Panoramica della categoria Minacce di Windows

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce di Windows, le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi insiemi di regole.

Questi insiemi di regole forniscono un contesto immediatamente attuabile, tramite rilevamenti e avvisi, che indicano cosa deve essere ulteriormente esaminato dai dati degli avvisi degli endpoint. Contribuiscono a migliorare la capacità di monitoraggio e di triage degli eventi di sicurezza, consentendoti di concentrarti sugli avvisi e sulle richieste (raccolte di avvisi) dannosi e che richiedono un'azione. Questi dati selezionati ti consentono di dare la priorità alla risposta agli avvisi sugli endpoint, fornire un contesto aggiuntivo per le indagini e migliorare il monitoraggio degli eventi di sicurezza utilizzando i log degli endpoint.

I set di regole nella categoria Minacce di Windows consentono di identificare le minacce negli ambienti Microsoft Windows utilizzando i log di rilevamento e risposta degli endpoint (EDR). Questa categoria include i seguenti insiemi di regole:

  • PowerShell anomalo: identifica i comandi PowerShell contenenti tecniche di offuscamento o altri comportamenti anomali.
  • Attività di criptovaluta: attività associate a criptovalute sospette.
  • Hacktool: strumento disponibile gratuitamente che potrebbe essere considerato sospetto, ma potrebbe essere potenzialmente legittimo a seconda dell'utilizzo da parte dell'organizzazione.
  • Info Stealer: strumenti utilizzati per rubare credenziali, tra cui password, cookie, portafogli di criptovalute e altre credenziali sensibili.
  • Accesso iniziale: strumenti utilizzati per ottenere l'esecuzione iniziale su un computer con comportamento sospetto.
  • Legittimo, ma utilizzato in modo improprio: software legittimo di cui è noto che viene utilizzato in modo improprio per scopi dannosi.
  • Binari Living off the Land (LotL): strumenti integrati nei sistemi operativi Microsoft Windows che possono essere utilizzati in modo improprio dagli autori delle minacce per scopi dannosi.
  • Minaccia denominata: comportamento associato a un aggressore noto.
  • Ransomware: attività associate al ransomware.
  • RAT: strumenti utilizzati per fornire il comando e il controllo remoto delle risorse di rete.
  • Downgrade della postura di sicurezza: attività che tentano di disattivare o ridurre l'efficacia degli strumenti di sicurezza.
  • Comportamento sospetto: comportamento sospetto generico.
  • Minacce in prima linea di Mandiant: questo insieme di regole contiene regole derivate dall'indagine e dalla risposta di Mandiant agli incidenti attivi in tutto il mondo. Queste regole coprono le TTP più comuni, come l'esecuzione tramite interpreti di script (T1059), l'esecuzione da parte dell'utente (T1204) e l'esecuzione di proxy di binari di sistema (T1218).
  • Minacce emergenti di Mandiant Intel: questo insieme di regole contiene regole ricavate dalle campagne di Mandiant Intelligence e dagli eventi significativi, che coprono attività di minacce e geopolitiche di grande impatto, come valutato da Mandiant. Queste attività possono includere conflitti geopolitici, sfruttamento, phishing, pubblicità malware, ransomware e compromissioni della catena di approvvigionamento.
  • Priorità degli avvisi per gli endpoint: questo insieme di regole utilizza la funzionalità precedentemente disponibile nel prodotto Mandiant Automated Defense - Alert, Investigation & Prioritization. Questo insieme di regole identifica pattern come i seguenti:
    • Progressione dell'attacco: asset interni che presentano più segni di compromissione che, considerati insieme, aumentano la probabilità che il sistema sia compromesso e quindi debba essere esaminato.
    • Malware negli asset interni: asset interni che mostrano segni che indicano che il malware ha raggiunto il file system e che devono essere esaminati. Gli aggressori spesso inseriscono codice dannoso nel file system dopo un tentativo di sfruttamento riuscito.
    • Strumenti di hacking non autorizzati: asset interni che mostrano attività di strumenti di sfruttamento che indicano la compromissione del sistema. Gli exploit sono software o strumenti di hacking disponibili pubblicamente che possono essere utilizzati per ottenere e ampliare l'accesso ai sistemi e sono utilizzati sia dagli aggressori che dai team Red. L'osservanza di questi strumenti deve essere verificata se l'utilizzo non è esplicitamente autorizzato da un sistema o un account.
    • Comportamenti insoliti dei processi: gli asset interni in cui vengono utilizzati in modo insolito file eseguibili comuni sono un forte indicatore di un host compromesso. È necessario indagare sulla presenza di comportamenti insoliti di "vita off-grid".

