Présentation de la catégorie de menaces Windows

Ce document offre un aperçu des jeux de règles de la catégorie Menaces de Windows, le les sources de données requises et la configuration que vous pouvez utiliser pour régler les alertes générées ces jeux de règles.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux EDR (Endpoint Detection and Response). Cette catégorie comprend les jeux de règles suivants:

  • PowerShell anormal: identifie les commandes PowerShell contenant des techniques d'obscurcissement. ou tout autre comportement anormal.
  • Activité de cryptomonnaie: activité associée à une cryptomonnaie suspecte
  • Hacktool: outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut potentiellement légitimes selon l'utilisation de l'organisation.
  • Vol d'informations: outils utilisés pour voler les informations d'identification, y compris les mots de passe, les cookies les portefeuilles de cryptomonnaies et d’autres identifiants sensibles.
  • Accès initial: outils utilisés pour obtenir l’exécution initiale sur une machine avec tout comportement suspect.
  • Contenu légitime, mais mal utilisé: logiciel légitime connu pour avoir été utilisé de manière abusive pour à des fins malveillantes.
  • Living off the Land (LotL) Binaries: outils natifs des systèmes d'exploitation Microsoft Windows qui peuvent être détournés par des acteurs malveillants à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur malveillant connu
  • Ransomware: activité associée à un rançongiciel.
  • RAT: outils utilisés pour fournir une commande et un contrôle à distance des ressources réseau.
  • Rétrogradation de la stratégie de sécurité: activité visant à désactiver les outils de sécurité ou à en réduire l'efficacité.
  • Comportement suspect: comportement suspect général.

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Les jeux de règles de la catégorie Menaces de Windows sont en cours de test et d'optimisation pour les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Google Security Operations si vous collectez des données de point de terminaison à l'aide de différents logiciels EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez Analyseurs par défaut compatibles

Champs obligatoires requis par la catégorie "Menaces Windows"

La section suivante décrit les données spécifiques nécessaires aux jeux de règles dans le tableau de bord pour en tirer le meilleur bénéfice. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux des événements de l'appareil :

  • Code temporel de l'événement
  • Nom d'hôte: nom d'hôte du système sur lequel le logiciel EDR s'exécute.
  • Processus principal: nom du processus en cours de journalisation.
  • Chemin d'accès au processus principal: emplacement sur le disque du processus en cours d'exécution, si disponible.
  • Ligne de commande du processus principal: paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible: nom du processus généré en cours de lancement par le processus principal.
  • Chemin d'accès au processus cible: emplacement sur le disque du processus cible, le cas échéant.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, le cas échéant.
  • SHA256\MD5 du processus cible: somme de contrôle du processus cible, le cas échéant. Ceci est utilisé pour régler les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Régler les alertes renvoyées par la catégorie "Menaces Windows"

Les exclusions de règles vous permettent de réduire le nombre de détections qu'une règle ou un ensemble de règles génère.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par le jeu de règles, ou par des règles spécifiques dans le jeu de règles. Créer une ou plusieurs exclusions de règles pour réduire le volume de détections. Consultez Configurer des exclusions de règles pour en savoir plus sur la façon de procéder.