Visão geral da categoria de ameaças do Windows

Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria "Ameaças do Windows", as origens de dados necessárias e a configuração usada para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria "Ameaças do Windows" ajudam a identificar ameaças em ambientes do Microsoft Windows usando registros de detecção e resposta de endpoint (EDR, na sigla em inglês). Essa categoria inclui os seguintes grupos de regras:

  • PowerShell anômalo: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outros comportamentos anômalos.
  • Atividade de criptomoedas: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítima dependendo do uso da organização.
  • Ladrão de informações: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras criptográficas e outras credenciais confidenciais.
  • Acesso inicial: ferramentas usadas para conseguir execução inicial em uma máquina com comportamento suspeito.
  • Legítimo, mas usado incorretamente: software legítimo conhecido por ser usado indevidamente para fins maliciosos.
  • Binários Living off the Land (LotL): ferramentas nativas dos sistemas operacionais Microsoft Windows que podem ser usadas indevidamente por agentes invasores para fins maliciosos.
  • Ameaça nomeada: comportamento associado a um autor de ameaça conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controle remoto de ativos de rede.
  • Redução da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria "Ameaças do Windows" foram testados e têm suporte com as seguintes fontes de dados de EDR compatíveis com as Operações de segurança do Google:

  • Preto carbono (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcão (CS_EDR)

Os conjuntos de regras na categoria "Ameaças do Windows" estão sendo testados e otimizados para as seguintes fontes de dados de EDR compatíveis com as Operações de segurança do Google:

  • Tanium
  • EDR da Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cilíndricos (CYLANCE_PROTECT)

Entre em contato com seu representante de operações de segurança do Google se estiver coletando dados de endpoint usando outro software de EDR.

Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Campos obrigatórios para a categoria de ameaças do Windows

Na seção a seguir, descrevemos os dados específicos necessários para os conjuntos de regras na categoria "Ameaças do Windows" para aproveitar o maior benefício. Verifique se os dispositivos estão configurados para gravar os dados a seguir em logs de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software de EDR está sendo executado.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: localização no disco do processo em execução, se disponível.
  • Linha de comando do processo principal: parâmetros de linha de comando do processo, se disponíveis.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: local no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros de linha de comando do processo de destino, se disponíveis.
  • Processo de destino SHA256\MD5: soma de verificação do processo de destino, se disponível. Isso é usado para ajustar alertas.
  • User-ID: o nome de usuário do processo principal.

Ajustar alertas retornados pela categoria Ameaças do Windows

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.