Ringkasan Kategori Ancaman Windows

Dokumen ini memberikan ringkasan tentang kumpulan aturan dalam kategori Ancaman Windows, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh kumpulan aturan ini.

Kumpulan aturan dalam kategori Ancaman Windows membantu mengidentifikasi ancaman di lingkungan Microsoft Windows menggunakan log Deteksi dan Respons Endpoint (EDR). Kategori ini mencakup kumpulan aturan berikut:

  • PowerShell yang tidak wajar: Mengidentifikasi perintah PowerShell yang berisi teknik obfuscation atau perilaku anomali lainnya.
  • Aktivitas Kripto: Aktivitas yang terkait dengan mata uang kripto yang mencurigakan.
  • Hacktool: Alat yang tersedia secara gratis dan mungkin dianggap mencurigakan, tetapi berpotensi sah, bergantung pada penggunaan organisasi.
  • Pencuri Info: Alat yang digunakan untuk mencuri kredensial, termasuk sandi, cookie, dompet kripto, dan kredensial sensitif lainnya.
  • Akses Awal: Alat yang digunakan untuk mendapatkan eksekusi awal pada mesin dengan perilaku mencurigakan.
  • Sah tetapi Disalahgunakan: Software sah yang diketahui telah disalahgunakan untuk tujuan berbahaya.
  • Living off the Land (LotL) Binaries: Alat bawaan sistem operasi Microsoft Windows yang dapat disalahgunakan oleh pelaku ancaman untuk tujuan berbahaya.
  • Ancaman Bernama: Perilaku yang terkait dengan pelaku ancaman yang diketahui.
  • Ransomware: Aktivitas yang terkait dengan ransomware.
  • RAT: Alat yang digunakan untuk memberikan perintah jarak jauh dan kontrol aset jaringan.
  • Downgrade Postur Keamanan: Aktivitas yang mencoba menonaktifkan atau menurunkan efektivitas alat keamanan.
  • Perilaku Mencurigakan: Perilaku umum yang mencurigakan.

Perangkat dan jenis log yang didukung

Kumpulan aturan dalam kategori Ancaman Windows telah diuji dan didukung dengan sumber data EDR yang didukung Chronicle berikut:

  • Karbon Hitam (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Kumpulan aturan dalam kategori Ancaman Windows sedang diuji dan dioptimalkan untuk sumber data EDR yang didukung Chronicle berikut:

  • Tanium
  • EDR Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zek
  • Silang (CYLANCE_PROTECT)

Hubungi perwakilan Chronicle jika Anda mengumpulkan data endpoint menggunakan software EDR yang berbeda.

Untuk mengetahui daftar semua sumber data yang didukung Chronicle, lihat Parser default yang didukung.

Kolom wajib diisi yang diperlukan oleh kategori Windows Threats

Bagian berikut menjelaskan data spesifik yang diperlukan oleh kumpulan aturan dalam kategori Ancaman Windows untuk mendapatkan manfaat terbesar. Pastikan perangkat Anda dikonfigurasi untuk mencatat data berikut ke log aktivitas perangkat.

  • Stempel Waktu Peristiwa
  • Nama host: Nama host sistem tempat software EDR dijalankan.
  • Proses Utama: Nama proses saat ini yang dicatat.
  • Jalur Proses Utama: Lokasi pada disk dari proses yang sedang berjalan, jika tersedia.
  • Principal Process Command Line: Parameter command line proses, jika tersedia.
  • Proses Target: Nama proses yang dihasilkan yang diluncurkan oleh proses utama.
  • Target Process Path: Lokasi pada disk proses target, jika tersedia.
  • Target Process Command Line: Parameter command line dari proses target, jika tersedia.
  • Proses Target SHA256\MD5: Checksum dari proses target, jika tersedia. Ini digunakan untuk menyesuaikan pemberitahuan.
  • ID Pengguna: Nama pengguna proses utama.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Ancaman Windows

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk informasi tentang cara melakukannya.