Übersicht über die Kategorie „Windows-Bedrohungen“

Unterstützt in:

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Windows Threats“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Diese Regelsätze liefern Ihnen durch Erkennungen und Benachrichtigungen sofort umsetzbaren Kontext, der angibt, was anhand von Endpunktbenachrichtigungsdaten weiter untersucht werden sollte. Sie tragen dazu bei, die Überwachung von Sicherheitsereignissen und die Triage-Kapazität zu verbessern, sodass Sie sich auf Benachrichtigungen und Fälle (Sammlungen von Benachrichtigungen) konzentrieren können, die schädlich und umsetzbar sind. Mit diesen kuratierten Analysen können Sie die Reaktion auf Endpunktwarnungen priorisieren, zusätzlichen Kontext für Untersuchungen bereitstellen und die Überwachung von Sicherheitsereignissen mithilfe von Endpunktlogs verbessern.

Regelsätze in der Kategorie „Windows Threats“ (Windows-Bedrohungen) helfen dabei, Bedrohungen in Microsoft Windows-Umgebungen mithilfe von EDR-Logs (Endpoint Detection and Response, Bedrohungserkennung und -abwehr auf Endpunkten) zu erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

  • Anomalous PowerShell: Erkennt PowerShell-Befehle, die Verschleierungstechniken oder anderes anomales Verhalten enthalten.
  • Kryptoaktivität: Aktivität im Zusammenhang mit verdächtigen Kryptowährungen.
  • Hacktool: Frei verfügbares Tool, das als verdächtig eingestuft werden kann, aber je nach Verwendung durch die Organisation möglicherweise legitim ist.
  • Info Stealer: Tools, mit denen Anmeldedaten wie Passwörter, Cookies, Kryptowährungs-Wallets und andere vertrauliche Anmeldedaten gestohlen werden.
  • Erster Zugriff: Tools, die verwendet werden, um die erste Ausführung auf einem Computer mit verdächtigem Verhalten zu ermöglichen.
  • Legitim, aber missbraucht: Legitime Software, die bekanntermaßen für schädliche Zwecke missbraucht wird.
  • Living off the Land (LotL) Binaries: In Microsoft Windows-Betriebssysteme integrierte Tools, die von Angreifern für böswillige Zwecke missbraucht werden können.
  • Benannte Bedrohung: Verhalten, das mit einem bekannten Bedrohungsakteur in Verbindung gebracht wird.
  • Ransomware: Aktivitäten im Zusammenhang mit Ransomware.
  • RAT: Tools, die verwendet werden, um Netzwerkressourcen per Fernzugriff zu steuern.
  • Herabstufung der Sicherheitslage: Aktivitäten, mit denen versucht wird, Sicherheitstools zu deaktivieren oder ihre Effektivität zu verringern.
  • Verdächtiges Verhalten: Allgemeines verdächtiges Verhalten.
  • Mandiant Front-Line Threats: Dieser Regelsatz enthält Regeln, die aus den Untersuchungen und Reaktionen von Mandiant auf aktive Vorfälle weltweit abgeleitet wurden. Diese Regeln decken häufige TTPs wie die Ausführung über Scriptinterpreter (T1059), die Ausführung durch Nutzer (T1204) und die Ausführung über Systembinärproxy (T1218) ab.
  • Mandiant Intel Emerging Threats: Dieses Regelset enthält Regeln, die aus Mandiant Intelligence Campaigns und Significant Events abgeleitet wurden. Es deckt hochwirksame geopolitische und Bedrohungsaktivitäten ab, die von Mandiant bewertet wurden. Diese Aktivitäten können geopolitische Konflikte, Exploits, Phishing, Malvertising, Ransomware und Kompromittierungen der Lieferkette umfassen.
  • Priorisierung von Benachrichtigungen für Endpunkte: Dieses Regelset nutzt die Funktion, die zuvor im Produkt Mandiant Automated Defense – Alert, Investigation & Prioritization verfügbar war. Mit diesem Regelsatz werden Muster wie die folgenden erkannt:
    • Fortschritt des Angriffs: Interne Assets mit mehreren Anzeichen für eine Manipulation, die zusammengenommen die Wahrscheinlichkeit erhöhen, dass das System manipuliert wurde und daher untersucht werden sollte.
    • Malware auf internen Assets: Interne Assets, die Anzeichen dafür aufweisen, dass Malware das Dateisystem erreicht hat, sollten untersucht werden. Angreifer platzieren nach einem erfolgreichen Manipulationsversuch häufig bösartigen Code im Dateisystem.
    • Unbefugte Hacking-Tools: Interne Assets, die Anzeichen für die Nutzung von Exploitation-Tools aufweisen, die auf eine Kompromittierung des Systems hindeuten. Exploitation-Tools sind öffentlich verfügbare Software oder Hack-Tools, mit denen sich Zugriff auf Systeme verschaffen und ausweiten lässt. Sie werden sowohl von Angreifern als auch von Red Teams verwendet. Die Einhaltung dieser Tools sollte untersucht werden, wenn die Verwendung nicht ausdrücklich durch ein System oder Konto autorisiert ist.
    • Ungewöhnliches Prozessverhalten: Interne Assets, bei denen häufig verwendete ausführbare Dateien auf ungewöhnliche Weise verwendet werden, sind ein starker Hinweis auf einen kompromittierten Host. Das Auftreten ungewöhnlicher „Living off the Land“-Verhaltensweisen sollte untersucht werden.

