Visão geral da categoria de ameaças do Windows

Compatível com:

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Windows, as fontes de dados necessárias e a configuração que pode ser usada para ajustar os alertas gerados por esses conjuntos de regras.

Esses conjuntos de regras fornecem um contexto acionável imediatamente, por meio de detecções e alertas, indicando o que precisa ser investigado com mais detalhes com base nos dados de alerta do endpoint. Eles ajudam a melhorar a capacidade de triagem e monitoramento de eventos de segurança, permitindo que você se concentre em alertas e casos (coleções de alertas) que são maliciosos e acionáveis. Com essas análises selecionadas, você pode priorizar a resposta aos alertas de endpoint, fornecer mais contexto para investigações e melhorar o monitoramento de eventos de segurança usando registros de endpoint.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes do Microsoft Windows usando registros de detecção e resposta de endpoint (EDR, na sigla em inglês). Esta categoria inclui os seguintes conjuntos de regras:

  • PowerShell anormal: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outros comportamentos anormais.
  • Atividade de criptomoeda: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítima, dependendo do uso da organização.
  • Info Stealer: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptomoedas e outras credenciais sensíveis.
  • Acesso inicial: ferramentas usadas para conseguir a execução inicial em uma máquina com comportamento suspeito.
  • Legítimo, mas mal utilizado: software legítimo que é usado indevidamente para fins maliciosos.
  • Binários de exploração de recursos disponíveis (LotL, na sigla em inglês): ferramentas integradas aos sistemas operacionais Microsoft Windows que podem ser usadas de forma maliciosa por agentes de ameaças.
  • Ameaça identificada: comportamento associado a um agente de ameaças conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controle remoto de recursos de rede.
  • Rebaixamento da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.
  • Ameaças da linha de frente da Mandiant: este conjunto de regras contém regras derivadas da investigação e resposta da Mandiant a incidentes ativos em todo o mundo. Essas regras abrangem TTPs comuns, como execução por intérpretes de script (T1059), execução do usuário (T1204) e execução de proxy binário do sistema (T1218).
  • Ameaças emergentes da Mandiant Intel: este conjunto de regras contém regras derivadas das campanhas de inteligência e eventos significativos da Mandiant, que abrangem atividades geopolíticas e de ameaças de grande impacto, conforme avaliado pela Mandiant. Essa atividade pode incluir conflito geopolítico, exploração, phishing, malvertising, ransomware e comprometimento da cadeia de suprimentos.
  • Priorização de alertas para endpoints: esse conjunto de regras utiliza a capacidade encontrada anteriormente no produto Alert, Investigation & Prioritization da Mandiant Automated Defense. Esse conjunto de regras identifica padrões como os seguintes:
    • Progresso do ataque: recursos internos que apresentam vários sinais de comprometimento que, quando considerados em conjunto, aumentam a probabilidade de comprometimento do sistema e, portanto, precisam ser investigados.
    • Malware em recursos internos: recursos internos que apresentam sinais de que o malware alcançou o sistema de arquivos e precisa ser investigado. Os invasores geralmente colocam código malicioso no sistema de arquivos após uma tentativa bem-sucedida de exploração.
    • Ferramentas de hack não autorizadas: recursos internos que mostram atividade de ferramentas de exploração indicando comprometimento do sistema. As ferramentas de exploração são softwares ou ferramentas de hack disponíveis publicamente que podem ser usadas para conseguir e ampliar o acesso a sistemas e são usadas por invasores e equipes de ataque. A observação dessas ferramentas precisa ser investigada se o uso não for explicitamente autorizado por um sistema ou conta.
    • Comportamentos incomuns do processo: recursos internos em que executáveis comuns estão sendo usados de maneira incomum são um indicador forte de um host comprometido. A ocorrência de comportamentos incomuns de "Living off the Land" precisa ser investigada.

O conjunto de regras de priorização de alertas para endpoints está disponível com uma licença do Google Security Operations Enterprise Plus.

Dispositivos e tipos de registro compatíveis

Esta seção lista os dados necessários para cada conjunto de regras.

Os conjuntos de regras na categoria Ameaças do Windows foram testados e são compatíveis com as seguintes fontes de dados de EDR com suporte do Google Security Operations:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Os conjuntos de regras na categoria Ameaças do Windows estão sendo testados e otimizados para as seguintes origens de dados de EDR com suporte às operações de segurança do Google:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Entre em contato com seu representante das Operações de segurança do Google se você estiver coletando dados de endpoint usando um software de EDR diferente.

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Campos obrigatórios da categoria Ameaças do Windows

A seção a seguir descreve os dados específicos necessários para conjuntos de regras na categoria Ameaças do Windows para obter o maior benefício. Verifique se os dispositivos estão configurados para gravar os seguintes dados nos registros de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software EDR está sendo executado.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: local no disco do processo em execução atual, se disponível.
  • Linha de comando do processo principal: parâmetros da linha de comando do processo, se disponível.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: local no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros da linha de comando do processo de destino, se disponível.
  • SHA256\MD5 do processo de destino: soma de verificação do processo de destino, se disponível. Ele é usado para ajustar alertas.
  • ID do usuário: o nome de usuário do processo principal.

Priorização de alertas para o conjunto de regras de endpoints

Este conjunto de regras foi testado e é compatível com as seguintes fontes de dados de EDR com suporte do Google Security Operations:

  • Microsoft Defender para Ponto de Extremidade (MICROSOFT_GRAPH_ALERT)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Priorização de alertas para campos do UDM da regra de endpoint

A seção a seguir descreve os dados de campos do UDM necessários pelo conjunto de regras de priorização de alertas para endpoints. Se você modificar um analisador padrão criando seu próprio analisador personalizado, não altere o mapeamento desses campos. Se você mudar a forma como esses campos são mapeados,poderá afetar o comportamento desse recurso.

Nome do campo do UDM Descrição
metadata.event_type Um tipo de evento normalizado.
metadata.product_name O nome do produto.
security_result.detection_fields["externall_api_type"] Campos para filtrar eventos de interesse.
security_result.threat_name Uma classificação atribuída pelo fornecedor de uma ameaça, como uma família de malware.
security_result.category_details A categoria de malware específica do fornecedor
security_result.summary Um resumo do alerta.
security_result.rule_name Um nome de alerta fornecido pelo fornecedor.
security_result.attack_details Usado para identificar táticas e técnicas do Mitre ATT&CK.
security_result.description Uma breve descrição do alerta.
security_result.action Ação realizada pelo controle.
principal.process.file.names O nome do arquivo do processo em execução.
principal.process.file.full_path Local no disco do processo em execução atual, se disponível.
principal.process.command_line Parâmetros de linha de comando do processo, se disponíveis.
principal.asset.hostname Nome do host do sistema em que o software EDR está sendo executado.
principal.hostname Nome do host do sistema em que o software EDR está sendo executado.
principal.user.userid O nome de usuário do processo principal.
target.file.full_path O nome do arquivo com que o principal está interagindo.
target.file.md5/sha256 Soma de verificação do arquivo de destino, se disponível.

Como ajustar os alertas retornados pela categoria Ameaças do Windows

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

Por exemplo, você pode excluir eventos com base nas seguintes informações:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.