Présentation de la catégorie de menaces Windows

Compatible avec:

Ce document fournit un aperçu des ensembles de règles de la catégorie "Menaces Windows", des sources de données requises et de la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux de détection et de réponse sur les points de terminaison (EDR). Cette catégorie comprend les ensembles de règles suivants:

  • PowerShell anormal: identifie les commandes PowerShell contenant des techniques d'obscurcissement ou d'autres comportements anormaux.
  • Activité crypto: activité associée à une cryptomonnaie suspecte.
  • Outil de piratage: outil disponible librement qui peut être considéré comme suspect, mais qui peut être légitime en fonction de l'utilisation de l'organisation.
  • Voleur d'informations: outil utilisé pour voler des identifiants, y compris des mots de passe, des cookies, des portefeuilles de cryptomonnaies et d'autres identifiants sensibles.
  • Accès initial: outils utilisés pour obtenir une exécution initiale sur une machine présentant un comportement suspect.
  • Légal, mais utilisé de manière abusive: logiciel légitime qui est connu pour être utilisé de manière abusive à des fins malveillantes.
  • Binaires Living off the Land (LotL) : outils natifs des systèmes d'exploitation Microsoft Windows qui peuvent être utilisés de manière abusive par des acteurs de la menace à des fins malveillantes.
  • Menace nommée: comportement associé à un acteur de menace connu.
  • Rançongiciel: activité associée à un rançongiciel.
  • RAT: outils utilisés pour fournir des commandes et un contrôle à distance des ressources réseau.
  • Dégradation de la posture de sécurité: activité visant à désactiver ou à réduire l'efficacité des outils de sécurité.
  • Comportement suspect: comportement suspect général.

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Les ensembles de règles de la catégorie "Menaces Windows" sont testés et optimisés pour les sources de données EDR compatibles avec Google Security Operations suivantes:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Google Security Operations si vous collectez des données de point de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Champs obligatoires requis par la catégorie "Windows Threats" (Menaces Windows)

La section suivante décrit les données spécifiques requises par les ensembles de règles de la catégorie "Menaces Windows" pour en tirer le meilleur parti. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux des événements de l'appareil.

  • Code temporel de l'événement
  • Nom d'hôte: nom de l'hôte du système sur lequel le logiciel EDR s'exécute.
  • Principal Process: nom du processus en cours d'enregistrement.
  • Principal Process Path (Chemin d'accès au processus principal) : emplacement sur le disque du processus en cours d'exécution, le cas échéant.
  • Principal Process Command Line (Ligne de commande du processus principal) : paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible: nom du processus créé qui est lancé par le processus principal.
  • Chemin d'accès du processus cible: emplacement sur le disque du processus cible, le cas échéant.
  • Ligne de commande du processus cible: paramètres de ligne de commande du processus cible, le cas échéant.
  • SHA256\MD5 du processus cible: somme de contrôle du processus cible, le cas échéant. Il permet d'ajuster les alertes.
  • ID utilisateur: nom d'utilisateur du processus principal.

Alertes de réglage renvoyées par la catégorie "Menaces Windows"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.