Windows 위협 카테고리 개요
이 문서에서는 Windows 위협 카테고리의 규칙 집합, 필요한 데이터 소스, 이러한 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성을 간략하게 설명합니다.
Windows 위협 카테고리의 규칙 집합은 엔드포인트 감지 및 응답(EDR) 로그를 사용하여 Microsoft Windows 환경의 위협을 식별하는 데 도움이 됩니다. 이 카테고리에는 다음 규칙 집합이 포함됩니다.
- 비정상적인 PowerShell: 난독화 기술이나 기타 비정상적인 동작이 포함된 PowerShell 명령어를 식별합니다.
- 암호화 활동: 의심스러운 암호화폐와 관련된 활동입니다.
- Hacktool: 의심스러운 것으로 간주될 수 있지만 조직의 용도에 따라 합법적일 수 있는 자유롭게 사용할 수 있는 도구입니다.
- 정보 탈취: 비밀번호, 쿠키, 암호화 월렛, 기타 민감한 사용자 인증 정보를 포함하여 기타 중요한 사용자 인증 정보를 탈취하는 데 사용되는 도구입니다.
- 초기 액세스: 의심스러운 동작이 있는 머신에서 초기 실행을 얻는 데 사용되는 도구입니다.
- 합법적이지만 오용됨: 악의적인 목적으로 악용된 것으로 알려진 합법적인 소프트웨어입니다.
- Living off the Land(LotL) 바이너리: 위협 행위자가 악의적인 목적으로 악용할 수 있는 Microsoft Windows 운영체제 기반 도구입니다.
- 명명된 위협: 알려진 위협 행위자와 관련된 행동입니다.
- 랜섬웨어: 랜섬웨어와 관련된 활동입니다.
- RAT: 네트워크 애셋을 원격으로 명령하고 제어하는 데 사용되는 도구입니다.
- 보안 상태 다운그레이드: 보안 도구의 효과를 사용 중지 또는 줄이려고 하는 활동입니다.
- 의심스러운 행동: 일반적인 의심스러운 행동입니다.
지원되는 기기 및 로그 유형
Windows 위협 카테고리의 규칙 집합은 테스트되었으며 다음과 같은 Google Security Operations 지원 EDR 데이터 소스에서 지원됩니다.
- Carbon Black(
CB_EDR
) - Microsoft Sysmon(
WINDOWS_SYSMON
) - SentinelOne(
SENTINEL_EDR
) - Crowdstrike Falcon(
CS_EDR
)
Windows 위협 카테고리의 규칙 집합은 테스트되었으며 다음과 같은 Google Security Operations 지원 EDR 데이터 소스에 최적화되었습니다.
- Tanium
- Cybereason EDR(
CYBEREASON_EDR
) - Lima Charlie(
LIMACHARLIE_EDR
) - OSQuery
- Zeek
- Cylance(
CYLANCE_PROTECT
)
다른 EDR 소프트웨어를 사용하여 엔드포인트 데이터를 수집하는 경우 Google Security Operations 담당자에게 문의하세요.
지원되는 모든 Google Security Operations 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.
Windows 위협 카테고리에 필요한 필드
다음 섹션에서는 Windows 위협 카테고리의 규칙 집합에 필요한 특정 데이터를 설명하여 가장 큰 이점을 얻을 수 있습니다. 해당 기기가 기기 이벤트 로그에 다음 데이터를 기록하도록 구성되었는지 확인합니다.
- 이벤트 타임스탬프
- 호스트 이름: EDR 소프트웨어가 실행 중인 시스템의 호스트 이름입니다.
- 기본 프로세스: 로깅되는 현재 프로세스의 이름입니다.
- 기본 프로세스 경로: 현재 실행 중인 프로세스의 디스크 위치입니다(사용 가능한 경우).
- 기본 프로세스 명령줄: 프로세스의 명령줄 매개변수입니다(사용 가능한 경우).
- 대상 프로세스: 기본 프로세스에서 실행 중인 생성 프로세스의 이름입니다.
- 대상 프로세스 경로: 대상 프로세스의 디스크 위치입니다(사용 가능한 경우).
- 대상 프로세스 명령줄: 대상 프로세스의 명령줄 매개변수(사용 가능한 경우)입니다.
- 대상 프로세스 SHA256\MD5: 대상 프로세스의 체크섬입니다(사용 가능한 경우). 이는 알림을 조정하는 데 사용됩니다.
- 사용자 ID: 기본 프로세스의 사용자 이름입니다.
Windows 위협 카테고리에서 반환된 알림 조정
규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.
규칙 제외 항목은 규칙 집합 또는 규칙 집합의 특정 규칙에서 이벤트 평가를 제외하는 데 사용되는 기준을 정의합니다. 감지 볼륨을 줄이는 데 도움이 되는 규칙 제외 항목을 하나 이상 만듭니다. 이를 수행하는 방법은 규칙 제외 항목 구성을 참조하세요.