Descripción general de la categoría Amenazas de Windows

Compatible con:

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría Amenazas de Windows, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que generan estos conjuntos de reglas.

Estos conjuntos de reglas te proporcionan contexto inmediatamente útil a través de detecciones y alertas, lo que indica qué se debe investigar más a fondo a partir de los datos de alertas de los endpoints. Ayudan a mejorar la capacidad de supervisión y clasificación de eventos de seguridad, lo que te permite centrar tu atención en las alertas y los casos (colecciones de alertas) que son maliciosos y prácticos. Estas estadísticas seleccionadas te permiten priorizar la respuesta a las alertas de los endpoints, proporcionar contexto adicional para las investigaciones y mejorar la supervisión de los eventos de seguridad con los registros de los endpoints.

Los conjuntos de reglas de la categoría Amenazas de Windows ayudan a identificar amenazas en entornos de Microsoft Windows con registros de detección y respuesta de extremos (EDR). Esta categoría incluye los siguientes conjuntos de reglas:

  • PowerShell anómalo: Identifica comandos de PowerShell que contienen técnicas de ofuscación o algún otro comportamiento anómalo.
  • Actividad de criptomonedas: Actividad asociada a criptomonedas sospechosas
  • Hacktool: Herramienta disponible de forma gratuita que se puede considerar sospechosa, pero que podría ser legítima según el uso de la organización.
  • Info Stealer: Son herramientas que se usan para robar credenciales, incluidas contraseñas, cookies, billeteras de criptomonedas y otras credenciales sensibles.
  • Acceso inicial: Herramientas que se usan para obtener la ejecución inicial en una máquina con comportamiento sospechoso.
  • Legitimate but Misused: Software legítimo que se sabe que se usa de forma abusiva con fines maliciosos.
  • Binarios de Living off the Land (LotL): Son herramientas integradas en los sistemas operativos de Microsoft Windows que los agentes de amenazas pueden usar de forma abusiva con fines maliciosos.
  • Amenaza con nombre: Es el comportamiento asociado a un agente de amenazas conocido.
  • Ransomware: Actividad asociada con ransomware.
  • RAT: Son herramientas que se usan para proporcionar control y administración remotos de los activos de la red.
  • Degradación de la postura de seguridad: Actividad que intenta inhabilitar o reducir la eficacia de las herramientas de seguridad.
  • Comportamiento sospechoso: Comportamiento sospechoso general.
  • Amenazas de primera línea de Mandiant: Este conjunto de reglas contiene reglas derivadas de la investigación y la respuesta de Mandiant ante incidentes activos en todo el mundo. Estas reglas abarcan las TTP que se observan con frecuencia, como la ejecución a través de intérpretes de secuencias de comandos (T1059), la ejecución del usuario (T1204) y la ejecución de proxy binario del sistema (T1218).
  • Mandiant Intel Emerging Threats: Este conjunto de reglas contiene reglas derivadas de las campañas de inteligencia y los eventos significativos de Mandiant Intelligence, que abarcan la actividad geopolítica y de amenazas de gran impacto, según la evaluación de Mandiant. Esta actividad puede incluir conflictos geopolíticos, explotación, phishing, publicidad maliciosa, ransomware y vulneraciones de la cadena de suministro.
  • Priorización de alertas para endpoints: Este conjunto de reglas utiliza la capacidad que antes se encontraba en el producto Mandiant Automated Defense - Alert, Investigation & Prioritization. Este conjunto de reglas identifica patrones como los siguientes:
    • Progreso del ataque: Son los activos internos que muestran varios signos de vulneración que, cuando se consideran en conjunto, aumentan la probabilidad de que el sistema esté vulnerado y, por lo tanto, se debe investigar.
    • Software malicioso en recursos internos: Los recursos internos muestran signos de que el software malicioso llegó al sistema de archivos y se debe investigar. Los atacantes suelen organizar el código malicioso en el sistema de archivos después de un intento de explotación exitoso.
    • Herramientas de hackeo no autorizadas: Son recursos internos que muestran actividad de herramientas de explotación, lo que indica que el sistema está comprometido. Las herramientas de explotación son software o herramientas de hackeo disponibles públicamente que se pueden usar para obtener y expandir el acceso a los sistemas, y que usan tanto los atacantes como los equipos de simulación de ataque. Se debe investigar el uso de estas herramientas si no está autorizado de forma explícita por un sistema o una cuenta.
    • Comportamientos inusuales del proceso: Los activos internos en los que se usan ejecutables comunes de manera inusual son un indicador sólido de un host comprometido. Se debe investigar la ocurrencia de comportamientos inusuales de "Living off the Land".

