Übersicht über die Kategorie „Windows-Bedrohungen“

Unterstützt in:

In diesem Dokument finden Sie eine Übersicht über die Regelsätze in der Kategorie „Windows-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Diese Regelsätze liefern Ihnen durch Erkennungen und Benachrichtigungen sofort umsetzbare Informationen dazu, welche Daten der Endpunktbenachrichtigungen weiter untersucht werden sollten. Sie tragen dazu bei, die Überwachung und Triage von Sicherheitsereignissen zu verbessern, sodass Sie sich auf Benachrichtigungen und Fälle (Sammlungen von Benachrichtigungen) konzentrieren können, die schädlich und umsetzbar sind. Mit diesen ausgewählten Analysen können Sie die Reaktion auf Endpunktwarnungen priorisieren, zusätzlichen Kontext für Untersuchungen bereitstellen und die Überwachung von Sicherheitsereignissen mithilfe von Endpunktprotokollen verbessern.

Mit Regelsätzen in der Kategorie „Windows-Bedrohungen“ können Sie Bedrohungen in Microsoft Windows-Umgebungen anhand von EDR-Logs (Endpoint Detection and Response) erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

  • Anomaler PowerShell-Code: Hiermit werden PowerShell-Befehle erkannt, die Obfuscation-Techniken oder anderes anormales Verhalten enthalten.
  • Kryptoaktivität: Aktivitäten im Zusammenhang mit verdächtiger Kryptowährung.
  • Hacktool: Kostenlos verfügbares Tool, das als verdächtig eingestuft werden kann, aber je nach Verwendung durch die Organisation möglicherweise legitim ist.
  • Info Stealer: Tools, mit denen Anmeldedaten wie Passwörter, Cookies, Krypto-Wallets und andere vertrauliche Anmeldedaten gestohlen werden.
  • Erster Zugriff: Tools, die zum ersten Ausführen auf einem Computer mit verdächtigem Verhalten verwendet werden.
  • Gesetzliche, aber missbrauchte Software: Gesetzliche Software, die bekanntlich für böswillige Zwecke missbraucht wird.
  • LotL-Binärdateien (Living off the Land): In Microsoft Windows-Betriebssystemen integrierte Tools, die von Angreifern für böswillige Zwecke missbraucht werden können.
  • Benannte Bedrohung: Verhalten, das mit einem bekannten Bedrohungsakteur in Verbindung steht.
  • Ransomware: Aktivitäten im Zusammenhang mit Ransomware.
  • RAT: Tools, die für die Remote-Befehls- und ‑Steuerung von Netzwerk-Assets verwendet werden.
  • Herabstufung der Sicherheitslage: Aktivität, bei der versucht wird, Sicherheitstools zu deaktivieren oder ihre Effektivität zu verringern.
  • Verdächtiges Verhalten: Allgemeines verdächtiges Verhalten.
  • Mandiant Front-Line Threats: Dieser Regelsatz enthält Regeln, die aus den Untersuchungen und Reaktionen von Mandiant auf aktive Vorfälle auf der ganzen Welt abgeleitet wurden. Diese Regeln decken häufige TTPs ab, z. B. die Ausführung über Script-Interpreter (T1059), die Ausführung durch Nutzer (T1204) und die Ausführung von System-Binär-Proxys (T1218).
  • Mandiant Intel Emerging Threats: Dieser Regelsatz enthält Regeln, die aus Mandiant Intelligence-Kampagnen und wichtigen Ereignissen abgeleitet wurden. Sie decken geopolitische und Bedrohungsaktivitäten mit hoher Auswirkung ab, die von Mandiant bewertet wurden. Zu diesen Aktivitäten gehören geopolitische Konflikte, Ausnutzung, Phishing, Malvertising, Ransomware und Manipulationen der Lieferkette.
  • Benachrichtigungspriorisierung für Endpunkte: Dieser Regelsatz nutzt die Funktion, die zuvor im Produkt „Mandiant Automated Defense – Benachrichtigung, Untersuchung und Priorisierung“ enthalten war. Mit diesem Regelsatz werden Muster wie die folgenden erkannt:
    • Angriffsfortschritt: Interne Assets mit mehreren Anzeichen für eine Manipulation, die zusammengenommen die Wahrscheinlichkeit erhöhen, dass das System manipuliert wurde und daher untersucht werden sollte.
    • Malware auf internen Assets: Interne Assets, die Anzeichen dafür aufweisen, dass Malware das Dateisystem erreicht hat und untersucht werden sollte. Nach einem erfolgreichen Ausnutzungsversuch platzieren Angreifer oft schädlichen Code im Dateisystem.
    • Unbefugte Hacking-Tools: Interne Assets mit Aktivitäten von Ausnutzungstools, die auf eine Systemkompromittierung hinweisen. Ausnutzungstools sind öffentlich verfügbare Software oder Hacktools, mit denen sich Zugriff auf Systeme erhalten und erweitern lässt. Sie werden sowohl von Angreifern als auch von Red Teams verwendet. Die Einhaltung dieser Tools sollte geprüft werden, wenn die Nutzung nicht ausdrücklich von einem System oder Konto autorisiert wurde.
    • Ungewöhnliches Prozessverhalten: Interne Assets, bei denen gängige ausführbare Dateien auf ungewöhnliche Weise verwendet werden, sind ein starker Indikator für einen manipulierten Host. Ungewöhnliches Verhalten, das auf das Leben von der Hand in den Mund hindeutet, sollte untersucht werden.

