dispositivi siano configurati per registrare i seguenti dati nei log eventi del dispositivo.

  • Timestamp evento
  • Nome host: il nome host del sistema su cui è in esecuzione il software EDR.
  • Processo principale: nome del processo attuale registrato.
  • Percorso del processo principale: posizione sul disco del processo in esecuzione corrente, se disponibile.
  • Riga di comando del processo principale: parametri della riga di comando del processo, se disponibili.
  • Processo target: il nome del processo generato avviato dal processo principale.
  • Percorso processo di destinazione: posizione su disco del processo di destinazione, se disponibile.
  • Riga di comando del processo di destinazione: parametri della riga di comando del processo di destinazione, se disponibili.
  • SHA256\MD5 processo di destinazione: checksum del processo di destinazione, se disponibile. Questo è utilizzato per ottimizzare gli avvisi.
  • ID utente: il nome utente del processo dell'entità.

Avvisi di ottimizzazione restituiti dalla categoria Minacce di Windows

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Consulta Configurare le esclusioni di regole per informazioni su come fare.