Descripción general de la categoría Amenazas de Windows

Disponible en:

En este documento se ofrece una descripción general de los conjuntos de reglas de la categoría Amenazas de Windows, las fuentes de datos necesarias y la configuración que puede usar para ajustar las alertas generadas por estos conjuntos de reglas.

Estos conjuntos de reglas te proporcionan contexto útil de forma inmediata a través de detecciones y alertas, que indican qué se debe investigar más a fondo a partir de los datos de alertas de endpoints. Ayudan a mejorar la monitorización de eventos de seguridad y la capacidad de clasificación, lo que le permite centrar su atención en las alertas y los casos (conjuntos de alertas) que son maliciosos y requieren medidas. Estas analíticas seleccionadas te permiten priorizar la respuesta a las alertas de los endpoints, proporcionar contexto adicional para las investigaciones y mejorar la monitorización de eventos de seguridad mediante los registros de los endpoints.

Los conjuntos de reglas de la categoría Amenazas de Windows ayudan a identificar amenazas en entornos de Microsoft Windows mediante registros de detección y respuesta de endpoints (EDR). Esta categoría incluye los siguientes conjuntos de reglas:

  • PowerShell anómalo: identifica comandos de PowerShell que contienen técnicas de ofuscación u otro comportamiento anómalo.
  • Actividad de criptomonedas: actividad asociada a criptomonedas sospechosas.
  • Hacktool: herramienta disponible de forma gratuita que puede considerarse sospechosa, pero que puede ser legítima en función del uso que le dé la organización.
  • Robo de información: herramientas que se usan para robar credenciales, como contraseñas, cookies, carteras de criptomonedas y otras credenciales sensibles.
  • Acceso inicial: herramientas que se usan para obtener la ejecución inicial en una máquina con un comportamiento sospechoso.
  • Legítimo, pero usado de forma inadecuada: software legítimo que se sabe que se usa de forma inadecuada con fines maliciosos.
  • Binarios de Living off the Land (LotL): herramientas integradas en los sistemas operativos Microsoft Windows que los agentes de amenazas pueden usar con fines maliciosos.
  • Amenaza con nombre: comportamiento asociado a un atacante conocido.
  • Ransomware actividad asociada al ransomware.
  • RAT: herramientas que se usan para proporcionar comandos y control remotos de los recursos de la red.
  • Rebaja de la postura de seguridad: actividad que intenta inhabilitar o reducir la eficacia de las herramientas de seguridad.
  • Comportamiento sospechoso: comportamiento sospechoso general.
  • Amenazas de primera línea de Mandiant: este conjunto de reglas contiene reglas derivadas de la investigación y la respuesta de Mandiant a incidentes activos en todo el mundo. Estas reglas abarcan TTPs habituales, como la ejecución a través de intérpretes de secuencias de comandos (T1059), la ejecución por parte de los usuarios (T1204) y la ejecución de proxies binarios del sistema (T1218).
  • Amenazas emergentes de Mandiant Intel: este conjunto de reglas contiene reglas derivadas de las campañas y los eventos significativos de Mandiant Intelligence, que abarcan actividades geopolíticas y de amenazas de gran impacto, según la evaluación de Mandiant. Esta actividad puede incluir conflictos geopolíticos, explotación, phishing, malvertising, ransomware y vulneraciones de la cadena de suministro.
  • Priorización de alertas para endpoints: este conjunto de reglas utiliza la función que se encontraba anteriormente en el producto Mandiant Automated Defense - Alert, Investigation & Prioritization. Este conjunto de reglas identifica patrones como los siguientes:
    • Progresión del ataque: recursos internos que muestran varios signos de vulneración que, al considerarse en conjunto, aumentan la probabilidad de que el sistema esté vulnerado y, por lo tanto, se deba investigar.
    • Malware en recursos internos: recursos internos que muestran signos de que el malware ha llegado al sistema de archivos y que deben investigarse. Los atacantes suelen organizar código malicioso en el sistema de archivos después de un intento de explotación exitoso.
    • Herramientas de hacking no autorizadas: recursos internos que muestran actividad de herramientas de explotación que indica que el sistema se ha visto comprometido. Las herramientas de explotación son software o herramientas de hacking disponibles públicamente que se pueden usar para obtener y ampliar el acceso a los sistemas, y que utilizan tanto los atacantes como los equipos de detección de uso inadecuado. El uso de estas herramientas debe investigarse si no está autorizado explícitamente por un sistema o una cuenta.
    • Comportamientos inusuales de los procesos: los recursos internos en los que se usan ejecutables comunes de forma inusual son un indicador claro de que el host está en peligro. Se debe investigar la aparición de comportamientos inusuales de "Aprovechamiento de la infraestructura".