Der Regelsatz „Benachrichtigungspriorisierung für Endpunkte“ ist mit einer Enterprise Plus-Lizenz für Google Security Operations verfügbar.

Unterstützte Geräte und Protokolltypen

In diesem Abschnitt sind die für jeden Regelsatz erforderlichen Daten aufgeführt.

Regelsätze in der Kategorie „Windows-Bedrohungen“ wurden getestet und werden von den folgenden EDR-Datenquellen unterstützt, die von Google Security Operations unterstützt werden:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Regelsätze in der Kategorie „Windows-Bedrohungen“ werden für die folgenden von Google Security Operations unterstützten EDR-Datenquellen getestet und optimiert:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Wenden Sie sich an Ihren Ansprechpartner bei Google Security Operations, wenn Sie Endpunktdaten mit einer anderen EDR-Software erfassen.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Pflichtfelder für die Kategorie „Windows-Bedrohungen“

Im folgenden Abschnitt werden bestimmte Daten beschrieben, die Regelsätze in der Kategorie „Windows-Bedrohungen“ benötigen, um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokollen aufgezeichnet werden.

  • Zeitstempel des Ereignisses
  • Hostname: Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
  • Hauptprozess: Name des aktuellen protokollierten Prozesses.
  • Pfad des Hauptprozesses: Speicherort auf dem Laufwerk des aktuell laufenden Prozesses, falls verfügbar.
  • Befehlszeile des Hauptprozesses: Befehlszeilenparameter des Prozesses, sofern verfügbar.
  • Zielprozess: Name des Prozesses, der vom Hauptprozess gestartet wird.
  • Pfad zum Zielprozess: Speicherort des Zielprozesses auf dem Laufwerk, falls verfügbar.
  • Befehlszeile des Zielprozesses: Befehlszeilenparameter des Zielprozesses, falls verfügbar.
  • SHA256\MD5 des Zielprozesses: Prüfsumme des Zielprozesses, falls verfügbar. Damit können Benachrichtigungen angepasst werden.
  • Nutzer-ID: Der Nutzername des Hauptprozesses.

Benachrichtigungspriorisierung für den Regelsatz „Endpoints“

Dieser Regelsatz wurde getestet und wird von den folgenden von Google Security Operations unterstützten EDR-Datenquellen unterstützt:

  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Priorisierung von Benachrichtigungen für UDM-Felder im Endpoints-Regeln-Set

Im folgenden Abschnitt werden die UDM-Felddaten beschrieben, die für den Regelsatz „Benachrichtigungspriorisierung für Endpunkte“ erforderlich sind. Wenn Sie einen Standard-Parser ändern, indem Sie einen benutzerdefinierten Parser erstellen, dürfen Sie die Zuordnung dieser Felder nicht ändern. Wenn Sie die Zuordnung dieser Felder ändern,kann sich das auf das Verhalten dieser Funktion auswirken.

UDM-Feldname Beschreibung
metadata.event_type Ein normalisierter Ereignistyp.
metadata.product_name Der Name des Produkts.
security_result.detection_fields["externall_api_type"] Felder, nach denen nach Ereignissen gefiltert werden soll.
security_result.threat_name Eine vom Anbieter zugewiesene Klassifizierung einer Bedrohung, z. B. einer Malware-Familie.
security_result.category_details Die anbieterspezifische Malwarekategorie
security_result.summary Eine Zusammenfassung der Benachrichtigung.
security_result.rule_name Ein vom Anbieter angegebener Benachrichtigungsname.
security_result.attack_details Wird verwendet, um MITRE ATT&CK-Taktiken und -Techniken zu identifizieren.
security_result.description Eine kurze Beschreibung der Benachrichtigung.
security_result.action Aktion, die durch die Steuerung ausgeführt wird.
principal.process.file.names Der Dateiname des laufenden Prozesses.
principal.process.file.full_path Speicherort des aktuell laufenden Prozesses auf dem Laufwerk, sofern verfügbar.
principal.process.command_line Befehlszeilenparameter des Prozesses, falls verfügbar.
principal.asset.hostname Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
principal.hostname Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
principal.user.userid Der Nutzername des Hauptprozesses.
target.file.full_path Der Name der Datei, mit der der Hauptnutzer interagiert.
target.file.md5/sha256 Prüfsumme der Zieldatei, falls verfügbar.

Optimierungswarnungen, die von der Kategorie „Windows-Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder durch bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie eine oder mehrere Regelausschlüsse, um die Anzahl der erkannten Probleme zu reduzieren. Weitere Informationen dazu finden Sie unter Ausschlüsse für Regeln konfigurieren.

Sie können Ereignisse beispielsweise anhand der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten