컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Windows 위협 카테고리 개요

이 문서에서는 Windows 위협 카테고리의 규칙 집합, 필요한 데이터 소스, 이러한 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성을 간략하게 설명합니다.

Windows 위협 카테고리의 규칙 집합은 엔드포인트 감지 및 응답(EDR) 로그를 사용하여 Microsoft Windows 환경의 위협을 식별하는 데 도움이 됩니다. 이 카테고리에는 다음 규칙 집합이 포함됩니다.

  • 암호화 활동: 의심스러운 암호화 통화와 관련된 활동입니다.
  • Hacktool: 의심스러운 것으로 간주될 수 있지만 조직의 용도에 따라 합법적일 수 있는 자유롭게 사용할 수 있는 도구입니다.
  • 정보 탈취: 비밀번호, 쿠키, 암호화 월렛, 기타 민감한 사용자 인증 정보를 포함하여 기타 중요한 사용자 인증 정보를 탈취하는 데 사용되는 도구입니다.
  • 초기 액세스: 의심스러운 동작이 있는 머신에서 초기 실행을 수행하는 데 사용되는 도구입니다.
  • 합법적이지만 오용됨: 악의적인 목적으로 악용된 것으로 알려진 합법적인 소프트웨어입니다.
  • Living off the Land(LotL) 바이너리: 위협 행위자가 악의적인 목적으로 악용할 수 있는 Microsoft Windows 운영체제 기반 도구입니다.
  • 명명된 위협: 알려진 위협 행위자와 관련된 행동입니다.
  • 랜섬웨어: 랜섬웨어와 관련된 활동입니다.
  • RAT: 네트워크 애셋의 원격 명령어 및 제어 기능을 제공하는 데 사용되는 도구입니다.
  • 보안 상태 다운그레이드: 보안 도구의 효과를 사용 중지 또는 줄이려고 하는 활동입니다.
  • 의심스러운 행동: 일반적인 의심스러운 행동입니다.

지원되는 기기 및 로그 유형

Windows 위협 카테고리의 규칙 집합은 테스트되었으며, 다음과 같이 지원되는 Chronicle EDR 데이터 소스에서 지원됩니다.

  • Carbon Black(CB_EDR)
  • Microsoft Sysmon(WINDOWS_SYSMON)
  • SentinelOne(SENTINEL_EDR)
  • CrowdStrike Falcon(CS_EDR)

Windows Threats 카테고리의 규칙 집합은 다음과 같이 지원되는 Chronicle EDR 데이터 소스에 대해 테스트 및 최적화됩니다.

  • Tanium
  • Cybereason EDR(CYBEREASON_EDR)
  • Lima Charlie(LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance(CYLANCE_PROTECT)

다른 EDR 소프트웨어를 사용하여 엔드포인트 데이터를 수집하는 경우 Chronicle 담당자에게 문의하세요.

지원되는 모든 Chronicle 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.

Windows 위협 카테고리에 필요한 필드

다음 섹션에서는 Windows 위협 카테고리의 규칙 집합에 필요한 특정 데이터를 설명하여 가장 큰 이점을 얻을 수 있습니다. 해당 기기가 기기 이벤트 로그에 다음 데이터를 기록하도록 구성되었는지 확인합니다.

  • 이벤트 타임스탬프
  • 호스트 이름: EDR 소프트웨어가 실행되는 시스템의 호스트 이름입니다.
  • 기본 프로세스: 로깅되는 현재 프로세스의 이름입니다.
  • 기본 프로세스 경로: 현재 실행 중인 프로세스의 디스크 위치입니다(사용 가능한 경우).
  • 기본 프로세스 명령줄: 프로세스의 명령줄 매개변수입니다(사용 가능한 경우).
  • 대상 프로세스: 기본 프로세스에서 실행 중인 생성 프로세스의 이름입니다.
  • 대상 프로세스 경로: 대상 프로세스의 디스크 위치입니다(사용 가능한 경우).
  • 대상 프로세스 명령줄: 대상 프로세스의 명령줄 매개변수(사용 가능한 경우)입니다.
  • 대상 프로세스 SHA256\MD5: 대상 프로세스의 체크섬입니다(사용 가능한 경우). 알림을 조정하는 데 사용됩니다.
  • 사용자 ID: 기본 프로세스의 사용자 이름입니다.

Windows 위협 카테고리에서 반환된 알림 조정

Windows 위협 카테고리에는 규칙 집합 감지로 생성된 알림을 제어할 수 있는 참조 목록 집합이 포함됩니다. 규칙 집합의 평가에서 UDM 이벤트를 제외하는 데 사용되는 참조 목록에 기준을 정의합니다.

모든 규칙 집합은 동일한 기준을 사용하여 평가에서 이벤트를 제외합니다.

  • 프로세스 명령줄
  • 프로세스 경로
  • 대상 명령줄
  • 파일 해시
  • 대상 경로

하지만 각 규칙 집합에는 고유한 이름의 참조 목록 집합이 있습니다. 예를 들어 Hacktool 참조 목록은 Hacktool 알림만 필터링하고 RAT 알림은 필터링하지 않습니다. 프로세스 경로를 기반으로 이벤트를 제외하는 Hacktool 참조 목록은 gcti__win__hacktool__process_path__exclusion_list인 반면 프로세스 경로를 기반으로 이벤트를 제외하는 RAT 참조 목록은 gcti__win__rat__process_path__exclusion_list입니다.

이 섹션에서는 각 참조 목록 유형을 설명하고 해당 목록에 데이터를 채우는 방법을 보여주는 예시를 제공합니다.

  • 암호화 활동: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__crypto로 이름이 지정됩니다.
  • Hacktool: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__hacktool로 이름이 지정됩니다.
  • 정보 탈취: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__info_stealer로 이름이 지정됩니다.
  • 초기 액세스: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__initial_access로 이름이 지정됩니다.
  • 합법적이지만 오용됨: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__legit_but_misused로 이름이 지정됩니다.
  • 명명된 위협: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__named_threat로 이름이 지정됩니다.
  • 랜섬웨어: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__ransomware로 이름이 지정됩니다.
  • RAT: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__rat로 이름이 지정됩니다.
  • 의심스러운 행동: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__suspicious_behavior로 이름이 지정됩니다.
  • 보안 상태 다운그레이드: 이러한 알림을 조정하는 참조 목록은 다음 프리픽스 gcti__win__security_downgrade로 이름이 지정됩니다.
일반적인 이름 설명
프로세스 명령줄 참조 목록 이름: `(prefix)__process_command_line__exclusion_list`

상위 프로세스의 명령줄 매개변수를 입력합니다. 명령줄이 로그에 기록되는 방법에 대한 자세한 내용은 알림을 참조하세요. 예를 들면 다음과 같습니다.

powershell.exe -ExecutionPolicy 우회 -명령어

사용자가 값을 제공한 이벤트는 평가에서 제외됩니다.

프로세스 경로 참조 목록 이름: `(prefix)__process_path__exclusion_list`

알림을 생성하는 프로세스의 경로를 입력합니다. 제공된 값은 데이터 소스가 값을 기록하는 방식에 따라 다를 수 있습니다. 정확한 형식은 알림 예시를 참조하세요. 다음과 같은 예시가 있습니다.

powershell.exe

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Device\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

사용자가 값을 제공한 이벤트는 평가에서 제외됩니다.

대상 명령줄 참조 목록 이름: `(prefix)__target_command_line__exclusion_list`

실행 중인 대상 프로세스의 명령줄입니다. 예를 들면 다음과 같습니다.

rundll32.exe c:\windows\system32\foobar.dll,Uninstall 0 0 1

사용자가 값을 제공한 이벤트는 평가에서 제외됩니다.

대상 경로 참조 목록 이름: `(prefix)__target_path__exclusion_list`

알림의 일부로 생성되는 하위 프로세스의 경로입니다. 제공된 값은 데이터 소스가 값을 기록하는 방식에 따라 다를 수 있습니다. 정확한 형식은 알림 예시를 참조하세요. 다음과 같은 예시가 있습니다.

\\Device\\HarddiskVolume2\\Windows\\System32\\rundll32.exe

c:\\windows\\system32\\rundll32.exe

c:\windows\system32\rundll32.exe

값이 있는 이벤트는 평가에서 제외됩니다.

대상 해시 참조 목록 이름: `(prefix)__target_hash__exclusion_list`

경고를 생성하는 대상 파일의 SHA256 해시입니다. 예를 들면 다음과 같습니다.

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

사용자가 값을 제공한 이벤트는 평가에서 제외됩니다.