Los conjuntos de reglas de amenazas emergentes de Mandiant Intel y de priorización de alertas para endpoints están disponibles con una licencia de Google Security Operations Enterprise Plus.

Dispositivos y tipos de registros admitidos

En esta sección se enumeran los datos que requiere cada conjunto de reglas.

Los conjuntos de reglas de la categoría Amenazas de Windows se han probado y son compatibles con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • EDR de SentinelOne (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

Los conjuntos de reglas de la categoría Amenazas de Windows se están probando y optimizando para las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Póngase en contacto con su representante de Google SecOps si recoge datos de endpoints con otro software de EDR.

Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Analizadores predeterminados admitidos.

Campos obligatorios necesarios para la categoría Amenazas de Windows

En la siguiente sección se describen los datos específicos que necesitan los conjuntos de reglas de la categoría Amenazas de Windows para obtener el máximo beneficio. Asegúrate de que tus dispositivos estén configurados para registrar los siguientes datos en los registros de eventos del dispositivo.

  • Marca de tiempo de evento
  • Nombre de host: nombre de host del sistema en el que se ejecuta el software de EDR.
  • Proceso principal: nombre del proceso actual que se está registrando.
  • Ruta del proceso principal: ubicación en el disco del proceso en ejecución actual, si está disponible.
  • Línea de comandos del proceso principal: parámetros de línea de comandos del proceso, si están disponibles.
  • Proceso de destino: nombre del proceso generado que inicia el proceso principal.
  • Ruta del proceso de destino: ubicación en el disco del proceso de destino, si está disponible.
  • Línea de comandos del proceso de destino: parámetros de línea de comandos del proceso de destino, si están disponibles.
  • Proceso de destino SHA256\MD5: suma de comprobación del proceso de destino, si está disponible. Se usa para ajustar las alertas.
  • ID de usuario: nombre de usuario del proceso principal.

Priorización de alertas para el conjunto de reglas de Endpoints

Este conjunto de reglas se ha probado con las siguientes fuentes de datos de EDR compatibles con Google SecOps:

  • Microsoft Defender for Endpoint alertas de MICROSOFT_GRAPH_ALERT log_type
  • SentinelOne Threats del SENTINELONE_ALERT log_type
  • Alertas de CrowdStrike Falcon Event_DetectionSummaryEvent del CS_EDR log_type

Campos de UDM usados en la priorización de alertas para endpoints

En la siguiente sección se describen los datos de campo de UDM que necesita el conjunto de reglas Priorización de alertas para endpoints. Si modificas el analizador predeterminado creando tu propio analizador personalizado, asegúrate de no cambiar la asignación de estos campos. Si cambia la forma en que se asignan estos campos,puede afectar al comportamiento de esta función.

Nombre del campo de UDM Descripción
metadata.event_type Un tipo de evento normalizado.
metadata.product_name Nombre del producto.
security_result.detection_fields["externall_api_type"] Campos para filtrar los eventos de interés.
security_result.threat_name Clasificación asignada por el proveedor de una amenaza, como una familia de malware.
security_result.category_details Categoría de malware específico del proveedor
security_result.summary Un resumen de la alerta.
security_result.rule_name Nombre de la alerta proporcionado por el proveedor.
security_result.attack_details Se usa para identificar tácticas y técnicas de MITRE ATT&CK.
security_result.description Una breve descripción de la alerta.
security_result.action Acción realizada por el control.
principal.process.file.names Nombre de archivo del proceso en ejecución.
principal.process.file.full_path Ubicación en el disco del proceso en ejecución actual, si está disponible.
principal.process.command_line Parámetros de línea de comandos del proceso, si están disponibles.
principal.asset.hostname Nombre de host del sistema en el que se ejecuta el software de detección y respuesta ampliadas.
principal.hostname Nombre de host del sistema en el que se ejecuta el software de detección y respuesta ampliadas.
principal.user.userid Nombre de usuario del proceso principal.
target.file.full_path Nombre del archivo con el que interactúa la entidad principal.
target.file.md5/sha256 Suma de comprobación del archivo de destino, si está disponible.

Ajustar las alertas devueltas por la categoría Amenazas de Windows

Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto de reglas. Crea una o varias exclusiones de reglas para reducir el volumen de detecciones. Consulte Configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

Por ejemplo, puede excluir eventos en función de la siguiente información:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.