Panoramica della categoria di minacce Windows

Questo documento fornisce una panoramica delle serie di regole della categoria Windows Threats, la le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati di queste serie di regole.

Le serie di regole nella categoria Minacce Windows consentono di identificare le minacce negli ambienti Microsoft Windows mediante i log di rilevamento e risposta degli endpoint (EDR). Questa categoria include le seguenti serie di regole:

  • PowerShell anomalo: identifica i comandi PowerShell contenenti tecniche di offuscamento o altri comportamenti anomali.
  • Attività di crittografia: attività associata a criptovalute sospette.
  • Hacktool: strumento disponibile gratuitamente che può essere considerato sospetto, ma potenzialmente, a seconda dell'utilizzo da parte dell'organizzazione.
  • Furto di informazioni: strumenti usati per rubare le credenziali, tra cui password, cookie, crypto-wallet e altre credenziali sensibili.
  • Accesso iniziale: strumenti utilizzati per ottenere l'esecuzione iniziale su una macchina con comportamenti sospetti.
  • Legittimo ma improprio: software legittimo che è noto per essere abusato scopi dannosi.
  • Living off the Land (LotL) Binaries: strumenti nativi dei sistemi operativi Microsoft Windows che possono essere utilizzati in modo illecito dagli aggressori per scopi dannosi.
  • Minaccia con nome: comportamento associato a un aggressore noto.
  • Ransomware: attività associata al ransomware.
  • RAT: strumenti utilizzati per il comando e il controllo remoto degli asset di rete.
  • Downgrade della security posture: attività che tenta di disattivare o diminuire l'efficacia degli strumenti di sicurezza.
  • Comportamento sospetto: comportamento sospetto generale.

Dispositivi e tipi di log supportati

I set di regole nella categoria Windows Threats sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google Security Operations:

  • Nero carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Falcon CrowdStrike (CS_EDR)

Le serie di regole nella categoria Windows Threats sono in fase di test e ottimizzazione per le seguenti origini dati EDR supportate da Google Security Operations:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cilindro (CYLANCE_PROTECT)

Contatta il tuo rappresentante Google Security Operations se stai raccogliendo dati degli endpoint utilizzando software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google Security Operations, vedi Parser predefiniti supportati.

Campi obbligatori richiesti dalla categoria Windows Threats

La sezione seguente descrive i dati specifici richiesti dalle serie di regole in Windows Threats per ottenere i migliori vantaggi. Assicurati che i dispositivi siano configurati per registrare i seguenti dati nei log eventi del dispositivo.

  • Timestamp evento
  • Nome host: il nome host del sistema su cui è in esecuzione il software EDR.
  • Processo principale: nome del processo attuale registrato.
  • Percorso processo principale: posizione su disco del processo attuale in esecuzione, se disponibile.
  • Riga di comando del processo principale: parametri della riga di comando del processo, se disponibili.
  • Processo di destinazione: nome del processo generato avviato dal processo principale.
  • Percorso processo di destinazione: posizione su disco del processo di destinazione, se disponibile.
  • Riga di comando del processo di destinazione: parametri della riga di comando del processo di destinazione, se disponibili.
  • SHA256\MD5 processo di destinazione: checksum del processo di destinazione, se disponibile. Questo è utilizzato per ottimizzare gli avvisi.
  • ID utente: il nome utente del processo dell'entità.

Ottimizzazione degli avvisi restituiti dalla categoria Windows Threats

Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.

Un'esclusione di regola definisce i criteri utilizzati per escludere un evento dalla valutazione dalla serie di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Consulta Configurare le esclusioni di regole per informazioni su come fare.