Windows 威胁类别概览
本文档将概述“Windows 威胁”类别下的规则集, 所需的数据源,以及可用于调整 这些规则集。
“Windows 威胁”类别中的规则集有助于识别 Microsoft Windows 环境中的威胁 使用终端检测与响应 (EDR) 日志。此类别包括以下规则集:
- Anomalous PowerShell:识别包含混淆技术的 PowerShell 命令 或其他异常行为
- 加密活动:与可疑的加密货币相关的活动。
- Hacktool:可能被认为可疑但 可能合法,具体取决于组织的用途。
- 信息窃取:用于窃取凭据(包括密码、Cookie 加密货币钱包和其他敏感凭据。
- 初始访问:用于在具有如下特征的机器上进行初始执行的工具: 可疑行为
- 合法但遭到滥用:已知会出于以下目的滥用的合法软件 。
- 生活在地
- 指定威胁:与已知威胁行为者相关的行为。
- 勒索软件:与勒索软件相关的活动。
- RAT:用于提供网络资产远程命令和控制的工具。
- 安全状况降级:尝试停用或降低安全工具效率的活动。
- 可疑行为:常见的可疑行为。
支持的设备和日志类型
“Windows 威胁”类别中的规则集已经过测试并受支持 替换为以下 Google Security Operations 支持的 EDR 数据源:
- 碳黑 (
CB_EDR) - Microsoft Sysmon (
WINDOWS_SYSMON) - SentinelOne (
SENTINEL_EDR) - CrowdStrike Falcon(
CS_EDR)
Windows 威胁 类别中的规则集正针对 以下 Google Security Operations 支持的 EDR 数据源:
- Tanium
- 网购季 EDR (
CYBEREASON_EDR) - Lima Charlie (
LIMACHARLIE_EDR) - OSQuery
- Zeek
- 圆形 (
CYLANCE_PROTECT)
如果您要使用 不同的 EDR 软件。
如需查看 Google Security Operations 支持的所有数据源的列表,请参阅 支持的默认解析器。
Windows 威胁类别所需的必填字段
以下部分介绍了 Windows 威胁防护规则集所需的特定数据 以获得最大收益。确保您的设备已配置为可录制 将以下数据复制到设备事件日志中。
- 事件时间戳
- 主机名 :运行 EDR 软件的系统的主机名。
- 主账号进程:正在记录的当前进程的名称。
- 主账号进程路径:当前正在运行的进程在磁盘上的位置(如果有)。
- 主账号进程命令行:进程的命令行参数(如果有)。
- 目标进程:主进程启动的派生进程的名称。
- 目标进程路径:目标进程在磁盘上的位置(如果有)。
- 目标进程命令行:目标进程的命令行参数(如果有)。
- 目标进程 SHA256\MD5:目标进程的校验和(如果有)。这是 来调整提醒。
- 用户 ID:主账号进程的用户名。
“Windows 威胁”类别返回的调整提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
规则排除可定义用于将事件排除在被 或按规则集中的特定规则创建创建一个或多个规则排除项 以帮助减少检测量。如需了解更多详情,请参阅配置规则排除对象 了解有关具体操作方法的信息。