Ringkasan Kategori Ancaman Windows

Didukung di:

Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Ancaman Windows, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh kumpulan aturan ini.

Kumpulan aturan ini memberi Anda konteks yang dapat ditindaklanjuti dengan segera, melalui deteksi dan pemberitahuan, yang menunjukkan apa yang harus diselidiki lebih lanjut dari data pemberitahuan endpoint. Fitur ini membantu meningkatkan kapasitas pemantauan dan pemilihan peristiwa keamanan, sehingga Anda dapat memfokuskan perhatian pada pemberitahuan serta kasus (kumpulan pemberitahuan) yang berbahaya dan dapat ditindaklanjuti. Dengan analisis yang diseleksi ini, Anda dapat memprioritaskan respons terhadap pemberitahuan endpoint, memberikan konteks tambahan untuk investigasi, dan meningkatkan pemantauan peristiwa keamanan menggunakan log endpoint.

Kumpulan aturan dalam kategori Ancaman Windows membantu mengidentifikasi ancaman di lingkungan Microsoft Windows menggunakan log Endpoint Detection and Response (EDR). Kategori ini mencakup kumpulan aturan berikut:

  • PowerShell Anomalis: Mengidentifikasi perintah PowerShell yang berisi teknik obfuscation atau perilaku anomali lainnya.
  • Aktivitas Mata Uang Kripto: Aktivitas yang terkait dengan mata uang kripto yang mencurigakan.
  • Hacktool: Alat yang tersedia secara gratis dan mungkin dianggap mencurigakan, tetapi mungkin memiliki potensi untuk menjadi sah, bergantung pada penggunaan organisasi.
  • Info Stealer: Alat yang digunakan untuk mencuri kredensial, termasuk sandi, cookie, wallet kripto, dan kredensial sensitif lainnya.
  • Akses Awal: Alat yang digunakan untuk mendapatkan eksekusi awal di komputer dengan perilaku yang mencurigakan.
  • Legitimate but Misused: Software yang sah dan diketahui disalahgunakan untuk tujuan berbahaya.
  • Biner Living off the Land (LotL): Alat bawaan sistem operasi Microsoft Windows yang dapat disalahgunakan oleh pelaku ancaman untuk tujuan berbahaya.
  • Ancaman Tertentu: Perilaku yang terkait dengan pelaku ancaman yang diketahui.
  • Ransomware: Aktivitas yang terkait dengan ransomware.
  • RAT: Alat yang digunakan untuk memberikan perintah dan kontrol jarak jauh atas aset jaringan.
  • Downgrade Postur Keamanan: Aktivitas yang mencoba menonaktifkan atau mengurangi efektivitas alat keamanan.
  • Perilaku Mencurigakan: Perilaku mencurigakan umum.
  • Mandiant Front-Line Threats: Kumpulan aturan ini berisi aturan yang berasal dari investigasi dan respons Mandiant terhadap insiden aktif di seluruh dunia. Aturan ini mencakup TTP yang biasa terlihat seperti eksekusi melalui penafsir skrip (T1059), eksekusi pengguna (T1204), dan eksekusi proxy biner sistem (T1218).
  • Mandiant Intel Emerging Threats: Kumpulan aturan ini berisi aturan yang berasal dari Kampanye Intelligence dan Peristiwa Penting Mandiant, yang mencakup aktivitas ancaman dan geopolitik yang sangat berdampak, seperti yang dinilai oleh Mandiant. Aktivitas ini dapat mencakup konflik geopolitik, eksploitasi, phishing, malvertising, ransomware, dan kompromi supply chain.
  • Prioritas Pemberitahuan untuk Endpoint: Kumpulan aturan ini menggunakan kemampuan yang sebelumnya ditemukan di produk Mandiant Automated Defense - Pemberitahuan, Investigasi & Prioritas. Kumpulan aturan ini mengidentifikasi pola seperti berikut:
    • Progres serangan: Aset internal yang menunjukkan beberapa tanda penyusupan yang, jika dipertimbangkan secara bersamaan, meningkatkan kemungkinan sistem disusupi dan oleh karena itu harus diselidiki.
    • Malware di aset internal: Aset internal yang menunjukkan tanda bahwa malware telah mencapai sistem file dan harus diselidiki. Penyerang sering kali melakukan staging kode berbahaya di sistem file setelah upaya eksploitasi berhasil.
    • Alat hack yang tidak sah: Aset internal yang menunjukkan aktivitas alat eksploitasi yang menunjukkan penyusupan sistem. Alat eksploitasi adalah software atau alat hack yang tersedia secara publik yang dapat digunakan untuk mendapatkan dan memperluas akses di sistem serta digunakan oleh penyerang dan tim Red. Penggunaan alat ini harus diselidiki jika penggunaannya tidak diizinkan secara eksplisit oleh sistem atau akun.
    • Perilaku proses yang tidak biasa: Aset internal tempat file yang dapat dijalankan umum digunakan dengan cara yang tidak biasa adalah indikator kuat host yang disusupi. Kejadian perilaku "Living off the Land" yang tidak biasa harus diselidiki.

