Descripción general de la categoría de amenazas de Windows

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría Amenazas de Windows, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que generan estos conjuntos de reglas.

Los conjuntos de reglas en la categoría Amenazas de Windows ayudan a identificar amenazas en entornos de Microsoft Windows mediante registros de detección y respuesta de extremos (EDR). Esta categoría incluye los siguientes conjuntos de reglas:

  • PowerShell anómalo: identifica los comandos de PowerShell que contienen técnicas de ofuscación u otro comportamiento anómalo.
  • Actividad criptográfica: Actividad asociada con criptomonedas sospechosas.
  • Hacktool: herramienta disponible de forma gratuita que puede considerarse sospechosa, pero que puede ser legítima según el uso de la organización.
  • Ladrón de información: Herramientas que se usan para robar credenciales, como contraseñas, cookies, billeteras criptográficas y otras credenciales sensibles
  • Acceso inicial: herramientas que se utilizan para obtener la ejecución inicial en una máquina con un comportamiento sospechoso.
  • Legítimo, pero mal usado: software legítimo que se sabe que se usa de forma abusiva con fines maliciosos.
  • Binarios de la vida de la tierra (LotL): Herramientas nativas de los sistemas operativos Microsoft Windows que pueden abusar de los perpetradores con fines maliciosos.
  • Amenaza nombrada: El comportamiento asociado con un actor de amenazas conocido.
  • Ransomware: actividad asociada con el ransomware.
  • RAT: Herramientas utilizadas para proporcionar comando y control remotos de los activos de red.
  • Cambio a una versión inferior de la postura de seguridad: actividad que intenta inhabilitar o disminuir la eficacia de las herramientas de seguridad.
  • Comportamiento sospechoso: comportamiento general sospechoso.

Dispositivos y tipos de registros compatibles

Se probaron los conjuntos de reglas de la categoría Amenazas de Windows y son compatibles con las siguientes fuentes de datos EDR compatibles con las operaciones de seguridad de Google:

  • Negro carbón (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Los conjuntos de reglas de la categoría Amenazas de Windows se están probando y optimizando para las siguientes fuentes de datos EDR compatibles con las operaciones de seguridad de Google:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zumisodos
  • Cilance (CYLANCE_PROTECT)

Comunícate con tu representante de operaciones de seguridad de Google si recopilas datos de extremos con otro software EDR.

Para obtener una lista de todas las fuentes de datos compatibles con las operaciones de seguridad de Google, consulta Analizadores predeterminados compatibles.

Campos obligatorios que necesita la categoría de amenazas de Windows

En la siguiente sección, se describen los datos específicos que necesitan los conjuntos de reglas en la categoría Amenazas de Windows para obtener el mayor beneficio. Asegúrate de que tus dispositivos estén configurados para registrar los siguientes datos en los registros de eventos del dispositivo.

  • Marca de tiempo del evento
  • Nombre de host: es el nombre de host del sistema donde se ejecuta el software EDR.
  • Proceso principal: Indica el nombre del proceso actual que se registra.
  • Ruta de proceso principal: Ubicación en el disco del proceso que se está ejecutando, si está disponible.
  • Línea de comandos del proceso principal: Son los parámetros de la línea de comandos del proceso, si están disponibles.
  • Proceso de destino: Nombre del proceso generado que inicia el proceso principal.
  • Ruta del proceso de destino: ubicación en el disco del proceso de destino, si está disponible.
  • Línea de comandos del proceso objetivo: Son los parámetros de la línea de comandos del proceso de destino, si están disponibles.
  • Proceso de destino SHA256\MD5: Suma de comprobación del proceso de destino, si está disponible. Se usa para ajustar alertas.
  • ID de usuario: Es el nombre de usuario del proceso principal.

Alertas de ajuste que muestra la categoría de amenazas de Windows

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de modo que el conjunto de reglas o reglas específicas del conjunto de reglas no lo evalúen. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.