Übersicht über die Windows-Bedrohungskategorie

Dieses Dokument bietet eine Übersicht über die Regelsätze in der Kategorie „Windows-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätze generierten Benachrichtigungen optimieren können.

Regelsätze in der Kategorie „Windows-Bedrohungen“ helfen bei der Identifizierung von Bedrohungen in Microsoft Windows-Umgebungen mithilfe von EDR-Logs (Endpoint Detection and Response). Diese Kategorie umfasst die folgenden Regelsätze:

  • Anomaler PowerShell-Befehl: identifiziert PowerShell-Befehle, die Verschleierungstechniken oder anderes ungewöhnliches Verhalten enthalten.
  • Krypto-Aktivitäten: Aktivitäten in Verbindung mit verdächtiger Kryptowährung.
  • Hacktool: Ein frei verfügbares Tool, das als verdächtig eingestuft werden kann, aber je nach Nutzung durch die Organisation möglicherweise legitim ist.
  • Informationsdiebstahl: Tools, mit denen Anmeldedaten wie Passwörter, Cookies, Krypto-Wallets und andere vertrauliche Anmeldedaten gestohlen werden können.
  • Anfänglicher Zugriff: Tools für die erste Ausführung auf einer Maschine mit verdächtigem Verhalten.
  • Rechtmäßig, aber missbraucht: Legitime Software, die bekanntermaßen zu böswilligen Zwecken missbraucht wird.
  • LotL-Binärprogramme (Living off the Land): In Microsoft Windows integrierte Tools, die von Bedrohungsakteuren für böswillige Zwecke missbraucht werden können.
  • Benannte Bedrohung: Das Verhalten eines bekannten Angreifers.
  • Ransomware (Erpressungstrojaner): Aktivitäten im Zusammenhang mit Ransomware.
  • RAT: Tools zur Fernsteuerung und Steuerung von Netzwerkressourcen.
  • Downgrade des Sicherheitsstatus: Aktivität, bei der versucht wird, Sicherheitstools zu deaktivieren oder ihre Effektivität zu verringern.
  • Verdächtiges Verhalten: Allgemeines verdächtiges Verhalten.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Windows-Bedrohungen“ wurden getestet und werden von den folgenden von Google Security Operations unterstützten EDR-Datenquellen unterstützt:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Regelsätze in der Kategorie „Windows-Bedrohungen“ werden für die folgenden von Google Security Operations unterstützten EDR-Datenquellen getestet und optimiert:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Zylanze (CYLANCE_PROTECT)

Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, wenn Sie Endpunktdaten mit einer anderen EDR-Software erfassen.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Pflichtfelder für die Windows-Bedrohungskategorie

Im folgenden Abschnitt werden spezifische Daten beschrieben, die von Regelsätzen in der Kategorie „Windows-Bedrohungen“ benötigt werden, um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokollen aufgezeichnet werden.

  • Zeitstempel des Ereignisses
  • Hostname: Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
  • Hauptkontoprozess: Name des aktuellen Prozesses, der protokolliert wird.
  • Hauptprozesspfad: Speicherort auf dem Laufwerk des aktuell laufenden Prozesses, falls verfügbar.
  • Hauptprozess-Befehlszeile: Befehlszeilenparameter des Prozesses, falls verfügbar.
  • Zielprozess: Name des erzeugten Prozesses, der durch den Prinzipalprozess gestartet wird.
  • Zielprozesspfad: Speicherort auf dem Laufwerk des Zielprozesses, falls verfügbar.
  • Zielprozess-Befehlszeile: Befehlszeilenparameter des Zielprozesses, falls verfügbar.
  • SHA256\MD5 des Zielprozesses: Prüfsumme des Zielprozesses, falls verfügbar. Damit werden Benachrichtigungen abgestimmt.
  • Nutzer-ID: Der Nutzername des Hauptkontoprozesses.

Von der Windows-Bedrohungskategorie zurückgegebene Benachrichtigungen optimieren

Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der Erkennungen zu verringern. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.