Windows 脅威のカテゴリの概要

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

Windows 脅威カテゴリのルールセットは、エンドポイントの検出と対応(EDR)ログを使用して Microsoft Windows 環境内の脅威を識別するのに役立ちます。このカテゴリには、次のルールセットがあります。

  • 異常な PowerShell: 難読化手法やその他の異常な動作を含む PowerShell コマンドを識別します。
  • Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
  • Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
  • Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
  • Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
  • Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
  • 環境寄生型(LotL)バイナリ: Microsoft Windows オペレーティング システムに固有で、悪意のある人物によって悪意ある目的で使用される可能性があるツール。
  • Named Threat: 既知の脅威アクターに関連する行動。
  • Ransomware: ランサムウェアに関連するアクティビティ。
  • RAT: ネットワーク資産のリモート コマンドとコントロールの提供に使用するツール。
  • Security Posture Downgrade: セキュリティ ツールの有効性を無効化または低下しようとするアクティビティ。
  • Suspicious Behavior: 全般的な不審な動作。

サポート対象のデバイスとログタイプ

Windows 脅威のカテゴリのルールセットはテスト済みであり、Google Security Operations のサポート対象となっている次の EDR データソースでサポートされています。

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Windows 脅威のカテゴリのルールセットは、Google Security Operations のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

別の EDR ソフトウェアを使用してエンドポイント データを収集している場合は、Google Security Operations の担当者にお問い合わせください。

Google Security Operations がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Windows 脅威のカテゴリに必要な必須フィールド

次のセクションでは、Windows 脅威カテゴリのルールセットで最大の利点を得るために必要な特定のデータについて説明します。デバイスが次のデータをデバイスのイベントログに記録するように構成されていることを確認してください。

  • イベント タイムスタンプ
  • ホスト名: EDR ソフトウェアが実行されているシステムのホスト名。
  • プリンシパル プロセス: ログに記録される現在のプロセスの名前。
  • プリンシパル プロセス パス: 現在実行中のプロセスのディスク上の位置(存在する場合)。
  • プリンシパル プロセス コマンドライン: プリンシパル プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス: プリンシパル プロセスから起動される生成プロセス名。
  • ターゲット プロセス パス: ターゲット プロセスのディスク上の位置(存在する場合)。
  • ターゲット プロセスのコマンドライン: ターゲット プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス SHA256\MD5: ターゲット プロセスのチェックサム(使用可能な場合)。これはアラートの調整に使用されます。
  • ユーザー ID: プリンシパル プロセスのユーザー名。

Windows 脅威のカテゴリから返されるアラートの調整

ルールの除外を使用して、ルールまたはルールセットによって生成される検出の数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。