Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Présentation de la catégorie des menaces Windows

Ce document présente les jeux de règles de la catégorie Windows Threats, les sources de données requises et la configuration que vous pouvez utiliser pour régler les alertes générées par ces jeux de règles.

Les jeux de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux de détection et de réponse des points de terminaison (EDR). Cette catégorie comprend les ensembles de règles suivants:

  • Activité cryptographique: activité associée à une devise de cryptomonnaie suspecte.
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut être légitime en fonction de l'utilisation de l'organisation.
  • Vol d'informations: outils utilisés pour voler des identifiants, tels que des mots de passe, des cookies, des portefeuilles de cryptomonnaie et d'autres identifiants sensibles.
  • Accès initial: outils utilisés pour obtenir l'exécution initiale sur une machine au comportement suspect.
  • légitime, mais utilisé de manière abusive: logiciels légitimes utilisés à des fins malveillantes.
  • Bilans vivants (LotL) : outils natifs des systèmes d'exploitation Microsoft Windows qui peuvent être utilisés par des acteurs malintentionnés à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur de menace connu
  • Rançongiciel: activité associée à un rançongiciel.
  • RAT: outils utilisés pour contrôler à distance les ressources réseau.
  • Rétrogradation de la stratégie de sécurité: activité visant à désactiver ou à réduire l'efficacité des outils de sécurité.
  • Comportement suspect: comportement général suspect.

Appareils et types de journaux compatibles

Les jeux de règles de la catégorie Windows Threats ont été testés et sont compatibles avec les sources de données EDR compatibles Chronicle suivantes:

  • Noir Carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Les jeux de règles de la catégorie Windows Threats sont en cours de test et d'optimisation pour les sources de données EDR compatibles Chronicle suivantes:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • Requête OS
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Chronicle si vous collectez des données de point de terminaison à l'aide d'autres logiciels EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Chronicle, consultez la page Analyseurs par défaut compatibles.

Champs obligatoires nécessaires pour la catégorie Windows Threats

La section suivante décrit les données spécifiques requises par les ensembles de règles de la catégorie Windows Threats pour obtenir le meilleur avantage. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux d'événements des appareils.

  • Horodatage de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR est exécuté.
  • Processus principal: nom du processus en cours de journalisation.
  • Chemin du processus principal: emplacement sur le disque du processus en cours d'exécution, s'il est disponible.
  • Ligne de commande du processus principal: paramètres de ligne de commande du processus, si disponibles.
  • Processus cible: nom du processus généré qui est lancé par le processus principal.
  • Chemin du processus cible: emplacement sur le disque du processus cible, si disponible.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, si disponibles.
  • Processus cible SHA256\MD5: somme de contrôle du processus cible, si disponible. Cela permet d'ajuster les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Alertes de réglage renvoyées par la catégorie Windows Threats

La catégorie "Threats" de Windows inclut un ensemble de listes de référence qui vous permettent de contrôler les alertes générées par la détection de jeux de règles. Vous définissez des critères dans la liste de référence utilisée pour exclure un événement UDM de l'évaluation par l'ensemble de règles.

Tous les ensembles de règles utilisent les mêmes critères pour exclure les événements de l'évaluation:

  • traiter la ligne de commande
  • chemin d'accès au processus
  • ligne de commande cible
  • hachage de fichier
  • chemin d'accès cible

Cependant, chaque ensemble de règles possède son propre ensemble de listes de référence portant des noms uniques. Par exemple, les listes de référence Hacktool ne filtrent que les alertes Hacktool et non les alertes RAT. La liste de référence Hacktool pour exclure les événements basés sur le chemin d'accès au processus est gcti__win__hacktool__process_path__exclusion_list, tandis que la liste de référence RAT pour exclure les événements basés sur le chemin d'accès du processus est gcti__win__rat__process_path__exclusion_list.

Cette section décrit chaque type de liste de référence et fournit un exemple montrant comment renseigner les données de cette liste.

  • Activité cryptographique: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__crypto.
  • Hacktool: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant : gcti__win__hacktool.
  • Voleur d'informations: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant : gcti__win__info_stealer.
  • Accès initial: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__initial_access.
  • légitime, mais mal utilisé: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__legit_but_misused.
  • Menace nommée: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__named_threat.
  • Rançongiciels: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__ransomware.
  • RAT: Les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__rat.
  • Comportement suspect: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant : gcti__win__suspicious_behavior.
  • Rétrogradation de la stratégie de sécurité: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant : gcti__win__security_downgrade.
Nom générique Description
Ligne de commande de processus Nom de la liste de référence: `(prefix)__process_command_line__exclusion_list`

Saisissez les paramètres de ligne de commande du processus parent. Consultez l'alerte pour en savoir plus sur l'enregistrement de la ligne de commande dans le journal. Voici un exemple :

powershell.exe -RunPolicy Bypass -Command

Les événements associés aux valeurs que vous fournissez sont exclus de l'évaluation.

Chemin d'accès du processus Nom de la liste de référence: `(prefix)__process_path__exclusion_list`

Saisissez le chemin du processus qui génère l'alerte. La valeur fournie peut varier selon la manière dont la source de données enregistre la valeur. Reportez-vous à un exemple d'alerte pour connaître le format exact. Voici quelques exemples:

powershell.exe

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Device\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

Les événements associés aux valeurs que vous fournissez sont exclus de l'évaluation.

Ligne de commande cible Nom de la liste de référence: `(prefix)__target_command_line__exclusion_list`

La ligne de commande du processus cible en cours de lancement, par exemple:

rundll32.exe c:\windows\system32\foobar.dll,Désinstaller 0 0 1

Les événements associés aux valeurs que vous fournissez sont exclus de l'évaluation.

Chemin cible Nom de la liste de référence: `(prefix)__target_path__exclusion_list`

Chemin du processus enfant généré dans l'alerte. La valeur fournie peut varier selon la manière dont la source de données enregistre la valeur. Reportez-vous à un exemple d'alerte pour connaître le format exact. Voici quelques exemples:

\\Device\\HarddiskVolume2\\Windows\\System32\\rundll32.exe

c:\\windows\\system32\\rundll32.exe

c:\windows\system32\rundll32.exe

Les événements associés à ces valeurs seront exclus de l'évaluation.

Hachage cible Nom de la liste de référence: `(prefix)__target_hash__exclusion_list`

Le hachage SHA256 du fichier cible générant l'alerte, par exemple:

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

Les événements associés aux valeurs que vous fournissez sont exclus de l'évaluation.