Windows 脅威のカテゴリの概要

以下でサポートされています。

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

これらのルールセットは、検出とアラートを通じて、エンドポイントのアラートデータからさらに調査すべきことを示す、すぐに対応できるコンテキストを提供します。セキュリティ イベントのモニタリングとトリアージの能力を強化し、悪意のあるアラートや対処可能なケース(アラートのコレクション)に集中できるようにします。これらのキュレートされた分析により、エンドポイント アラートへの対応の優先順位付け、調査のための追加のコンテキストの提供、エンドポイント ログを使用したセキュリティ イベント モニタリングの改善が可能になります。

Windows 脅威カテゴリのルールセットは、エンドポイントの検出と対応(EDR)ログを使用して Microsoft Windows 環境内の脅威を識別するのに役立ちます。このカテゴリには、次のルールセットが含まれます。

  • 異常な PowerShell: 難読化手法やその他の異常な動作を含む PowerShell コマンドを識別します。
  • Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
  • Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
  • Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
  • Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
  • Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
  • 環境寄生型(LotL)バイナリ: Microsoft Windows オペレーティング システムに固有で、悪意のある人物によって悪意ある目的で使用される可能性があるツール。
  • Named Threat: 既知の脅威アクターに関連する行動。
  • Ransomware: ランサムウェアに関連するアクティビティ。
  • RAT: ネットワーク資産のリモート コマンドとコントロールの提供に使用するツール。
  • Security Posture Downgrade: セキュリティ ツールの有効性を無効化または低下しようとするアクティビティ。
  • Suspicious Behavior: 全般的な不審な動作。
  • Mandiant Front-Line Threats: このルールセットには、Mandiant による世界中のアクティブなインシデントの調査と対応から導き出されたルールが含まれています。これらのルールは、スクリプト インタープリタによる実行(T1059)、ユーザー実行(T1204)、システム バイナリ プロキシ実行(T1218)など、よく見られる TTP を対象としています。
  • Mandiant Intel Emerging Threats: このルールセットには、Mandiant Intelligence のキャンペーンと重要なイベントから導出されたルールが含まれています。これらのルールは、Mandiant による評価に基づき、影響力の大きい地政学的脅威と脅威アクティビティを対象としています。このような活動には、地政学的紛争、不正使用、フィッシング、マルバタイジング、ランサムウェア、サプライ チェーンの侵害が含まれます。
  • エンドポイントのアラート優先順位付け: このルールセットは、以前の Mandiant Automated Defense - Alert, Investigation & Prioritization プロダクトの機能を利用します。このルールセットは、次のようなパターンを識別します。
    • 攻撃の進行状況: 内部アセットに複数の侵害の兆候が見られ、それらを総合的に判断すると、システムが侵害されている可能性が高いため、調査する必要があります。
    • 内部アセット上のマルウェア: マルウェアがファイル システムに到達した兆候を示している内部アセット。調査が必要です。攻撃者は、エクスプロイトの試みが成功した後に、ファイル システムに悪意のあるコードをステージングします。
    • 不正なハッキング ツール: システムの侵害を示すエクスプロイト ツールのアクティビティを示す内部アセット。エクスプロイト ツールは、システムへのアクセス権を取得して拡張するために使用できる一般公開されているソフトウェアまたはハッキング ツールであり、攻撃者とレッドチームの両方によって使用されます。システムまたはアカウントによって明示的に承認されていない場合は、これらのツールの使用状況を調査する必要があります。
    • プロセスの異常な動作: 一般的な実行可能ファイルが異常な方法で使用されている内部アセットは、ホストが侵害されていることを強く示唆します。異常な「自給自足」行為が発生した場合は、調査する必要があります。

エンドポイントのアラート優先度ルールセットは、Google Security Operations Enterprise Plus ライセンスで利用できます。

サポート対象のデバイスとログタイプ

このセクションでは、各ルールセットに必要なデータについて説明します。

Windows 脅威のカテゴリのルールセットはテスト済みであり、Google Security Operations のサポート対象となっている次の EDR データソースでサポートされています。

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Windows 脅威のカテゴリのルールセットは、Google Security Operations のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

別の EDR ソフトウェアを使用してエンドポイント データを収集している場合は、Google Security Operations の担当者にお問い合わせください。

Google Security Operations がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Windows 脅威のカテゴリに必要な必須フィールド

次のセクションでは、Windows 脅威カテゴリのルールセットで最大の利点を得るために必要な特定のデータについて説明します。デバイスが次のデータをデバイス イベントログに記録するように構成されていることを確認します。

  • イベント タイムスタンプ
  • ホスト名: EDR ソフトウェアが実行されているシステムのホスト名。
  • プリンシパル プロセス: ロギングされている現在のプロセスの名前。
  • プリンシパル プロセス パス: 現在実行中のプロセスのディスク上の位置(存在する場合)。
  • プリンシパル プロセス コマンドライン: プリンシパル プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス: プリンシパル プロセスから起動される生成プロセス名。
  • ターゲット プロセス パス: ターゲット プロセスのディスク上の位置(存在する場合)。
  • ターゲット プロセスのコマンドライン: ターゲット プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス SHA256\MD5: ターゲット プロセスのチェックサム(使用可能な場合)。これはアラートのチューニングに使用されます。
  • ユーザー ID: プリンシパル プロセスのユーザー名。

エンドポイント ルールセットのアラートの優先順位付け

このルールセットはテスト済みであり、Google Security Operations のサポート対象となっている次の EDR データソースでサポートされています。

  • Microsoft Defender for Endpoint(MICROSOFT_GRAPH_ALERT
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

エンドポイント ルールセットの UDM フィールドのアラート優先度

次のセクションでは、エンドポイントのアラート優先度付けルールセットに必要な UDM フィールド データについて説明します。独自のカスタム パーサーを作成してデフォルトのパーサーを変更する場合は、これらのフィールドのマッピングを変更しないでください。これらのフィールドのマッピング方法を変更すると、この機能の動作に影響する可能性があります。

UDM フィールド名 説明
metadata.event_type 正規化されたイベントタイプ。
metadata.product_name プロダクト名
security_result.detection_fields["externall_api_type"] 対象のイベントをフィルタするフィールド。
security_result.threat_name マルウェア ファミリーなどの脅威に対するベンダー指定の分類。
security_result.category_details ベンダー固有のマルウェア カテゴリ
security_result.summary アラートの概要。
security_result.rule_name ベンダーから提供されたアラート名。
security_result.attack_details Mitre ATT&CK の戦術と手法の特定に使用されます。
security_result.description アラートの簡単な説明。
security_result.action コントロールが実行するアクション。
principal.process.file.names 実行中のプロセスのファイル名。
principal.process.file.full_path 現在実行中のプロセスのディスク上の位置(存在する場合)。
principal.process.command_line プロセスのコマンドライン パラメータ(利用可能な場合)。
principal.asset.hostname EDR ソフトウェアが実行されているシステムのホスト名。
principal.hostname EDR ソフトウェアが実行されているシステムのホスト名。
principal.user.userid プリンシパル プロセスのユーザー名。
target.file.full_path プリンシパルが操作しているファイルの名前。
target.file.md5/sha256 ターゲット ファイルのチェックサム(使用可能な場合)。

Windows 脅威のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。

たとえば、次の情報を基にイベントを除外できます。

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。