コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Windows 脅威のカテゴリの概要

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

Windows 脅威カテゴリのルールセットは、エンドポイントの検出と対応(EDR)ログを使用して Microsoft Windows 環境内の脅威を識別するのに役立ちます。このカテゴリには次のルールセットが含まれます。

  • 異常な PowerShell: 難読化手法やその他の異常な動作を含む PowerShell コマンドを識別します。
  • Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
  • Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
  • Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
  • Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
  • Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
  • 環境寄生型(LotL)バイナリ: Microsoft Windows オペレーティング システムに固有で、悪意のある人物によって悪意ある目的で使用される可能性があるツール。
  • Named Threat: 既知の脅威アクターに関連する行動。
  • Ransomware: ランサムウェアに関連するアクティビティ。
  • RAT: ネットワーク アセットをリモートで操作して制御するために使用するツール。
  • セキュリティ体制のダウングレード: セキュリティ ツールの有効性の無効化または無効化を試みるアクティビティ。
  • Suspicious Behavior: 全般的な不審な動作。

サポート対象のデバイスとログタイプ

Windows 脅威のカテゴリのルールセットはテスト済みであり、Chronicle のサポート対象となっている次の EDR データソースでサポートされています。

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon(WINDOWS_SYSMON
  • SentinelOne(SENTINEL_EDR
  • Crowdstrike Falcon (CS_EDR)

Windows 脅威のカテゴリのルールセットは、Chronicle のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

別の EDR ソフトウェアを使用してエンドポイント データを収集している場合は、Chronicle の担当者にお問い合わせください。

Chronicle のサポート対象となっているすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Windows 脅威のカテゴリに必要な必須フィールド

次のセクションでは、Windows 脅威カテゴリのルールセットで最大の利点を得るために必要な特定のデータについて説明します。次のデータがデバイスのイベントログに記録されるようにデバイスが構成されていることを確認してください。

  • イベント タイムスタンプ
  • ホスト名: EDR ソフトウェアが実行されているシステムのホスト名。
  • プリンシパル プロセス: ログに記録されている現在のプロセスの名前。
  • プリンシパル プロセス パス: 現在実行中のプロセスのディスク上の位置(存在する場合)。
  • プリンシパル プロセス コマンドライン: プリンシパル プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス: プリンシパル プロセスから起動される生成プロセス名。
  • ターゲット プロセス パス: ターゲット プロセスのディスク上の位置(存在する場合)。
  • ターゲット プロセスのコマンドライン: ターゲット プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス SHA256\MD5: ターゲット プロセスのチェックサム(使用可能な場合)。これはアラートの調整に使用されます。
  • ユーザー ID: プリンシパル プロセスのユーザー名。

Windows 脅威のカテゴリから返されるアラートの調整

Windows 脅威のカテゴリには、ルールセットの検出によって生成されたアラートを制御できる一連のリファレンス リストが含まれています。リファレンス リストで基準を定義します。リファレンス リストは、ルールセットによる評価から UDM イベントを除外するために使用されます。

すべてのルールセットは同じ基準を使用して評価からイベントを除外します。そのイベントとは以下のとおりです。

  • プロセス コマンドライン
  • プロセスのパス
  • ターゲット コマンドライン
  • ファイル ハッシュ
  • ターゲットのパス

ただし、各ルールセットには、一意の名前の参照リストのセットがあります。たとえば、Hacktool 参照リストでは Hacktool アラートのみがフィルタされ、RAT アラートはフィルタされません。プロセスパスに基づいてイベントを除外する Hacktool リファレンス リストは gcti__win__hacktool__process_path__exclusion_list ですが、プロセスパスに基づいてイベントを除外する RAT リファレンス リストは gcti__win__rat__process_path__exclusion_list です。

このセクションでは、各リファレンス リストの種類について説明し、そのリストにデータを入力する方法の一例を示します。

  • 異常な Powershell: これらのアラートを調整するリファレンス リストには、gcti__win__anomalous_powershell という接頭辞が付けられます。
  • Crypto Activity: これらのアラートを調整するリファレンス リストの名前には、gcti__win__crypto という接頭辞が付いています。
  • Hacktool: これらのアラートを調整するリファレンス リストの名前には、gcti__win__hacktool という接頭辞が付いています。
  • Info Stealer: これらのアラートを調整するリファレンス リストの名前には、gcti__win__info_stealer という接頭辞が付いています。
  • Initial Access: これらのアラートを調整するリファレンス リストの名前には、gcti__win__initial_access という接頭辞が付いています。
  • Legitimate but Misused: これらのアラートを調整するリファレンス リストの名前には、gcti__win__legit_but_misused という接頭辞が付いています。
  • Named Threat: これらのアラートを調整するリファレンス リストの名前には、gcti__win__named_threat という接頭辞が付いています。
  • Ransomware: これらのアラートを調整するリファレンス リストの名前には、gcti__win__ransomware という接頭辞が付いています。
  • RAT: これらのアラートを調整するリファレンス リストの名前には、gcti__win__rat という接頭辞が付いています。
  • Suspicious Behavior: これらのアラートを調整するリファレンス リストの名前には、gcti__win__suspicious_behavior という接頭辞が付いています。
  • セキュリティ体制のダウングレード: これらのアラートを調整するリファレンス リストには、gcti__win__security_downgrade という接頭辞が付けられます。
一般名 説明
プロセス コマンドライン リファレンス リスト名: `(prefix)__process_command_line__exclusion_list`

親プロセスのコマンドライン パラメータを入力します。ログにコマンドラインを記録する方法について詳しくは、アラートをご覧ください。次に例を示します。

powershell.exe - ExecutionPolicy Bypass コマンド

指定した値を持つイベントは評価から除外されます。
プロセスのパス リファレンス リスト名: `(prefix)__process_path__exclusion_list`

アラートを生成しているプロセスのパスを入力します。提供される値は、データソースが値を記録する方法によって異なる場合があります。正確な形式については、アラートの例をご覧ください。以下に例を示します。

powershell.exe

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Device\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

指定した値を持つイベントは評価から除外されます。
ターゲット コマンドライン リファレンス リスト名: `(prefix)__target_command_line__exclusion_list`

起動されるターゲット プロセスのコマンドライン。例:

rundll32.exe c:\windows\system32\foobar.dll,Uninstall 0 0 1

指定した値を持つイベントは評価から除外されます。
ターゲットのパス リファレンス リスト名: `(prefix)__target_path__exclusion_list`

アラートの一部である子プロセスのパス。提供される値は、データソースが値を記録する方法によって異なる場合があります。正確な形式については、アラートの例をご覧ください。以下に例を示します。

\\Device\\HarddiskVolume2\\Windows\\System32\\rundll32.exe

c:\\windows\\system32\\rundll32.exe

c:\windows\system32\rundll32.exe

この値を持つイベントは評価から除外されます。
ターゲット ハッシュ リファレンス リスト名: `(prefix)__target_hash__exclusion_list`

アラートを生成するターゲット ファイルの SHA256 ハッシュ。次に例を示します。

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

指定した値を持つイベントは評価から除外されます。