Il set di regole di definizione dell'ordine di priorità degli avvisi per gli endpoint è disponibile con una licenza Google Security Operations Enterprise Plus.

Dispositivi e tipi di log supportati

Questa sezione elenca i dati richiesti da ogni insieme di regole.

I set di regole nella categoria Minacce di Windows sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google Security Operations:

  • Nero carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

I set di regole nella categoria Minacce Windows vengono testati e ottimizzati per le seguenti origini dati EDR supportate da Google Security Operations:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contatta il tuo rappresentante di Google Security Operations se raccogli i dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Campi obbligatori necessari per la categoria Minacce di Windows

La sezione seguente descrive i dati specifici necessari per gli insiemi di regole nella categoria Minacce di Windows per ottenere il massimo vantaggio. Assicurati che i dispositivi siano configurati per registrare i seguenti dati nei log degli eventi del dispositivo.

  • Timestamp evento
  • Nome host: nome host del sistema in cui è in esecuzione il software EDR.
  • Processo principale: il nome del processo corrente registrato.
  • Percorso del processo principale: posizione sul disco del processo in esecuzione corrente, se disponibile.
  • Riga di comando del processo principale: i parametri della riga di comando del processo, se disponibili.
  • Processo target: il nome del processo generato avviato dal processo principale.
  • Percorso del processo di destinazione: posizione sul disco del processo di destinazione, se disponibile.
  • Riga di comando del processo di destinazione: i parametri della riga di comando del processo di destinazione, se disponibili.
  • Processo di destinazione SHA256\MD5: checksum del processo di destinazione, se disponibile. Viene utilizzato per ottimizzare gli avvisi.
  • ID utente: il nome utente del processo principale.

Assegnazione della priorità agli avvisi per l'insieme di regole Endpoints

Questo insieme di regole è stato testato e supportato con le seguenti origini dati EDR supportate da Google Security Operations:

  • Microsoft Defender for Endpoint (MICROSOFT_GRAPH_ALERT)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Assegnazione della priorità agli avvisi per i campi UDM dell'insieme di regole Endpoints

La sezione seguente descrive i dati dei campi UDM necessari per l'insieme di regole di definizione dell'ordine di priorità degli avvisi per gli endpoint. Se modifichi un parser predefinito creando un parser personalizzato, assicurati di non modificare il mapping di questi campi. Se modifichi la mappatura di questi campi,potresti influire sul comportamento di questa funzionalità.

Nome del campo UDM Descrizione
metadata.event_type Un tipo di evento normalizzato.
metadata.product_name Il nome del prodotto.
security_result.detection_fields["externall_api_type"] Campi per filtrare gli eventi di interesse.
security_result.threat_name Classificazione di una minaccia, ad esempio una famiglia di malware, assegnata dal fornitore.
security_result.category_details La categoria di malware specifica del fornitore
security_result.summary Un riepilogo dell'avviso.
security_result.rule_name Un nome di avviso fornito dal fornitore.
security_result.attack_details Utilizzato per identificare le tattiche e le tecniche Mitre ATT&CK.
security_result.description Una breve descrizione dell'avviso.
security_result.action Azione intrapresa dal controllo.
principal.process.file.names Il nome del file del processo in esecuzione.
principal.process.file.full_path Posizione sul disco del processo in esecuzione corrente, se disponibile.
principal.process.command_line Parametri della riga di comando del processo, se disponibili.
principal.asset.hostname Nome host del sistema su cui è in esecuzione il software EDR.
principal.hostname Nome host del sistema su cui è in esecuzione il software EDR.
principal.user.userid Il nome utente del processo principale.
target.file.full_path Il nome del file con cui il principale interagisce.
target.file.md5/sha256 Il checksum del file di destinazione, se disponibile.

Avvisi di ottimizzazione restituiti dalla categoria Minacce di Windows

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Ad esempio, potresti escludere gli eventi in base alle seguenti informazioni:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.