Kumpulan aturan Prioritas Pemberitahuan untuk Endpoint tersedia dengan lisensi Google Security Operations Enterprise Plus.

Perangkat dan jenis log yang didukung

Bagian ini mencantumkan data yang diperlukan oleh setiap kumpulan aturan.

Kumpulan aturan dalam kategori Ancaman Windows telah diuji dan didukung dengan sumber data EDR yang didukung Google Security Operations berikut:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Kumpulan aturan dalam kategori Ancaman Windows sedang diuji dan dioptimalkan untuk sumber data EDR yang didukung Google Security Operations berikut:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Hubungi perwakilan Google Security Operations jika Anda mengumpulkan data endpoint menggunakan software EDR yang berbeda.

Untuk daftar semua sumber data yang didukung Google Security Operations, lihat Parser default yang didukung.

Kolom wajib diisi yang diperlukan oleh kategori Ancaman Windows

Bagian berikut menjelaskan data spesifik yang diperlukan oleh kumpulan aturan dalam kategori Windows Threats untuk mendapatkan manfaat terbesar. Pastikan perangkat Anda dikonfigurasi untuk merekam data berikut ke log peristiwa perangkat.

  • Stempel Waktu Peristiwa
  • Nama host: Nama host sistem tempat software EDR berjalan.
  • Proses Utama: Nama proses saat ini yang dicatat ke dalam log.
  • Jalur Proses Utama: Lokasi proses yang sedang berjalan saat ini di disk, jika tersedia.
  • Command Line Proses Utama: Parameter command line proses, jika tersedia.
  • Proses Target: Nama proses yang dihasilkan yang diluncurkan oleh proses utama.
  • Jalur Proses Target: Lokasi proses target di disk, jika tersedia.
  • Command Line Proses Target: Parameter command line proses target, jika tersedia.
  • Target Process SHA256\MD5: Checksum proses target, jika tersedia. Ini digunakan untuk menyesuaikan pemberitahuan.
  • ID Pengguna: Nama pengguna proses akun utama.

Prioritas Pemberitahuan untuk kumpulan aturan Endpoints

Kumpulan aturan ini telah diuji dan didukung dengan sumber data EDR yang didukung Google Security Operations berikut:

  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Prioritas Pemberitahuan untuk kolom UDM kumpulan aturan Endpoint

Bagian berikut menjelaskan data kolom UDM yang diperlukan oleh kumpulan aturan Prioritas Pemberitahuan untuk Endpoint. Jika Anda mengubah parser default dengan membuat parser kustom Anda sendiri, pastikan Anda tidak mengubah pemetaan kolom ini. Jika Anda mengubah cara pemetaan kolom ini,Anda dapat memengaruhi perilaku fitur ini.

Nama kolom UDM Deskripsi
metadata.event_type Jenis peristiwa yang dinormalisasi.
metadata.product_name Nama produk.
security_result.detection_fields["externall_api_type"] Kolom untuk memfilter peristiwa yang diinginkan.
security_result.threat_name Klasifikasi ancaman yang ditetapkan vendor seperti keluarga malware.
security_result.category_details Kategori malware khusus vendor
security_result.summary Ringkasan pemberitahuan.
security_result.rule_name Nama pemberitahuan yang diberikan oleh vendor.
security_result.attack_details Digunakan untuk mengidentifikasi taktik dan teknik Mitre ATT&CK.
security_result.description Deskripsi singkat untuk pemberitahuan.
security_result.action Tindakan yang diambil oleh kontrol.
principal.process.file.names Nama file proses yang sedang berjalan.
principal.process.file.full_path Lokasi di disk dari proses yang sedang berjalan saat ini, jika tersedia.
principal.process.command_line Parameter command line proses, jika tersedia.
principal.asset.hostname Nama host sistem tempat software EDR berjalan.
principal.hostname Nama host sistem tempat software EDR berjalan.
principal.user.userid Nama pengguna proses utama.
target.file.full_path Nama file yang berinteraksi dengan akun utama.
target.file.md5/sha256 Checksum file target, jika tersedia.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Ancaman Windows

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan informasi berikut:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.