Panoramica della categoria di minacce Windows

Questo documento fornisce una panoramica delle serie di regole nella categoria Minacce Windows, delle origini dati richieste e della configurazione che è possibile utilizzare per ottimizzare gli avvisi generati da tali serie.

Le serie di regole della categoria Minacce Windows aiutano a identificare le minacce negli ambienti Microsoft Windows utilizzando i log EDR (Endpoint Detection and Response). Questa categoria include le seguenti serie di regole:

  • PowerShell anomala: identifica i comandi PowerShell che contengono tecniche di offuscamento o altri comportamenti anomali.
  • Attività crittografica: attività associata a criptovalute sospette.
  • Hacktool: strumento disponibile gratuitamente che può essere considerato sospetto, ma potenzialmente legittimo a seconda dell'utilizzo da parte dell'organizzazione.
  • Furto di informazioni: strumenti utilizzati per rubare le credenziali, tra cui password, cookie, cripto-wallet e altre credenziali sensibili.
  • Accesso iniziale: strumenti utilizzati per ottenere l'esecuzione iniziale su una macchina con comportamento sospetto.
  • Legittimo ma utilizzato in modo improprio: software legittimo di cui è noto l'utilizzo illecito per scopi illeciti.
  • Living off the Land (LotL) Binaries: strumenti nativi dei sistemi operativi Microsoft Windows che possono essere utilizzati in modo illecito dai malintenzionati per scopi dannosi.
  • Minaccia denominata: comportamento associato a un attore noto della minaccia.
  • Ransomware: attività associate al ransomware.
  • RAT: strumenti utilizzati per fornire il comando e il controllo remoto degli asset di rete.
  • Downgrade di Security Posture: attività che tenta di disattivare o ridurre l'efficacia degli strumenti di sicurezza.
  • Comportamento sospetto: comportamento sospetto generico.

Dispositivi e tipi di log supportati

Le serie di regole nella categoria Minacce Windows sono state testate e sono supportate con le seguenti origini dati EDR supportate da Chronicle:

  • Nero carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Le serie di regole nella categoria Minacce Windows sono in fase di test e ottimizzazione per le seguenti origini dati EDR supportate da Chronicle:

  • Tanium
  • EDR Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cilance (CYLANCE_PROTECT)

Contatta il tuo rappresentante Chronicle se stai raccogliendo i dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Chronicle, consulta Analizzatori predefiniti supportati.

Campi obbligatori per la categoria Minacce Windows

La sezione seguente descrive i dati specifici richiesti dalle serie di regole nella categoria Minacce di Windows per ottenere il massimo vantaggio. Assicurati che i dispositivi siano configurati in modo da registrare i seguenti dati nei log eventi del dispositivo.

  • Timestamp evento
  • Nome host: il nome host del sistema su cui è in esecuzione il software EDR.
  • Processo principale: nome del processo corrente registrato.
  • Percorso processo dell'entità: posizione su disco del processo in esecuzione attuale, se disponibile.
  • Riga di comando del processo dell'entità: parametri della riga di comando del processo, se disponibili.
  • Processo di destinazione: nome del processo generato avviato dal processo principale.
  • Percorso del processo di destinazione: posizione su disco del processo di destinazione, se disponibile.
  • Riga di comando del processo di destinazione: parametri della riga di comando del processo target, se disponibili.
  • SHA256\MD5 del processo di destinazione: checksum del processo di destinazione, se disponibile. Utilizzata per ottimizzare gli avvisi.
  • ID utente: il nome utente del processo dell'entità.

Ottimizzazione degli avvisi restituiti dalla categoria Minacce di Windows

Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.

L'esclusione di una regola definisce i criteri utilizzati per escludere un evento dalla valutazione da parte della serie di regole o di regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume di rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.