Descripción general de la categoría Amenazas de Windows

Se admite en los siguientes países:

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Amenazas de Windows, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que generan estos conjuntos de reglas.

Los conjuntos de reglas de la categoría Amenazas de Windows ayudan a identificar amenazas en entornos de Microsoft Windows con registros de detección y respuesta de extremos (EDR). Esta categoría incluye los siguientes conjuntos de reglas:

  • PowerShell anómalo: Identifica los comandos de PowerShell que contienen técnicas de ofuscación o algún otro comportamiento anómalo.
  • Actividad de criptomonedas: Actividad asociada con criptomonedas sospechosas.
  • Herramienta de hackeo: Herramienta disponible de forma gratuita que puede considerarse sospechosa, pero que podría ser legítima según el uso que le dé la organización.
  • Robo de información: Son herramientas que se usan para robar credenciales, como contraseñas, cookies, carteras de criptomonedas y otras credenciales sensibles.
  • Acceso inicial: Son herramientas que se usan para obtener una ejecución inicial en una máquina con comportamiento sospechoso.
  • Software legítimo, pero con uso inadecuado: Software legítimo que se sabe que se usa con fines maliciosos.
  • Objetos binarios de Living off the Land (LotL): Son herramientas nativas de los sistemas operativos Microsoft Windows que los agentes de amenazas pueden usar con fines maliciosos.
  • Amenaza nombrada: Comportamiento asociado con un agente de amenazas conocido.
  • Ransomware: Actividad asociada con ransomware.
  • RAT: Son herramientas que se usan para proporcionar comandos y control remotos de los recursos de red.
  • Reducción de la postura de seguridad: Actividad que intenta inhabilitar o disminuir la efectividad de las herramientas de seguridad.
  • Comportamiento sospechoso: Comportamiento sospechoso general.

Tipos de dispositivos y registros compatibles

Los conjuntos de reglas de la categoría Amenazas de Windows se probaron y son compatibles con las siguientes fuentes de datos de EDR compatibles con Google Security Operations:

  • Negro carbón (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Los conjuntos de reglas de la categoría Amenazas de Windows se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con las Operaciones de seguridad de Google:

  • Tanium
  • EDR de Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Comunícate con tu representante de Google Security Operations si recopilas datos de extremos con un software de EDR diferente.

Para obtener una lista de todas las fuentes de datos compatibles con las Operaciones de seguridad de Google, consulta Análisis predeterminados compatibles.

Campos obligatorios que necesita la categoría Amenazas de Windows

En la siguiente sección, se describen los datos específicos que necesitan los conjuntos de reglas de la categoría Amenazas de Windows para obtener el mayor beneficio. Asegúrate de que tus dispositivos estén configurados para registrar los siguientes datos en los registros de eventos del dispositivo.

  • Marca de tiempo del evento
  • Nombre de host: Es el nombre de host del sistema en el que se ejecuta el software de EDR.
  • Proceso principal: Es el nombre del proceso actual que se registra.
  • Ruta de acceso del proceso principal: Es la ubicación en el disco del proceso en ejecución actual, si está disponible.
  • Línea de comandos del proceso principal: Parámetros de la línea de comandos del proceso, si están disponibles.
  • Proceso de destino: Es el nombre del proceso generado que inicia el proceso principal.
  • Ruta de acceso del proceso de destino: Es la ubicación en el disco del proceso de destino, si está disponible.
  • Línea de comandos del proceso de destino: Parámetros de la línea de comandos del proceso de destino, si está disponible.
  • SHA256\MD5 del proceso de destino: Es la suma de verificación del proceso de destino, si está disponible. Se usa para ajustar las alertas.
  • ID de usuario: Es el nombre de usuario del proceso principal.

Alertas de ajuste que muestra la categoría Amenazas de Windows

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.