Windows 威胁类别概览

本文档简要介绍了“Windows 威胁”类别中的规则集、所需的数据源，以及您可以用来调整这些规则集生成的提醒的配置。

“Windows 威胁”类别中的规则集有助于识别 Microsoft Windows 环境中的威胁 使用终端检测与响应 (EDR) 日志。此类别包括以下规则集：

• 异常 PowerShell：识别包含混淆技术或其他异常行为的 PowerShell 命令。
• 加密活动：与可疑的加密货币相关的活动。
• 黑客工具：可能被视为可疑的免费工具，但也可能因组织的使用方式而合法。
• 信息窃取工具：用于窃取凭据（包括密码、Cookie、加密钱包和其他敏感凭据）的工具。
• 初始访问：用于在存在可疑行为的机器上获得初始执行权限的工具。
• 合法但遭到滥用：已知会出于以下目的滥用的合法软件 。
• 生活在地
• 命名威胁：与已知威胁行为者相关联的行为。
• 勒索软件：与勒索软件相关的活动。
• RAT：用于远程命令和控制网络资产的工具。
• 安全状况降级：尝试停用或降低安全工具效率的活动。
• 可疑行为：常见的可疑行为。

支持的设备和日志类型

Windows 威胁类别中的规则集已过测试，并受以下 Google 安全运营支持的 EDR 数据源支持：

• Carbon Black (CB_EDR)
• Microsoft Sysmon (WINDOWS_SYSMON)
• SentinelOne (SENTINEL_EDR)
• CrowdStrike Falcon（CS_EDR）

我们正在针对以下 Google Security Operations 支持的 EDR 数据源测试和优化“Windows 威胁”类别中的规则集：

• Tanium
• 网购季 EDR (CYBEREASON_EDR)
• Lima Charlie (LIMACHARLIE_EDR)
• OSQuery
• Zeek
• Cylance (CYLANCE_PROTECT)

如果您使用其他 EDR 软件收集端点数据，请与您的 Google Security Operations 代表联系。

如需查看 Google Security Operations 支持的所有数据源的列表，请参阅 支持的默认解析器。

Windows 威胁类别所需的必填字段

以下部分介绍了 Windows 威胁防护规则集所需的特定数据 以获得最大收益。请确保您的设备已配置为将以下数据记录到设备事件日志。

• 事件时间戳
• 主机名 ：运行 EDR 软件的系统的主机名。
• 主要进程：正在记录的当前进程的名称。
• 主账号进程路径：当前正在运行的进程在磁盘上的位置（如果有）。
• 主账号进程命令行：进程的命令行参数（如果有）。
• 目标进程：由主进程启动的派生进程的名称。
• 目标进程路径：目标进程在磁盘上的位置（如果有）。
• 目标进程命令行：目标进程的命令行参数（如果有）。
• 目标进程 SHA256\MD5：目标进程的校验和（如果有）。用于调整提醒。
• 用户 ID：主进程的用户名。

调整 Windows 威胁类别返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除项用于定义排除某个事件以免其被规则集或规则集中的特定规则评估的条件。创建一条或多条规则排除项，以帮助减少检测量。如需了解具体操作方法，请参阅配置规则排除对象。