Présentation de la catégorie de menaces Windows

Compatible avec :

Ce document fournit un aperçu des ensembles de règles de la catégorie "Menaces Windows", des sources de données requises et de la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux EDR (Endpoint Detection and Response). Cette catégorie comprend les jeux de règles suivants:

  • PowerShell anormal: identifie les commandes PowerShell contenant des techniques d'obscurcissement. ou tout autre comportement anormal.
  • Activité de cryptomonnaie: activité associée à une cryptomonnaie suspecte
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut potentiellement légitimes selon l'utilisation de l'organisation.
  • Voleur d'informations : outil utilisé pour voler des identifiants, y compris des mots de passe, des cookies, des portefeuilles de cryptomonnaies et d'autres identifiants sensibles.
  • Accès initial : outils utilisés pour obtenir une exécution initiale sur une machine présentant un comportement suspect.
  • Légal, mais utilisé de manière abusive : logiciel légitime dont on sait qu'il est utilisé à des fins malveillantes.
  • Living on the Land (LotL) Binaries: outils natifs des systèmes d'exploitation Microsoft Windows qui peuvent être détournés par des acteurs malveillants à des fins malveillantes.
  • Menace nommée : comportement associé à un acteur de menace connu.
  • Rançongiciel : activité associée à un rançongiciel.
  • RAT : outils utilisés pour fournir des commandes et un contrôle à distance des ressources réseau.
  • Rétrogradation de la stratégie de sécurité: activité visant à désactiver les outils de sécurité ou à en réduire l'efficacité.
  • Comportement suspect: comportement suspect général.

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Les jeux de règles de la catégorie Menaces de Windows sont en cours de test et d'optimisation pour les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Google Security Operations si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Champs obligatoires requis par la catégorie "Windows Threats" (Menaces Windows)

La section suivante décrit les données spécifiques requises par les ensembles de règles de la catégorie "Windows Threats" pour en tirer le meilleur parti. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux des événements de l'appareil :

  • Code temporel de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR est exécuté.
  • Processus principal: nom du processus en cours de journalisation.
  • Principal Process Path (Chemin d'accès au processus principal) : emplacement sur le disque du processus en cours d'exécution, le cas échéant.
  • Principal Process Command Line (Ligne de commande du processus principal) : paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible: nom du processus généré en cours de lancement par le processus principal.
  • Chemin d'accès du processus cible : emplacement sur le disque du processus cible, le cas échéant.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, le cas échéant.
  • SHA256\MD5 du processus cible: somme de contrôle du processus cible, le cas échéant. Ceci est utilisé pour régler les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Régler les alertes renvoyées par la catégorie "Menaces Windows"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par le jeu de règles, ou par des règles spécifiques dans le jeu de règles. Créer une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.