El conjunto de reglas de Priorización de alertas para endpoints está disponible con una licencia de Google Security Operations Enterprise Plus.

Dispositivos y tipos de registros compatibles

En esta sección, se enumeran los datos que requiere cada conjunto de reglas.

Los conjuntos de reglas de la categoría Amenazas de Windows se probaron y son compatibles con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • EDR de SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Los conjuntos de reglas de la categoría Amenazas de Windows se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Tanium
  • EDR de Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Comunícate con tu representante de Google SecOps si recopilas datos de extremos con un software de EDR diferente.

Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Analizadores predeterminados compatibles.

Campos obligatorios necesarios para la categoría Amenazas de Windows

En la siguiente sección, se describen los datos específicos que necesitan los conjuntos de reglas de la categoría Amenazas de Windows para obtener el mayor beneficio. Asegúrate de que tus dispositivos estén configurados para registrar los siguientes datos en los registros de eventos del dispositivo.

  • Marca de tiempo del evento
  • Nombre de host: Es el nombre de host del sistema en el que se ejecuta el software de EDR.
  • Proceso principal: Es el nombre del proceso actual que se registra.
  • Ruta de acceso del proceso principal: Es la ubicación en el disco del proceso en ejecución actual, si está disponible.
  • Línea de comandos del proceso principal: Parámetros de la línea de comandos del proceso, si están disponibles.
  • Proceso de destino: Es el nombre del proceso secundario que inicia el proceso principal.
  • Ruta de acceso del proceso de destino: Ubicación en el disco del proceso de destino, si está disponible.
  • Línea de comandos del proceso objetivo: Son los parámetros de la línea de comandos del proceso objetivo, si están disponibles.
  • SHA256/MD5 del proceso de destino: Suma de verificación del proceso de destino, si está disponible. Se usa para ajustar las alertas.
  • ID de usuario: Es el nombre de usuario del proceso principal.

Priorización de alertas para el conjunto de reglas de Endpoints

Este conjunto de reglas se probó con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Alertas de Microsoft Defender for Endpoint del MICROSOFT_GRAPH_ALERT log_type
  • SentinelOne Threats del SENTINELONE_ALERT log_type
  • Alertas de CrowdStrike Falcon Event_DetectionSummaryEvent del CS_EDR log_type

Campos de UDM que se usan en la priorización de alertas para Endpoints

En la siguiente sección, se describen los datos de los campos del UDM que necesita el conjunto de reglas de Priorización de alertas para endpoints. Si modificas el analizador predeterminado creando tu propio analizador personalizado, asegúrate de no cambiar la asignación de estos campos. Si cambias la forma en que se asignan estos campos,es posible que afectes el comportamiento de esta función.

Nombre del campo de UDM Descripción
metadata.event_type Es un tipo de evento normalizado.
metadata.product_name Es el nombre del producto.
security_result.detection_fields["externall_api_type"] Son los campos por los que se filtrarán los eventos de interés.
security_result.threat_name Es la clasificación de una amenaza, como una familia de software malicioso, que asigna el proveedor.
security_result.category_details Categoría de software malicioso específica del proveedor
security_result.summary Es un resumen de la alerta.
security_result.rule_name Es el nombre de una alerta que proporciona el proveedor.
security_result.attack_details Se usa para identificar las tácticas y técnicas de Mitre ATT&CK.
security_result.description Es una descripción breve de la alerta.
security_result.action Es la acción que realiza el control.
principal.process.file.names Nombre de archivo del proceso en ejecución.
principal.process.file.full_path Ubicación en el disco del proceso en ejecución actual, si está disponible.
principal.process.command_line Parámetros de la línea de comandos del proceso, si están disponibles.
principal.asset.hostname Es el nombre de host del sistema en el que se ejecuta el software de EDR.
principal.hostname Es el nombre de host del sistema en el que se ejecuta el software de EDR.
principal.user.userid Es el nombre de usuario del proceso principal.
target.file.full_path Nombre del archivo con el que interactúa la principal.
target.file.md5/sha256 Suma de verificación del archivo de destino, si está disponible.

Ajusta las alertas que devuelve la categoría Amenazas de Windows

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para reducir la cantidad de detecciones. Consulta Cómo configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

Por ejemplo, puedes excluir eventos según la siguiente información:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.