Présentation de la catégorie de menaces Windows

Compatible avec:

Ce document fournit un aperçu des ensembles de règles de la catégorie "Menaces Windows", des sources de données requises et de la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Ces ensembles de règles vous fournissent un contexte immédiatement exploitable, via des détections et des alertes, qui indiquent ce qui doit être examiné plus en détail à partir des données d'alerte des points de terminaison. Ils contribuent à améliorer la surveillance et le tri des événements de sécurité, ce qui vous permet de vous concentrer sur les alertes et les cas (collections d'alertes) malveillants et exploitables. Ces analyses sélectionnées vous permettent de hiérarchiser la réponse aux alertes de point de terminaison, de fournir un contexte supplémentaire pour les investigations et d'améliorer la surveillance des événements de sécurité à l'aide des journaux des points de terminaison.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux de détection et de réponse sur les points de terminaison (EDR). Cette catégorie comprend les ensembles de règles suivants:

  • PowerShell anormal: identifie les commandes PowerShell contenant des techniques d'obscurcissement ou d'autres comportements anormaux.
  • Activité crypto: activité associée à une cryptomonnaie suspecte.
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut être légitime en fonction de l'utilisation de l'organisation.
  • Voleur d'informations: outil utilisé pour voler des identifiants, y compris des mots de passe, des cookies, des portefeuilles de cryptomonnaies et d'autres identifiants sensibles.
  • Accès initial: outils utilisés pour obtenir une exécution initiale sur une machine présentant un comportement suspect.
  • Légitime, mais utilisé de manière abusive: logiciel légitime qui est connu pour être utilisé de manière abusive à des fins malveillantes.
  • Binaires Living off the Land (LotL): outils intégrés aux systèmes d'exploitation Microsoft Windows qui peuvent être utilisés de manière abusive par des acteurs de la menace à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur de menace connu.
  • Rançongiciel: activité associée à un rançongiciel.
  • RAT: outils utilisés pour fournir un contrôle et une commande à distance des ressources réseau.
  • Réduction de la posture de sécurité: activité visant à désactiver ou à réduire l'efficacité des outils de sécurité.
  • Comportement suspect: comportement suspect général.
  • Menaces de première ligne Mandiant: cet ensemble de règles contient des règles dérivées de l'enquête et de la réponse de Mandiant aux incidents actifs dans le monde entier. Ces règles couvrent les TTP couramment observés, tels que l'exécution via des interpréteurs de script (T1059), l'exécution par l'utilisateur (T1204) et l'exécution par proxy binaire système (T1218).
  • Menaces émergentes de Mandiant Intelligence: cet ensemble de règles contient des règles dérivées des campagnes de renseignement Mandiant et des événements importants, qui couvrent l'activité géopolitique et les menaces à fort impact, telles qu'elles sont évaluées par Mandiant. Cette activité peut inclure des conflits géopolitiques, l'exploitation, l'hameçonnage, la publicité malveillante, les rançongiciels et les compromis de la chaîne d'approvisionnement.
  • Priorisation des alertes pour les points de terminaison: cet ensemble de règles utilise la fonctionnalité précédemment disponible dans le produit Mandiant Automated Defense - Alert, Investigation & Prioritization. Ce jeu de règles identifie des modèles tels que les suivants :
    • Progression de l'attaque: les éléments internes présentent plusieurs signes de compromission qui, pris ensemble, augmentent la probabilité que le système soit compromis et doivent donc être examinés.
    • Logiciels malveillants sur les composants internes: composants internes présentant des signes indiquant qu'un logiciel malveillant a atteint le système de fichiers et qui doivent être examinés. Les pirates informatiques installent souvent du code malveillant sur le système de fichiers après une tentative d'exploitation réussie.
    • Outils de piratage non autorisés: composants internes présentant une activité d'outil d'exploitation indiquant une compromission du système. Les outils d'exploitation sont des logiciels ou des outils de piratage disponibles publiquement qui peuvent être utilisés pour obtenir et étendre l'accès aux systèmes. Ils sont utilisés à la fois par les pirates informatiques et les équipes Red. L'observation de ces outils doit être examinée si l'utilisation n'est pas explicitement autorisée par un système ou un compte.
    • Comportements de processus inhabituels: les éléments internes dans lesquels des exécutables courants sont utilisés de manière inhabituelle sont un indicateur fort d'un hôte compromis. Les comportements inhabituels de type "vivre de la terre" doivent être examinés.

Le jeu de règles de priorisation des alertes pour les points de terminaison est disponible avec une licence Google Security Operations Enterprise Plus.

Appareils et types de journaux compatibles

Cette section liste les données requises par chaque ensemble de règles.

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Les ensembles de règles de la catégorie "Menaces Windows" sont testés et optimisés pour les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Tanium
  • EDR Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Google Security Operations si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Champs obligatoires requis par la catégorie "Windows Threats" (Menaces Windows)

La section suivante décrit les données spécifiques requises par les ensembles de règles de la catégorie "Windows Threats" pour en tirer le meilleur parti. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux des événements de l'appareil.

  • Code temporel de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR s'exécute.
  • Principal Process: nom du processus en cours d'enregistrement.
  • Principal Process Path (Chemin d'accès au processus principal) : emplacement sur le disque du processus en cours d'exécution, le cas échéant.
  • Principal Process Command Line (Ligne de commande du processus principal) : paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible: nom du processus créé qui est lancé par le processus principal.
  • Chemin d'accès du processus cible: emplacement sur le disque du processus cible, le cas échéant.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, le cas échéant.
  • SHA256\MD5 du processus cible: somme de contrôle du processus cible, le cas échéant. Il permet d'ajuster les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Priorisation des alertes pour l'ensemble de règles des points de terminaison

Ce jeu de règles a été testé et est compatible avec les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Priorisation des alertes pour les champs UDM du jeu de règles Endpoints

La section suivante décrit les données des champs UDM requises par le jeu de règles de priorisation des alertes pour les points de terminaison. Si vous modifiez un analyseur par défaut en créant votre propre analyseur personnalisé, assurez-vous de ne pas modifier le mappage de ces champs. Si vous modifiez la mise en correspondance de ces champs,vous risquez d'affecter le comportement de cette fonctionnalité.

Nom du champ UDM Description
metadata.event_type Type d'événement normalisé.
metadata.product_name Nom du produit.
security_result.detection_fields["externall_api_type"] Champs à filtrer pour trouver les événements qui vous intéressent.
security_result.threat_name Classification attribuée par le fournisseur à une menace, telle qu'une famille de logiciels malveillants.
security_result.category_details Catégorie de logiciel malveillant spécifique au fournisseur
security_result.summary Résumé de l'alerte.
security_result.rule_name Nom de l'alerte fourni par le fournisseur.
security_result.attack_details Permet d'identifier les tactiques et techniques MITRE ATT&CK.
security_result.description Brève description de l'alerte.
security_result.action Action effectuée par le contrôle.
principal.process.file.names Nom du fichier du processus en cours d'exécution.
principal.process.file.full_path Emplacement sur le disque du processus en cours d'exécution, le cas échéant.
principal.process.command_line Paramètres de ligne de commande du processus, le cas échéant.
principal.asset.hostname Nom d'hôte du système sur lequel le logiciel EDR s'exécute.
principal.hostname Nom d'hôte du système sur lequel le logiciel EDR s'exécute.
principal.user.userid Nom d'utilisateur du processus principal.
target.file.full_path Nom du fichier avec lequel le principal interagit.
target.file.md5/sha256 Somme de contrôle du fichier cible, le cas échéant.

Alertes de réglage renvoyées par la catégorie "Menaces Windows"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.