コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Windows 脅威のカテゴリの概要

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

Windows 脅威のカテゴリのルールセットは、エンドポイントの検出と応答(EDR)ログを使用して Windows 環境の脅威を識別するのに役立ちます。このカテゴリには次のルールセットが含まれています。

  • Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
  • Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
  • Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
  • Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
  • Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
  • Named Threat: 既知の脅威アクターに関連する行動。
  • Ransomware: ランサムウェアに関連するアクティビティ。
  • Suspicious Behavior: 全般的な不審な動作。
  • RAT: ネットワーク アセットをリモートで操作して制御するために使用するツール。

サポート対象のデバイスとログタイプ

Windows 脅威のカテゴリのルールセットはテスト済みであり、Chronicle のサポート対象となっている次の EDR データソースでサポートされています。

  • Carbon Black(CB_EDR)
  • Microsoft Sysmon(WINDOWS_SYSMON)
  • SentinelOne(SENTINEL_EDR)
  • Crowdstrike Falcon(CS_EDR)

Windows 脅威のカテゴリのルールセットは、Chronicle のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

  • Tanium
  • Cybereason EDR(CYBEREASON_EDR)
  • Lima Charlie(LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance(CYLANCE_PROTECT)

別の EDR ソフトウェアを使用してエンドポイント データを収集している場合は、Chronicle の担当者にお問い合わせください。

Chronicle のサポート対象となっているすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Windows 脅威のカテゴリに必要な必須フィールド

次のセクションでは、Windows 脅威のカテゴリのルールセットで最大の効果を得るために必要な特定のデータについて説明します。次のデータがデバイスのイベントログに記録されるようにデバイスが構成されていることを確認してください。

  • イベント タイムスタンプ
  • ホスト名: EDR ソフトウェアが実行されているシステムのホスト名。
  • プリンシパル プロセス: ログに記録されている現在のプロセスの名前。
  • プリンシパル プロセス パス: 現在実行中のプロセスのディスク上の位置(存在する場合)。
  • プリンシパル プロセス コマンドライン: プリンシパル プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス: プリンシパル プロセスから起動される生成プロセス名。
  • ターゲット プロセス パス: ターゲット プロセスのディスク上の位置(存在する場合)。
  • ターゲット プロセスのコマンドライン: ターゲット プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス SHA256\MD5: ターゲット プロセスのチェックサム(使用可能な場合)。これはアラートの調整に使用されます。
  • ユーザー ID: プリンシパル プロセスのユーザー名。

Windows 脅威のカテゴリから返されるアラートの調整

Windows 脅威のカテゴリには、ルールセットの検出によって生成されたアラートを制御できる一連のリファレンス リストが含まれています。リファレンス リストで基準を定義します。リファレンス リストは、ルールセットによる評価から UDM イベントを除外するために使用されます。

すべてのルールセットは同じ基準を使用して評価からイベントを除外します。そのイベントとは以下のとおりです。

  • プロセス コマンドライン
  • プロセスのパス
  • ターゲット コマンドライン
  • ファイル ハッシュ
  • ターゲットのパス

ただし、各ルールセットには、一意の名前を持つリファレンス リストのセットがあります。たとえば、Hacktool リファレンス リストでは Hacktool アラートのみがフィルタされ、RAT アラートはフィルタされません。プロセスパスに基づいてイベントを除外する Hacktool リファレンス リストは gcti__win__hacktool__process_path__exclusion_list ですが、プロセスパスに基づいてイベントを除外する RAT リファレンス リストは gcti__win__rat__process_path__exclusion_list です。

このセクションでは、各リファレンス リストの種類について説明し、そのリストにデータを入力する方法の一例を示します。

  • Crypto Activity: これらのアラートを調整するリファレンス リストの名前には、gcti__win__crypto という接頭辞が付いています。
  • Hacktool: これらのアラートを調整するリファレンス リストの名前には、gcti__win__hacktool という接頭辞が付いています。
  • Info Stealer: これらのアラートを調整するリファレンス リストの名前には、gcti__win__info_stealer という接頭辞が付いています。
  • Initial Access: これらのアラートを調整するリファレンス リストの名前には、gcti__win__initial_access という接頭辞が付いています。
  • Legitimate but Misused: これらのアラートを調整するリファレンス リストの名前には、gcti__win__legit_but_misused という接頭辞が付いています。
  • Named Threat: これらのアラートを調整するリファレンス リストの名前には、gcti__win__named_threat という接頭辞が付いています。
  • Ransomware: これらのアラートを調整するリファレンス リストの名前には、gcti__win__ransomware という接頭辞が付いています。
  • RAT: これらのアラートを調整するリファレンス リストの名前には、gcti__win__rat という接頭辞が付いています。
  • Suspicious Behavior: これらのアラートを調整するリファレンス リストの名前には、gcti__win__suspicious_behavior という接頭辞が付いています。
一般名 説明
プロセス コマンドライン リファレンス リスト名: `(prefix)__process_command_line__exclusion_list`

親プロセスのコマンドライン パラメータを入力します。ログにコマンドラインを記録する方法について詳しくは、アラートをご覧ください。次に例を示します。

powershell.exe - ExecutionPolicy Bypass コマンド

指定した値を持つイベントは評価から除外されます。

プロセスのパス リファレンス リスト名: `(prefix)__process_path__exclusion_list`

アラートを生成しているプロセスのパスを入力します。入力される値は、データソースが値を記録する方法によって異なる場合があります。正確な形式については、アラートの例をご覧ください。 以下に例を示します。

powershell.exe

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Device\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

指定した値を持つイベントは評価から除外されます。

ターゲット コマンドライン リファレンス リスト名: `(prefix)__target_command_line__exclusion_list`

起動されるターゲット プロセスのコマンドライン。例:

rundll32.exe c:\windows\system32\foobar.dll,Uninstall 0 0 1

指定した値を持つイベントは評価から除外されます。

ターゲットのパス リファレンス リスト名: `(prefix)__target_path__exclusion_list`

アラートの一部である生成される子プロセスのパス。入力される値は、データソースが値を記録する方法によって異なる場合があります。正確な形式については、アラートの例をご覧ください。 以下に例を示します。

\\Device\\HarddiskVolume2\\Windows\\System32\\rundll32.exe

c:\\windows\\system32\\rundll32.exe

c:\windows\system32\rundll32.exe

この値を持つイベントは評価から除外されます。

ターゲット ハッシュ リファレンス リスト名: `(prefix)__target_hash__exclusion_list`

アラートを生成するターゲット ファイルの SHA256 ハッシュ。次に例を示します。

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

指定した値を持つイベントは評価から除外されます。