Descripción general de la categoría de amenazas de Windows

Este documento brinda una descripción general de los conjuntos de reglas de la categoría Amenazas de Windows, el las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas generadas de estos conjuntos de reglas.

Los conjuntos de reglas de la categoría Amenazas de Windows ayudan a identificar las amenazas en los entornos de Microsoft Windows con registros de detección y respuesta del endpoint (EDR). Esta categoría incluye los siguientes conjuntos de reglas:

  • PowerShell anómalo: identifica comandos de PowerShell que contienen técnicas de ofuscación o algún otro comportamiento anómalo.
  • Actividad criptográfica: Actividad asociada con criptomonedas sospechosas
  • Hacktool: Es una herramienta gratuita que puede considerarse sospechosa, pero que puede ser legítimo según el uso de la organización.
  • Ladrón de información: Las herramientas que se utilizan para robar credenciales, como contraseñas, cookies, billeteras virtuales y otras credenciales sensibles.
  • Acceso inicial: Son las herramientas utilizadas para obtener la ejecución inicial en una máquina con sospechoso.
  • Legítimo, pero con uso inadecuado: software legítimo que se sabe que se abusa de con fines maliciosos.
  • Binarios del tipo “vivir de la tierra” (LotL): herramientas nativas de los sistemas operativos Microsoft Windows de las que los agentes de amenazas pueden abusar de ellos con fines maliciosos.
  • Amenaza con nombre: comportamiento asociado con un actor conocido.
  • Ransomware: actividad asociada con el ransomware.
  • RAT: Son herramientas que se utilizan para proporcionar comando y control remotos de los recursos de red.
  • Cambio a una versión inferior de la postura de seguridad: Actividad que intenta inhabilitar o disminuir la eficacia de las herramientas de seguridad.
  • Comportamiento sospechoso: Comportamiento general sospechoso.

Dispositivos y tipos de registros compatibles

Se probaron los conjuntos de reglas de la categoría Amenazas de Windows y se admiten con las siguientes fuentes de datos de EDR compatibles con Google Security Operations:

  • Negro carbón (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Los conjuntos de reglas de la categoría de amenazas de Windows se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con Google Security Operations:

  • Tanium
  • EDR de Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Clásico (CYLANCE_PROTECT)

Comunícate con tu representante de Google Security Operations si recopilas datos de extremos usando diferente software de EDR.

Para obtener una lista de todas las fuentes de datos compatibles con Google Security Operations, consulta Analizadores predeterminados admitidos.

Campos obligatorios necesarios para la categoría de amenazas de Windows

En la siguiente sección, se describen los datos específicos que necesitan los conjuntos de reglas en el programa de amenazas de Windows para obtener el mayor beneficio. Asegúrate de que los dispositivos estén configurados para grabar los siguientes datos a los registros de eventos del dispositivo.

  • Marca de tiempo del evento
  • Nombre de host: Es el nombre de host del sistema en el que se ejecuta el software EDR.
  • Proceso principal: nombre del proceso actual que se registra.
  • Ruta del proceso principal: Ubicación en el disco del proceso en ejecución actual, si está disponible.
  • Línea de comandos del proceso principal: Son los parámetros de la línea de comandos del proceso, si están disponibles.
  • Proceso objetivo: Nombre del proceso generado que inicia el proceso principal
  • Ruta del proceso de destino: Es la ubicación en el disco del proceso de destino, si está disponible.
  • Línea de comandos del proceso de destino: Son los parámetros de la línea de comandos del proceso de destino, si están disponibles.
  • Proceso de destino SHA256\MD5: suma de comprobación del proceso objetivo, si está disponible. Se usa para ajustar las alertas.
  • ID de usuario: el nombre de usuario del proceso principal.

Ajuste de alertas que muestra la categoría de amenazas de Windows

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de que no sea evaluado por el conjunto de reglas o según reglas específicas en el conjunto. Cree una o más exclusiones de reglas para reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para información sobre cómo hacerlo.