Übersicht über die Windows-Bedrohungskategorie

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Windows-Bedrohungen“, der die erforderlichen Datenquellen und die Konfiguration, mit der Sie die Benachrichtigungen optimieren können, für diese Regelsätze.

Regelsätze in der Kategorie „Windows-Bedrohungen“ helfen bei der Identifizierung von Bedrohungen in Microsoft Windows-Umgebungen mithilfe von EDR-Protokollen (Endpoint Detection and Response) Diese Kategorie umfasst die folgenden Regelsätze:

  • Anomale PowerShell-Instanz: identifiziert PowerShell-Befehle, die Verschleierungstechniken enthalten oder ein anderes ungewöhnliches Verhalten.
  • Krypto-Aktivitäten: Aktivitäten in Verbindung mit verdächtiger Kryptowährung.
  • Hacktool: Ein frei verfügbares Tool, das als verdächtig erachtet wird, abhängig von der Nutzung durch die Organisation möglicherweise legitim zu sein.
  • Informationsdiebstahl: Tools, mit denen Anmeldedaten wie Passwörter, Cookies Krypto-Wallets und andere vertrauliche Anmeldedaten
  • Anfänglicher Zugriff: Tools für die erste Ausführung auf einer Maschine mit verdächtiges Verhalten.
  • Rechtmäßig, aber missbraucht: seriöse Software, die bekanntermaßen missbraucht wird bösartigen Zwecken.
  • LotL-Binärprogramme (Living off the Land): In Microsoft Windows integrierte Tools, die von Bedrohungsakteuren für böswillige Zwecke missbraucht werden können.
  • Benannte Bedrohung: Das Verhalten eines bekannten Angreifers.
  • Ransomware (Erpressungstrojaner): Aktivitäten im Zusammenhang mit Ransomware.
  • RAT: Tools zur Fernsteuerung und Steuerung von Netzwerkressourcen.
  • Downgrade des Sicherheitsstatus: Aktivität, bei der versucht wird, Sicherheitstools zu deaktivieren oder ihre Effektivität zu verringern.
  • Verdächtiges Verhalten: Allgemeines verdächtiges Verhalten.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Windows-Bedrohungen“ wurden getestet und werden unterstützt mit den folgenden von Google Security Operations unterstützten EDR-Datenquellen:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Regelsätze in der Kategorie „Windows-Bedrohungen“ werden getestet und optimiert die folgenden von Google Security Operations unterstützten EDR-Datenquellen:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Zylanze (CYLANCE_PROTECT)

Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, wenn Sie Endpunktdaten mit verschiedene EDR-Software.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Pflichtfelder für die Windows-Bedrohungskategorie

Im folgenden Abschnitt werden spezifische Daten beschrieben, die von Regelsätzen in der Dokumentation zu Windows-Bedrohungen benötigt werden. um den größtmöglichen Nutzen zu erzielen. Prüfen Sie, ob Ihre Geräte für die Aufzeichnung konfiguriert sind die folgenden Daten in Geräteereignisprotokolle.

  • Zeitstempel des Ereignisses
  • Hostname: Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
  • Hauptkontoprozess: Name des aktuellen Prozesses, der protokolliert wird.
  • Hauptprozesspfad: Speicherort auf dem Laufwerk des aktuell laufenden Prozesses, falls verfügbar.
  • Hauptprozess-Befehlszeile: Befehlszeilenparameter des Prozesses, falls verfügbar.
  • Zielprozess: Name des erzeugten Prozesses, der durch den Prinzipalprozess gestartet wird.
  • Zielprozesspfad: Speicherort auf dem Laufwerk des Zielprozesses, falls verfügbar.
  • Zielprozess-Befehlszeile: Befehlszeilenparameter des Zielprozesses, falls verfügbar.
  • SHA256\MD5 des Zielprozesses: Prüfsumme des Zielprozesses, falls verfügbar. Dies wird verwendet, zur Feinabstimmung von Benachrichtigungen.
  • Nutzer-ID: Der Nutzername des Hauptkontoprozesses.

Von der Windows-Bedrohungskategorie zurückgegebene Benachrichtigungen optimieren

Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis von der Auswertung durch Regelsatz oder nach bestimmten Regeln im Regelsatz erfolgen. Einen oder mehrere Regelausschlüsse erstellen um die Anzahl der Erkennungsmechanismen zu reduzieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren für wie das geht.