Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Présentation de la catégorie de menaces Windows

Ce document fournit une présentation des jeux de règles de la catégorie Windows Threats, des sources de données requises et de la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces jeux de règles.

Les jeux de règles de la catégorie Windows Threats permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux de détection et de réponse des points de terminaison (EDR). Cette catégorie comprend les jeux de règles suivants:

  • PowerShell anormale: identifie les commandes PowerShell contenant des techniques d'obscurcissement ou d'autres comportements anormaux.
  • Activité cryptographique: activité associée à une devise de cryptomonnaie suspecte
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut être légitime selon l'utilisation de l'organisation.
  • Vol d'informations: outils utilisés pour voler les identifiants, y compris les mots de passe, les cookies, les portefeuilles de cryptomonnaie et autres identifiants sensibles.
  • Accès initial: outils utilisés pour obtenir une exécution initiale sur une machine présentant un comportement suspect.
  • Logiciel légitime, mais mal utilisé: logiciel légitime utilisé de manière malveillante.
  • Bilans vivants hors des terres: outils natifs des systèmes d'exploitation Microsoft Windows qui peuvent être utilisés par des acteurs malintentionnés à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur malveillant.
  • Rançongiciel: activité associée à un rançongiciel
  • RAT: outils utilisés pour commander à distance les ressources réseau.
  • Diminution du niveau de sécurité: activité visant à désactiver ou à réduire l'efficacité des outils de sécurité.
  • Comportement suspect :

Appareils et types de journaux compatibles

Les jeux de règles de la catégorie Windows Threats ont été testés et sont compatibles avec les sources de données EDR compatibles Chronicle suivantes:

  • Noir carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Faucon CrowdStrike (CS_EDR)

Les jeux de règles de la catégorie Windows Threats sont en cours de test et d'optimisation pour les sources de données EDR compatibles Chronicle suivantes:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • Requête de système d'exploitation
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Chronicle si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Chronicle, consultez la page Analyseurs par défaut compatibles.

Champs obligatoires requis par la catégorie de menaces Windows

La section suivante décrit les données spécifiques requises par les jeux de règles dans la catégorie Windows Threats pour obtenir le meilleur avantage. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux d'événements des appareils.

  • Horodatage de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR est exécuté.
  • Processus principal: nom du processus en cours d'enregistrement.
  • Chemin du processus principal: emplacement sur le disque du processus en cours d'exécution, si disponible.
  • Ligne de commande principale du processus: paramètres de ligne de commande du processus, si disponibles.
  • Processus cible: nom du processus généré qui est lancé par le processus principal.
  • Chemin du processus cible: emplacement sur le disque du processus cible, si disponible.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, si disponible.
  • Processus cible SHA256\MD5: somme de contrôle du processus cible, si disponible. Cela permet de régler les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal

Alertes de réglage renvoyées par la catégorie de menaces Windows

La catégorie "Threats" de Windows comprend un ensemble de listes de référence qui vous permettent de contrôler les alertes générées par la détection de jeux de règles. Vous définissez dans la liste de référence les critères utilisés pour exclure un événement UDM de l'évaluation par l'ensemble de règles.

Tous les jeux de règles utilisent les mêmes critères pour exclure les événements de l'évaluation:

  • ligne de commande du processus
  • chemin du processus
  • ligne de commande cible
  • hachage de fichier
  • chemin cible

Cependant, chaque jeu de règles possède son propre ensemble de listes de référence portant un nom unique. Par exemple, les listes de référence de Hacktool ne filtrent que les alertes Hacktool et ne filtrent pas les alertes RAT. La liste de référence Hacktool pour exclure les événements basés sur le chemin d'accès du processus est gcti__win__hacktool__process_path__exclusion_list, tandis que la liste de référence RAT pour exclure les événements basés sur le chemin du processus est gcti__win__rat__process_path__exclusion_list.

Cette section décrit chaque type de liste de référence et fournit un exemple montrant comment renseigner les données de cette liste.

  • Powershell anormale: les listes de référence qui ajustent ces alertes portent le préfixe suivant: gcti__win__anomalous_powershell.
  • Activité cryptographique: les listes de référence qui ajustent ces alertes portent le préfixe suivant: gcti__win__crypto.
  • Hacktool: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__hacktool.
  • Info Stealer: les listes de référence qui ajustent ces alertes portent le préfixe suivant: gcti__win__info_stealer.
  • Accès initial: listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant : gcti__win__initial_access.
  • Léger, mais incorrecte: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__legit_but_misused.
  • Menace nommée: listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant : gcti__win__named_threat.
  • Rançongiciel: les listes de référence qui ajustent ces alertes portent le préfixe suivant : gcti__win__ransomware.
  • RAT: Les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__rat.
  • Comportement suspect: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__suspicious_behavior.
  • Rétrogradation de la stratégie de sécurité: les listes de référence qui ajustent ces alertes sont nommées avec le préfixe suivant: gcti__win__security_downgrade.
Nom générique Description
Ligne de commande de processus Nom de la liste de référence: `(prefix)__process_command_line__exclusion_list`

Saisissez les paramètres de ligne de commande du processus parent. Consultez l'alerte pour en savoir plus sur l'enregistrement de la ligne de commande dans le journal. Voici un exemple :

powershell.exe -ExecutionPolicy Bypass -Command

Les événements associés aux valeurs que vous avez fournies seront exclus de l'évaluation.
Chemin d'accès du processus Nom de la liste de référence: `(prefix)__process_path__exclusion_list`

Saisissez le chemin d'accès au processus qui génère l'alerte. La valeur fournie peut varier en fonction de la manière dont la source de données enregistre la valeur. Reportez-vous à un exemple d'alerte pour connaître le format exact. Voici quelques exemples:

powershell.exe

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Appareil\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

Les événements associés aux valeurs que vous avez fournies seront exclus de l'évaluation.
Ligne de commande cible Nom de la liste de référence: `(prefix)__target_command_line__exclusion_list`

La ligne de commande du processus cible en cours de lancement, par exemple:

rundll32.exe c:\windows\system32\foobar.dll,Désinstaller 0 0 1

Les événements associés aux valeurs que vous avez fournies seront exclus de l'évaluation.
Chemin cible Nom de la liste de référence: `(prefix)__target_path__exclusion_list`

Chemin d'accès du processus enfant faisant partie de l'alerte. La valeur fournie peut varier en fonction de la manière dont la source de données enregistre la valeur. Reportez-vous à un exemple d'alerte pour connaître le format exact. Voici quelques exemples:

\\Appareil\\HarddiskVolume2\\Windows\\System32\\rundll32.exe

c:\\windows\\system32\\rundll32.exe

c:\windows\system32\rundll32.exe

Les événements associés à ces valeurs seront exclus de l'évaluation.
Hachage cible Nom de la liste de référence: `(prefix)__target_hash__exclusion_list`

Le hachage SHA256 du fichier cible générant l'alerte, par exemple:

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

Les événements associés aux valeurs que vous avez fournies seront exclus de l'évaluation.