Windows 威胁类别概览
本文档简要介绍了 Windows 威胁类别中的规则集、所需的数据源,以及可用于调整由这些规则集生成的提醒的配置。
Windows 威胁类别中的规则集有助于使用端点检测和响应 (EDR) 日志识别 Microsoft Windows 环境中的威胁。此类别包括以下规则集:
- 异常 PowerShell:识别包含混淆技术或其他异常行为的 PowerShell 命令。
- 加密活动:与可疑的加密货币相关的活动。
- Hacktool:可免费使用的工具,可能被视为可疑,但也可能是合法工具,具体取决于组织的使用方式。
- 信息窃取者:用于窃取凭据(包括密码、Cookie、加密货币钱包和其他敏感凭据)的工具。
- 初始访问权限:用于在具有可疑行为的计算机上获取初始执行的工具。
- 合法但被滥用:已知被出于恶意目的而滥用的合法软件。
- 脱离现实 (LotL) 二进制文件:Microsoft Windows 操作系统原生的工具,威胁行为者可能会出于恶意目的滥用这些工具。
- 命名的威胁:与已知威胁行为体相关的行为。
- 勒索软件:与勒索软件相关的活动。
- RAT:用于提供网络资源的远程命令和控制的工具。
- Security Posture 降级:尝试停用或降低安全工具的有效性的活动。
- 可疑行为:常见的可疑行为。
支持的设备和日志类型
Windows 威胁类别中的规则集已经过测试,以下 Chronicle 支持的 EDR 数据源受支持:
- 碳黑色 (
CB_EDR) - Microsoft Sysmon (
WINDOWS_SYSMON) - SentinelOne (
SENTINEL_EDR) - CrowdStrike 猎鹰 (
CS_EDR)
正在针对以下 Chronicle 支持的 EDR 数据源测试和优化 Windows 威胁类别中的规则集:
- Tanium
- Cybereason EDR (
CYBEREASON_EDR) - 利马·查理 (
LIMACHARLIE_EDR) - OSQuery
- 泽克
- Cylance (
CYLANCE_PROTECT)
如果您使用其他 EDR 软件收集端点数据,请与您的 Chronicle 代表联系。
如需查看 Chronicle 支持的所有数据源的列表,请参阅支持的默认解析器。
Windows 威胁类别所需的必填字段
以下部分介绍了 Windows 威胁类别中的规则集为了获得最大好处而需要的特定数据。确保您的设备已配置为将以下数据记录到设备事件日志中。
- 事件时间戳
- 主机名:运行 EDR 软件的系统的主机名。
- Principal Process:正在记录的当前进程的名称。
- Principal Process Path:当前正在运行的进程在磁盘上的位置(如果有)。
- Principal Process Command Line:进程的命令行参数(如果有)。
- 目标进程:由主进程启动的衍生进程的名称。
- 目标进程路径:目标进程在磁盘上的位置(如果有)。
- 目标进程命令行:目标进程的命令行参数(如果有)。
- 目标进程 SHA256\MD5:目标进程的校验和(如果有)。这用于调整提醒。
- 用户 ID:主账号进程的用户名。
调整 Windows 威胁类别返回的提醒
您可以使用规则排除来减少规则或规则集生成的检测次数。
规则排除规则定义了用于排除事件的条件,使其不由规则集或规则集中的特定规则进行评估。创建一个或多个规则排除项,以帮助减少检测量。如需了解如何执行此操作,请参阅配置规则排除对象。