Visão geral da categoria de ameaças do Windows

Compatível com:

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Windows, as fontes de dados necessárias e a configuração que pode ser usada para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes Microsoft Windows usando registros de detecção e resposta de endpoint (EDR). Essa categoria inclui os seguintes grupos de regras:

  • PowerShell anormal: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outros comportamentos anormais.
  • Atividade de criptomoeda: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítimos dependendo do uso da organização.
  • Roubo de informações: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptomoedas e outras credenciais sensíveis.
  • Acesso inicial: ferramentas usadas para conseguir a execução inicial em uma máquina com comportamento suspeito.
  • Legítimo, mas mal utilizado: software legítimo que é conhecido por ser abusado para fins maliciosos.
  • Binários living off the land (LotL): ferramentas nativas dos sistemas operacionais Microsoft Windows que podem ser usadas de forma maliciosa por agentes de ameaças.
  • Ameaça nomeada: comportamento associado a um agente de ameaças conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controle remoto de recursos de rede.
  • Redução da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras da categoria "Ameaças do Windows" foram testados e têm suporte com as seguintes fontes de dados de EDR compatíveis com as Operações de segurança do Google:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Os conjuntos de regras da categoria "Ameaças do Windows" estão sendo testados e otimizados para as seguintes fontes de dados de EDR compatíveis com as Operações de segurança do Google:

  • Tanium
  • EDR da Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cilíndricos (CYLANCE_PROTECT)

Entre em contato com seu representante de Operações de segurança do Google se estiver coletando dados de endpoints usando diferentes softwares de EDR.

Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Campos obrigatórios para a categoria de ameaças do Windows

A seção a seguir descreve os dados específicos necessários para os conjuntos de regras na Central de Ameaças do Windows categoria para ter o maior benefício. Verifique se os dispositivos estão configurados para gravar os seguintes dados nos registros de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software EDR está sendo executado.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: local no disco do processo em execução atual, se disponível.
  • Linha de comando do processo principal: parâmetros de linha de comando do processo, se disponíveis.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: localização no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros de linha de comando do processo de destino, se disponíveis.
  • SHA256\MD5 do processo de destino: soma de verificação do processo de destino, se disponível. Isso é usado para ajustar alertas.
  • User-ID: o nome de usuário do processo principal.

Como ajustar os alertas retornados pela categoria Ameaças do Windows

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando regras de exclusão.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pela pelo grupo de regras ou por regras específicas do grupo de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.