Der Regelsatz „Alert Prioritization for Endpoints“ ist mit einer Google Security Operations Enterprise Plus-Lizenz verfügbar.

Unterstützte Geräte und Protokolltypen

In diesem Abschnitt werden die Daten aufgeführt, die für die einzelnen Regelsätze erforderlich sind.

Regelsätze in der Kategorie „Windows Threats“ wurden mit den folgenden von Google SecOps unterstützten EDR-Datenquellen getestet und werden unterstützt:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Regelsätze in der Kategorie „Windows Threats“ werden für die folgenden von Google SecOps unterstützten EDR-Datenquellen getestet und optimiert:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie Endpunktdaten mit anderer EDR-Software erfassen.

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Erforderliche Felder für die Kategorie „Windows Threats“

Im folgenden Abschnitt werden die spezifischen Daten beschrieben, die von Regelsätzen in der Kategorie „Windows Threats“ benötigt werden, um den größten Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokolle aufgezeichnet werden.

  • Zeitstempel des Ereignisses
  • Hostname: Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
  • Hauptprozess: Name des aktuellen Prozesses, der protokolliert wird.
  • Hauptprozesspfad: Speicherort des aktuell ausgeführten Prozesses auf der Festplatte, falls verfügbar.
  • Befehlszeile des Hauptprozesses: Befehlszeilenparameter des Prozesses, sofern verfügbar.
  • Zielprozess: Name des untergeordneten Prozesses, der vom Hauptprozess gestartet wird.
  • Zielprozesspfad: Speicherort des Zielprozesses auf der Festplatte, sofern verfügbar.
  • Befehlszeile des Zielprozesses: Befehlszeilenparameter des Zielprozesses, sofern verfügbar.
  • Zielprozess – SHA256/MD5: Prüfsumme des Zielprozesses, falls verfügbar. Wird zum Anpassen von Benachrichtigungen verwendet.
  • Nutzer-ID: Der Nutzername des Hauptprozesses.

Priorisierung von Benachrichtigungen für den Regelsatz „Endpunkte“

Dieser Regelsatz wurde mit den folgenden von Google SecOps unterstützten EDR-Datenquellen getestet:

  • Microsoft Defender for Endpoint Benachrichtigungen vom Typ MICROSOFT_GRAPH_ALERT
  • SentinelOne Threats aus dem SENTINELONE_ALERT-Logtyp
  • CrowdStrike Falcon-Benachrichtigungen Event_DetectionSummaryEvent vom CS_EDR-Logtyp

UDM-Felder, die in der Benachrichtigungspriorisierung für Endpunkte verwendet werden

Im folgenden Abschnitt werden die UDM-Felddaten beschrieben, die für den Regelsatz „Alert Prioritization for Endpoints“ (Priorisierung von Benachrichtigungen für Endpunkte) erforderlich sind. Wenn Sie den Standardparser ändern, indem Sie einen eigenen benutzerdefinierten Parser erstellen, dürfen Sie die Zuordnung dieser Felder nicht ändern. Wenn Sie die Zuordnung dieser Felder ändern,kann sich das auf das Verhalten dieser Funktion auswirken.

UDM-Feldname Beschreibung
metadata.event_type Ein normalisierter Ereignistyp.
metadata.product_name Der Name des Produkts.
security_result.detection_fields["externall_api_type"] Felder zum Filtern nach relevanten Ereignissen.
security_result.threat_name Eine vom Anbieter zugewiesene Klassifizierung einer Bedrohung, z. B. einer Malware-Familie.
security_result.category_details Die anbieterspezifische Malwarekategorie
security_result.summary Eine Zusammenfassung der Benachrichtigung.
security_result.rule_name Ein vom Anbieter angegebener Name für die Benachrichtigung.
security_result.attack_details Wird verwendet, um Mitre ATT&CK-Taktiken und ‑Techniken zu identifizieren.
security_result.description Eine kurze Beschreibung der Benachrichtigung.
security_result.action Vom Kontrollpunkt ergriffene Maßnahme.
principal.process.file.names Der Dateiname des laufenden Prozesses.
principal.process.file.full_path Speicherort des aktuell ausgeführten Prozesses auf der Festplatte, falls verfügbar.
principal.process.command_line Befehlszeilenparameter des Prozesses, sofern verfügbar.
principal.asset.hostname Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
principal.hostname Hostname des Systems, auf dem die EDR-Software ausgeführt wird.
principal.user.userid Der Nutzername des Hauptprozesses.
target.file.full_path Der Name der Datei, mit der das Hauptkonto interagiert.
target.file.md5/sha256 Prüfsumme der Zieldatei, falls verfügbar.

Anpassen von Benachrichtigungen, die von der Kategorie „Windows-Bedrohungen“ zurückgegeben werden

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis nicht vom Regelsatz oder von bestimmten Regeln im Regelsatz ausgewertet wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der erkannten Verstöße zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Sie können beispielsweise Ereignisse anhand der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten