Windows 脅威のカテゴリの概要

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

Windows 脅威カテゴリのルールセットは、エンドポイントの検出と対応（EDR）ログを使用して Microsoft Windows 環境内の脅威を識別するのに役立ちます。このカテゴリには次のルールセットが含まれます。

異常な PowerShell: 難読化手法やその他の異常な動作を含む PowerShell コマンドを識別します。
Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
環境寄生型（LotL）バイナリ: Microsoft Windows オペレーティングシステムに固有で、悪意のある人物によって悪意ある目的で使用される可能性があるツール。
Named Threat: 既知の脅威アクターに関連する行動。
Ransomware: ランサムウェアに関連するアクティビティ。
RAT: ネットワークアセットをリモートで操作して制御するために使用するツール。
セキュリティ体制のダウングレード: セキュリティツールの有効性の無効化または無効化を試みるアクティビティ。
Suspicious Behavior: 全般的な不審な動作。

サポート対象のデバイスとログタイプ

Windows 脅威のカテゴリのルールセットはテスト済みであり、Chronicle のサポート対象となっている次の EDR データソースでサポートされています。

Windows 脅威のカテゴリのルールセットは、Chronicle のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

別の EDR ソフトウェアを使用してエンドポイントデータを収集している場合は、Chronicle の担当者にお問い合わせください。

Chronicle のサポート対象となっているすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

次のセクションでは、Windows 脅威カテゴリのルールセットで最大の利点を得るために必要な特定のデータについて説明します。次のデータがデバイスのイベントログに記録されるようにデバイスが構成されていることを確認してください。

ルールの除外を使用して、ルールまたはルールセットによって生成される検出の数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。