Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Visão geral da categoria de ameaças do Windows

Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria "Ameaças do Windows", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes Microsoft Windows com registros de detecção e resposta de endpoints (EDR, na sigla em inglês). Esta categoria inclui os seguintes conjuntos de regras:

  • Atividade de criptomoedas: atividade associada a moedas de criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítima dependendo do uso da organização.
  • Stealer de informações: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptomoedas e outras credenciais confidenciais.
  • Acesso inicial: ferramentas usadas para fazer a execução inicial em uma máquina com comportamento suspeito.
  • Conteúdo legítimo, mas usado de maneira enganosa: é o software legítimo conhecido por abuso de propósitos mal-intencionados.
  • Binários de Live of the Land (LotL): ferramentas nativas dos sistemas operacionais Microsoft Windows que podem ser usadas indevidamente por agentes de ameaças para fins maliciosos.
  • Ameaça nomeada: comportamento associado a uma ameaça conhecida.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer controle remoto e controle dos recursos de rede.
  • Downgrade de postura de segurança: atividade que tenta desativar ou reduzir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria Ameaças do Windows foram testados e compatíveis com as seguintes fontes de dados EDR compatíveis com o Chronicle:

  • Preto-carbono (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Falcão da CrowdStrike (CS_EDR)

Os conjuntos de regras na categoria Ameaças do Windows estão sendo testados e otimizados para as seguintes fontes de dados EDR compatíveis com o Chronicle:

  • Tanium
  • EDR da Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • Consulta do SO
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Entre em contato com seu representante do Chronicle se estiver coletando dados de endpoints usando softwares EDR diferentes.

Para ver uma lista de todas as fontes de dados compatíveis do Chronicle, consulte analisadores padrão compatíveis.

Campos obrigatórios da categoria Windows Threats

A seção a seguir descreve dados específicos necessários para os conjuntos de regras na categoria "Ameaças do Windows" para ter o maior benefício possível. Verifique se os dispositivos estão configurados para gravar os dados a seguir nos registros de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: o nome do host do sistema em que o software EDR está em execução.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho de processo principal: local no disco do processo em execução, se disponível.
  • Linha de comando principal do processo: parâmetros de linha de comando do processo, se disponível.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: local no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros de linha de comando do processo de destino, se disponível.
  • Processo SHA: SHA256\MD5: soma de verificação do processo de destino, se disponível. Isso é usado para ajustar alertas.
  • ID do usuário: o nome de usuário do processo principal.

Alertas de ajuste retornados pela categoria do Windows Threats

A categoria "Ameaças do Windows" inclui um conjunto de listas de referência que permitem controlar os alertas gerados pelas detecções do conjunto de regras. Defina os critérios na lista de referência usada para excluir um evento UDM da avaliação pelo conjunto de regras.

Todos os conjuntos de regras usam os mesmos critérios para excluir eventos da avaliação. Eles são estes:

  • processar linha de comando
  • caminho de processo
  • linha de comando de destino
  • hash de arquivo
  • caminho de destino

No entanto, cada grupo de regras tem seu próprio conjunto de listas de referência com nomes exclusivos. Por exemplo, as listas de referência do Hacktool filtram somente os alertas do Hacktool e não filtram alertas do RAT. A lista de referência do Hacktool para excluir eventos com base no caminho do processo é gcti__win__hacktool__process_path__exclusion_list, enquanto a lista de referência RAT para excluir eventos com base no caminho do processo é gcti__win__rat__process_path__exclusion_list.

Nesta seção, descrevemos cada tipo de lista de referência e mostramos um exemplo que mostra como preencher dados nessa lista.

  • Atividade de criptografia: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__crypto.
  • Hacktool: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__hacktool.
  • Stealer de informações: listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__info_stealer.
  • Acesso inicial: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__initial_access.
  • Legislativo, mas usado: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__legit_but_misused.
  • Ameaça nomeada: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__named_threat.
  • Ransomware: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__ransomware.
  • RAT: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__rat.
  • Comportamento suspeito: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__suspicious_behavior.
  • Downgrade de posição de segurança: listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__security_downgrade.
Nome genérico Descrição
Processar linha de comando Nome da lista de referência: `(prefix)__process_command_line__exclusion_list`

Insira os parâmetros da linha de comando do processo pai. Veja o alerta para saber detalhes sobre como a linha de comando é registrada no registro. Veja um exemplo:

powershell.exe -ExecutionPolicy ignore -Command

Os eventos com os valores que você fornece serão excluídos da avaliação.

Caminho do processo Nome da lista de referência: `(prefix)__process_path__exclusion_list`

Insira o caminho do processo que está gerando o alerta. O valor fornecido pode ser diferente, dependendo da forma como a fonte de dados registra o valor. Consulte um exemplo de alerta para ver o formato exato. Veja alguns exemplos:

powershell.exe (link em inglês)

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Dispositivo\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

Os eventos com os valores que você fornece serão excluídos da avaliação.

Linha de comando de destino Nome da lista de referência: `(prefix)__target_command_line__exclusion_list`

A linha de comando do processo de destino que está sendo iniciada, por exemplo:

rundll32.exe c:\windows\system32\foobar.dll,Uninstall 0 0 1

Os eventos com os valores que você fornece serão excluídos da avaliação.

Caminho de destino Nome da lista de referência: `(prefix)__target_path__exclusion_list`

O caminho do processo filho que é gerado e que faz parte do alerta. O valor fornecido pode ser diferente, dependendo da forma como a fonte de dados registra o valor. Consulte um exemplo de alerta para ver o formato exato. Veja alguns exemplos:

\\Dispositivo\\HarddiskVolume2\\Windows\\System32\].[undll32.exe (em inglês)

c:\\windows\\system32\].[undll32.exe (link em inglês)

c:\windows\system32].[undll32.exe (link em inglês)

Os eventos com os valores serão excluídos da avaliação.

Hash de destino Nome da lista de referência: `(prefix)__target_hash__exclusion_list`

O hash SHA256 do arquivo de destino que gera o alerta, por exemplo:

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

Os eventos com os valores que você fornece serão excluídos da avaliação.