Présentation de la catégorie des menaces Windows

Ce document présente les ensembles de règles de la catégorie "Menaces Windows", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide de journaux EDR (Endpoint Detection and Response). Cette catégorie comprend les jeux de règles suivants:

  • PowerShell anormal: identifie les commandes PowerShell contenant des techniques d'obscurcissement ou d'autres comportements anormaux.
  • Activité de cryptomonnaie: activité associée à une cryptomonnaie suspecte
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut être légitime en fonction de l'utilisation de l'organisation.
  • Vol d'informations: outils utilisés pour voler des identifiants, y compris des mots de passe, des cookies, des portefeuilles de cryptomonnaie et d'autres identifiants sensibles.
  • Accès initial: outils permettant d'obtenir l'exécution initiale sur une machine présentant un comportement suspect.
  • Contenu légitime, mais mal utilisé: logiciel légitime connu pour avoir été utilisé de manière abusive à des fins malveillantes.
  • Living on the Land (LotL) Binaries: outils natifs des systèmes d'exploitation Microsoft Windows qui peuvent être détournés par des acteurs malveillants à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur malveillant connu
  • Ransomware: activité associée à un rançongiciel.
  • RAT: outils utilisés pour fournir une commande et un contrôle à distance des ressources réseau.
  • Rétrogradation de la stratégie de sécurité: activité visant à désactiver les outils de sécurité ou à en réduire l'efficacité.
  • Comportement suspect: comportement suspect d'ordre général.

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Les ensembles de règles de la catégorie "Menaces Windows" sont en cours de test et d'optimisation pour les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Google Security Operations si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez Analyseurs par défaut compatibles.

Champs obligatoires requis par la catégorie "Menaces Windows"

La section suivante décrit les données spécifiques nécessaires aux ensembles de règles de la catégorie "Menaces Windows" pour obtenir le plus d'avantages. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans leurs journaux d'événements.

  • Code temporel de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR s'exécute.
  • Processus principal: nom du processus en cours de journalisation.
  • Chemin d'accès au processus principal: emplacement sur le disque du processus en cours d'exécution, si disponible.
  • Ligne de commande du processus principal: paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible: nom du processus généré en cours de lancement par le processus principal.
  • Chemin d'accès au processus cible: emplacement sur le disque du processus cible, le cas échéant.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, le cas échéant.
  • SHA256\MD5 du processus cible: somme de contrôle du processus cible, le cas échéant. Cela permet de régler les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Régler les alertes renvoyées par la catégorie "Menaces Windows"

Les exclusions de règles vous permettent de réduire le nombre de détections qu'une règle ou un ensemble de règles génère.

Une exclusion de règle définit les critères utilisés pour exclure un événement d'être évalué par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume des détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.