Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Visão geral da categoria de ameaças do Windows

Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria "Ameaças do Windows", as fontes de dados necessárias e a configuração que você pode usar para ajustar os alertas gerados por esses grupos.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes Microsoft Windows usando registros de detecção e resposta de endpoints (EDR, na sigla em inglês). Esta categoria inclui os seguintes conjuntos de regras:

  • PowerShell anômalo: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outros comportamentos anômalos.
  • Atividade de criptografia: atividade associada a moeda suspeita.
  • Hacktool: ferramenta gratuita disponível que pode ser considerada suspeita, mas potencialmente legítima, dependendo do uso da organização.
  • Stealer de informações: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptografia e outras credenciais confidenciais.
  • Acesso inicial: ferramentas usadas para execução inicial em uma máquina com comportamento suspeito.
  • Conteúdo legítimo, mas usado de maneira incorreta: software que é abusado para propósitos mal-intencionados.
  • Binários de estar fora da terra (LotL): ferramentas nativas dos sistemas operacionais Microsoft Windows que podem ser usadas indevidamente por agentes de ameaças para fins maliciosos.
  • Ameaça nomeada: comportamento associado a um ator de ameaça conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer controle remoto e controle dos recursos de rede.
  • Downgrade de postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria Windows Threats foram testados e são compatíveis com as seguintes fontes de dados EDR compatíveis com o Chronicle:

  • Preto carbono (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Falcão da CrowdStrike (CS_EDR)

Os conjuntos de regras na categoria Ameaças do Windows estão sendo testados e otimizados para as seguintes fontes de dados EDR compatíveis com o Chronicle:

  • Tanium
  • EDR da Cybereason (CYBEREASON_EDR)
  • Lima charlie (LIMACHARLIE_EDR)
  • Consulta do SO
  • Zezé
  • Cylance (CYLANCE_PROTECT)

Entre em contato com seu representante do Chronicle se você estiver coletando dados do endpoint usando outro software de EDR.

Para ver uma lista de todas as fontes de dados compatíveis com o Chronicle, consulte analisadores padrão compatíveis.

Campos obrigatórios da categoria Windows Threats

A seção a seguir descreve dados específicos necessários para conjuntos de regras na categoria Windows Threats para ter o maior benefício possível. Verifique se os dispositivos estão configurados para gravar os dados a seguir nos registros de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software de EDR está em execução.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: local no disco do processo em execução atual, se disponível.
  • Linha de comando principal do processo: parâmetros de linha de comando do processo, se disponíveis.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: local no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros da linha de comando do processo de destino, se disponível.
  • Processo de destino SHA256\MD5: soma de verificação do processo de destino, se disponível. Isso é usado para ajustar alertas.
  • ID do usuário: o nome de usuário do processo principal.

Ajuste de alertas retornados pela categoria de ameaças do Windows

A categoria "Ameaças do Windows" inclui um conjunto de listas de referência que permitem controlar os alertas gerados pelas detecções do conjunto de regras. Você define critérios na lista de referência que é usada para excluir um evento UDM da avaliação pelo conjunto de regras.

Todos os conjuntos de regras usam os mesmos critérios para excluir eventos da avaliação. Eles são os seguintes:

  • processar linha de comando
  • caminho do processo
  • linha de comando de destino
  • hash de arquivo
  • caminho de destino

No entanto, cada grupo de regras tem seu próprio conjunto de listas de referência com nomes exclusivos. Por exemplo, as listas de referência do Hacktool filtram apenas os alertas do Hacktool e não filtrarão os alertas do RAT. A lista de referência do Hacktool para excluir eventos com base no caminho do processo é gcti__win__hacktool__process_path__exclusion_list, enquanto a lista de referência do RAT para excluir eventos com base no caminho do processo é gcti__win__rat__process_path__exclusion_list.

Nesta seção, descrevemos cada tipo de lista de referência e fornecemos um exemplo de como preencher dados nessa lista.

  • PowerShell anômalo: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__anomalous_powershell.
  • Atividade de criptografia: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__crypto.
  • Hacktool: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__hacktool.
  • Stealer de informações: listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__info_stealer.
  • Acesso inicial: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__initial_access.
  • Legislado, mas usado incorretamente: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__legit_but_misused.
  • Ameaça nomeada: listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__named_threat.
  • Ransomware: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__ransomware.
  • RAT: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__rat.
  • Comportamento suspeito: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__suspicious_behavior.
  • Downgrade de postura de segurança: as listas de referência que ajustam esses alertas são nomeadas com o seguinte prefixo: gcti__win__security_downgrade.
Nome genérico Descrição
Processar linha de comando Nome da lista de referência: `(prefix)__process_command_line__exclusion_list`

Digite os parâmetros de linha de comando do processo pai. Veja o alerta para saber como a linha de comando é gravada no registro. Veja um exemplo:

powershell.exe -ExecutionPolicy Skip -Command

Os eventos com os valores fornecidos não vão ser excluídos da avaliação.
Caminho do processo Nome da lista de referência: `(prefix)__process_path__exclusion_list`

Insira o caminho do processo que está gerando o alerta. O valor fornecido pode ser diferente, dependendo de como a fonte de dados registra o valor. Consulte um exemplo de alerta para o formato exato. Veja alguns exemplos:

powershell.exe (link em inglês)

c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe

c:\windows\system32\windowspowershell\v1.0\powershell.exe

\\Device\\HarddiskVolume2\\Windows\\system32\\windowspowershell\\v1.0\\powershell.exe

Os eventos com os valores fornecidos não vão ser excluídos da avaliação.
Linha de comando de destino Nome da lista de referência: `(prefix)__target_command_line__exclusion_list`

A linha de comando do processo de destino está sendo iniciada, por exemplo:

rundll32.exe c:\windows\system32\foobar.dll,Desinstalar 0 0 1

Os eventos com os valores fornecidos não vão ser excluídos da avaliação.
Caminho de destino Nome da lista de referência: `(prefix)__target_path__exclusion_list`

O caminho do processo filho que está sendo gerado e que faz parte do alerta. O valor fornecido pode ser diferente, dependendo de como a fonte de dados registra o valor. Consulte um exemplo de alerta para o formato exato. Veja alguns exemplos:

\\Device\\HarddiskVolume2\\Windows\\System32\].[undll32.exe

c:\\windows\\system32\].[undll32.exe

c:\windows\system32].[undll32.exe (link em inglês)

Os eventos com os valores serão excluídos da avaliação.
Hash de destino Nome da lista de referência: `(prefix)__target_hash__exclusion_list`

O hash SHA256 do arquivo de destino que gera o alerta. Por exemplo:

9a86a081884a7a659a2aaaa0a55aa015a3aa4a1a2a0a822aa15a6a15a0a00a08

Os eventos com os valores fornecidos não vão ser excluídos da avaliação.