Windows 威胁类别概览

支持的平台:

本文档简要介绍了“Windows 威胁”类别中的规则集、所需的数据源,以及您可以用来调整这些规则集生成的提醒的配置。

这些规则集可通过检测和提醒,为您提供可立即采取行动的情境,指明应根据端点提醒数据进行进一步调查。它们有助于增强安全事件监控和分类能力,让您能够专注于恶意且可采取行动的提醒以及案例(提醒集合)。借助这些精选分析,您可以确定对终端警报的响应优先级、为调查提供更多背景信息,以及使用终端日志改进安全事件监控。

“Windows 威胁”类别中的规则集可帮助您使用端点检测和响应 (EDR) 日志识别 Microsoft Windows 环境中的威胁。此类别包括以下规则集:

  • 异常 PowerShell:识别包含混淆技术或其他异常行为的 PowerShell 命令。
  • 加密货币活动:与可疑加密货币相关的活动。
  • 黑客工具:可供免费使用的工具,可能被视为可疑,但也可能合法,具体取决于组织的使用方式。
  • 信息窃取工具:用于窃取凭据(包括密码、Cookie、加密钱包和其他敏感凭据)的工具。
  • 初始访问:用于在存在可疑行为的机器上获得初始执行权限的工具。
  • 合法但被滥用:已知被用于恶意用途的合法软件。
  • Living off the Land (LotL) 二进制文件:Microsoft Windows 操作系统内置的工具,可被威胁行为者滥用来实现恶意目的。
  • 指定威胁:与已知威胁行为者相关联的行为。
  • 勒索软件:与勒索软件相关的活动。
  • RAT:用于远程命令和控制网络资产的工具。
  • 安全状况降级:尝试停用安全工具或降低其有效性的活动。
  • 可疑行为:常见的可疑行为。
  • Mandiant 一线威胁:此规则集包含 Mandiant 对全球活跃突发事件进行调查和响应时派生出的规则。这些规则涵盖常见的 TTP,例如通过脚本解释器执行 (T1059)、用户执行 (T1204) 和系统二进制代理执行 (T1218)。
  • Mandiant 情报新兴威胁:此规则集包含从 Mandiant 情报活动和重大事件派生出的规则,涵盖 Mandiant 评估为具有重大影响的地缘政治和威胁活动。此类活动可能包括地缘政治冲突、漏洞利用、钓鱼式攻击、恶意广告、勒索软件和供应链入侵。
  • 针对端点的提醒优先级设置:此规则集利用了之前在 Mandiant Automated Defense - Alert, Investigation & Prioritization 产品中提供的功能。此规则集可识别以下模式:
    • 攻击进展:内部资产出现多种遭到入侵的迹象,这些迹象综合起来增加了系统遭到入侵的可能性,因此应予以调查。
    • 内部资源存在恶意软件:内部资源显示恶意软件已进入文件系统,应予以调查。攻击者通常会在成功尝试利用漏洞后,在文件系统上暂存恶意代码。
    • 未经授权的黑客工具:内部资源存在表明系统遭到入侵的利用工具活动。利用工具是指可用于获取和扩大系统访问权限的公开软件或黑客工具,攻击者和红队都会使用这些工具。如果未经系统或账号明确授权,则应调查是否遵循了这些工具的使用规定。
    • 异常进程行为:内部资产以异常方式使用常见可执行文件,是主机遭到入侵的有力指标。应调查是否存在异常的“离地攻击”行为。

若要使用“针对端点的提醒优先级”规则集,您需要拥有 Google Security Operations 企业 Plus 版许可。

支持的设备和日志类型

本部分列出了每个规则集所需的数据。

Windows 威胁类别中的规则集已过测试,并支持以下 Google 安全运营支持的 EDR 数据源:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

我们正在针对以下 Google Security Operations 支持的 EDR 数据源测试和优化“Windows 威胁”类别中的规则集:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

如果您使用其他 EDR 软件收集端点数据,请与您的 Google Security Operations 代表联系。

如需查看 Google Security Operations 支持的所有数据源的列表,请参阅支持的默认解析器

Windows 威胁类别所需的必填字段

以下部分介绍了“Windows 威胁”类别中的规则集为了发挥最大效用而需要的具体数据。请确保您的设备已配置为将以下数据记录到设备事件日志。

  • 事件时间戳
  • 主机名:运行 EDR 软件的系统的主机名。
  • 主要进程:正在记录的当前进程的名称。
  • 主要进程路径:当前正在运行的进程在磁盘上的位置(如果有)。
  • 主要进程命令行:进程的命令行参数(如果有)。
  • 目标进程:主进程启动的派生进程的名称。
  • 目标进程路径:目标进程在磁盘上的位置(如果有)。
  • 目标进程命令行:目标进程的命令行参数(如果有)。
  • 目标进程 SHA256\MD5:目标进程的校验和(如果有)。用于调整提醒。
  • 用户 ID:主进程的用户名。

针对端点规则集的提醒优先级

此规则集已过测试,并支持以下 Google Security Operations 支持的 EDR 数据源:

  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

针对 Endpoints 规则集 UDM 字段的提醒优先级

以下部分介绍了“端点提醒优先级”规则集所需的 UDM 字段数据。如果您通过创建自己的自定义解析器来修改默认解析器,请确保不要更改这些字段的映射。如果您更改这些字段的映射方式,可能会影响此功能的行为。

UDM 字段名称 说明
metadata.event_type 标准化事件类型。
metadata.product_name 商品的名称。
security_result.detection_fields["externall_api_type"] 用于过滤感兴趣事件的字段。
security_result.threat_name 供应商为威胁(例如恶意软件家族)分配的分类。
security_result.category_details 特定于供应商的恶意软件类别
security_result.summary 提醒的摘要。
security_result.rule_name 供应商提供的提醒名称。
security_result.attack_details 用于识别 Mitre ATT&CK 策略和技术。
security_result.description 提醒的简短说明。
security_result.action 控件执行的操作。
principal.process.file.names 正在运行的进程的文件名。
principal.process.file.full_path 当前正在运行的进程在磁盘上的位置(如果有)。
principal.process.command_line 进程的命令行参数(如果有)。
principal.asset.hostname 运行 EDR 软件的系统的主机名。
principal.hostname 运行 EDR 软件的系统的主机名。
principal.user.userid 主进程的用户名。
target.file.full_path 主账号正在与之互动的文件的名称。
target.file.md5/sha256 目标文件的校验和(如果有)。

调整 Windows 威胁类别返回的提醒

您可以使用规则排除对象来减少规则或规则集生成的检测数量。

规则排除项用于定义排除某个事件的条件,以免该事件被规则集或规则集中的特定规则评估。创建一条或多条规则排除项,以帮助减少检测量。如需了解具体操作方法,请参阅配置规则排除对象

例如,您可以根据以下信息排除事件:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。