Windows 威胁类别概览
本文档简要介绍了“Windows 威胁”类别中的规则集、所需的数据源,以及可用于调整这些规则集生成的提醒的配置。
“Windows 威胁”类别中的规则集有助于使用端点检测和响应 (EDR) 日志来识别 Microsoft Windows 环境中的威胁。此类别包括以下规则集:
- Anomalous PowerShell:识别包含混淆技术或其他异常行为的 PowerShell 命令。
- 加密活动:与可疑的加密货币相关的活动。
- Hacktool:可免费使用的工具,该工具可能会被视为可疑工具,但根据组织的用途,可能合法。
- 信息窃取程序:用于窃取凭据(包括密码、Cookie、加密货币钱包和其他敏感凭据)的工具。
- 初始访问:用于在具有可疑行为的机器上进行初始执行的工具。
- 合法但被滥用:众所周知被用于恶意目的的合法软件。
- 生活在地
- 指定威胁:与已知威胁行为者相关的行为。
- 勒索软件:与勒索软件相关的活动。
- RAT:用于提供网络资产远程命令和控制的工具。
- 安全状况降级:尝试停用或降低安全工具效率的活动。
- 可疑行为:常见的可疑行为。
支持的设备和日志类型
“Windows 威胁”类别中的规则集已经过测试,并支持 Google Security Operations 的以下 EDR 数据源:
- 碳黑 (
CB_EDR) - Microsoft Sysmon (
WINDOWS_SYSMON) - SentinelOne (
SENTINEL_EDR) - CrowdStrike Falcon(
CS_EDR)
“Windows 威胁”类别中的规则集正在针对以下 Google Security Operations 支持的 EDR 数据源进行测试和优化:
- Tanium
- 网购季 EDR (
CYBEREASON_EDR) - Lima Charlie (
LIMACHARLIE_EDR) - OSQuery
- 泽克
- 圆形 (
CYLANCE_PROTECT)
如果您要使用其他 EDR 软件收集端点数据,请与您的 Google Security Operations 代表联系。
如需查看 Google Security Operations 支持的所有数据源的列表,请参阅支持的默认解析器。
Windows 威胁类别所需的必填字段
以下部分介绍了“Windows 威胁”类别中的规则集需要哪些特定数据才能获得最大收益。确保您的设备已配置为将以下数据记录到设备事件日志中。
- 事件时间戳
- 主机名 :运行 EDR 软件的系统的主机名。
- 主账号进程:正在记录的当前进程的名称。
- 主账号进程路径:当前正在运行的进程在磁盘上的位置(如果有)。
- 主账号进程命令行:进程的命令行参数(如果有)。
- 目标进程:主进程启动的派生进程的名称。
- 目标进程路径:目标进程在磁盘上的位置(如果有)。
- 目标进程命令行:目标进程的命令行参数(如果有)。
- 目标进程 SHA256\MD5:目标进程的校验和(如果有)。这用于调整提醒。
- 用户 ID:主账号进程的用户名。
“Windows 威胁”类别返回的调整提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
规则排除项定义了用于将事件排除在规则集或规则集中特定规则评估范围之外的条件。创建一个或多个规则排除项有助于减少检测量。如需了解如何执行此操作,请参阅配置规则排除项。