Présentation de la catégorie des menaces Windows

Ce document présente les jeux de règles de la catégorie "Menaces Windows", les sources de données requises et la configuration que vous pouvez utiliser pour régler les alertes générées par ces ensembles.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux Endpoint Detection and Response (EDR). Cette catégorie comprend les jeux de règles suivants:

  • PowerShell anormal: identifie les commandes PowerShell contenant des techniques d'obscurcissement ou d'autres comportements anormaux.
  • Activité de chiffrement: activité associée à une monnaie de chiffrement suspecte.
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut être légitime selon l'utilisation de l'organisation.
  • Voleur d'informations: outils utilisés pour voler des identifiants, y compris des mots de passe, des cookies, des portefeuilles de chiffrement et d'autres identifiants sensibles.
  • Accès initial: outils utilisés pour obtenir l'exécution initiale sur une machine au comportement suspect.
  • Légal, mais mal utilisé: logiciel légitime connu pour être utilisé à des fins malveillantes.
  • Vivre à l'étranger (LotL) Binaries: outils natifs dans les systèmes d'exploitation Microsoft Windows qui peuvent être utilisés par des acteurs malveillants à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur malveillant connu.
  • Rançongiciel: activité associée au rançongiciel.
  • RAT: outils utilisés pour fournir une commande et un contrôle à distance des ressources du réseau.
  • Rétrogradation de la stratégie de sécurité: activité tentant de désactiver les outils de sécurité ou de diminuer leur efficacité
  • Comportement suspect: comportement général suspect

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Chronicle:

  • Carbone (CB_EDR)
  • Sysmon Microsoft (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Des ensembles de règles de la catégorie "Menaces Windows" sont en cours de test et d'optimisation pour les sources de données EDR compatibles avec Chronicle:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Chronicle si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Chronicle, consultez la page Analyseurs par défaut compatibles.

Champs obligatoires requis par la catégorie "Menaces Windows"

La section suivante décrit les données spécifiques requises par les ensembles de règles dans la catégorie "Menaces Windows" pour en tirer le meilleur parti. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux des événements de l'appareil.

  • Code temporel de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR est exécuté.
  • Processus principal: nom du processus en cours de consignation.
  • Chemin d'accès au processus principal: emplacement sur le disque du processus en cours d'exécution, le cas échéant.
  • Ligne de commande du processus principal: paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible: nom du processus généré par le processus principal.
  • Chemin d'accès au processus cible: emplacement sur le disque du processus cible, le cas échéant.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, le cas échéant.
  • Processus cible SHA256\MD5: somme de contrôle du processus cible, si disponible. Cela permet d'ajuster les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Régler les alertes renvoyées par la catégorie "Menaces Windows"

Les exclusions de règles vous permettent de réduire le nombre de détections générées par une règle ou un ensemble de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour plus d'informations sur la procédure à suivre, consultez la section Configurer les exclusions de règles.