Présentation de la catégorie "Menaces Windows"

Compatible avec :

Ce document présente les ensembles de règles de la catégorie "Menaces Windows", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Ces ensembles de règles vous fournissent un contexte immédiatement exploitable, grâce à des détections et des alertes, indiquant ce qui doit être examiné plus en détail à partir des données d'alerte des points de terminaison. Ils permettent d'améliorer la capacité de surveillance et de triage des événements de sécurité, ce qui vous permet de vous concentrer sur les alertes et les cas (collections d'alertes) malveillants et exploitables. Ces analyses sélectionnées vous permettent de hiérarchiser les réponses aux alertes de points de terminaison, de fournir un contexte supplémentaire pour les investigations et d'améliorer la surveillance des événements de sécurité à l'aide des journaux de points de terminaison.

Les ensembles de règles de la catégorie "Menaces Windows" permettent d'identifier les menaces dans les environnements Microsoft Windows à l'aide des journaux EDR (Endpoint Detection and Response). Cette catégorie comprend les ensembles de règles suivants :

  • PowerShell anormal : identifie les commandes PowerShell contenant des techniques d'obscurcissement ou d'autres comportements anormaux.
  • Activité de cryptomonnaie : activité associée à une cryptomonnaie suspecte.
  • Outil de piratage : outil disponible gratuitement qui peut être considéré comme suspect, mais qui peut potentiellement être légitime en fonction de l'utilisation de l'organisation.
  • Info Stealer : outils utilisés pour voler des identifiants, y compris des mots de passe, des cookies, des portefeuilles de cryptomonnaies et d'autres identifiants sensibles.
  • Accès initial : outils utilisés pour obtenir l'exécution initiale sur une machine présentant un comportement suspect.
  • Légitime, mais utilisé à mauvais escient : logiciel légitime connu pour être utilisé à des fins malveillantes.
  • Binaires Living off the Land (LotL) : outils intégrés aux systèmes d'exploitation Microsoft Windows qui peuvent être utilisés à des fins malveillantes par des acteurs malintentionnés.
  • Menace nommée : comportement associé à un acteur malveillant connu.
  • Ransomware : activité associée à un rançongiciel.
  • RAT : outils utilisés pour fournir des commandes et un contrôle à distance des ressources réseau.
  • Rétrogradation de la posture de sécurité : activité visant à désactiver ou à réduire l'efficacité des outils de sécurité.
  • Comportement suspect : comportement suspect général.
  • Menaces de première ligne Mandiant : cet ensemble de règles contient des règles dérivées des enquêtes et des réponses de Mandiant aux incidents actifs dans le monde entier. Ces règles couvrent les TTP courantes telles que l'exécution via des interpréteurs de script (T1059), l'exécution par l'utilisateur (T1204) et l'exécution de proxy binaire système (T1218).
  • Menaces émergentes Mandiant Intelligence : cet ensemble de règles contient des règles dérivées des campagnes et des événements importants de Mandiant Intelligence, qui couvrent les activités géopolitiques et les menaces à fort impact, telles qu'évaluées par Mandiant. Cette activité peut inclure des conflits géopolitiques, de l'exploitation, de l'hameçonnage, du malvertising, des rançongiciels et des compromissions de la chaîne d'approvisionnement.
  • Priorisation des alertes pour les points de terminaison : cet ensemble de règles utilise la fonctionnalité qui était auparavant disponible dans le produit Mandiant Automated Defense – Alert, Investigation & Prioritization. Cet ensemble de règles identifie des schémas tels que les suivants :
    • Progression de l'attaque : ressources internes présentant plusieurs signes de piratage qui, lorsqu'ils sont considérés ensemble, augmentent la probabilité que le système soit piraté et doivent donc faire l'objet d'une enquête.
    • Logiciel malveillant sur les composants internes : composants internes présentant des signes indiquant qu'un logiciel malveillant a atteint le système de fichiers et doit faire l'objet d'une enquête. Les pirates informatiques placent souvent du code malveillant dans le système de fichiers après une tentative d'exploitation réussie.
    • Outils de piratage non autorisés : ressources internes présentant une activité d'outil d'exploitation indiquant une compromission du système. Les outils d'exploitation sont des logiciels ou des outils de piratage accessibles au public qui peuvent être utilisés pour obtenir et étendre l'accès aux systèmes. Ils sont utilisés à la fois par les pirates informatiques et les équipes rouges. Le respect de ces outils doit être examiné si leur utilisation n'est pas explicitement autorisée par un système ou un compte.
    • Comportements de processus inhabituels : les ressources internes où des exécutables courants sont utilisés de manière inhabituelle sont un bon indicateur d'un hôte compromis. Les comportements inhabituels de type "Living off the Land" doivent faire l'objet d'une enquête.

L'ensemble de règles de priorisation des alertes pour les points de terminaison est disponible avec une licence Google Security Operations Enterprise Plus.

Appareils et types de journaux compatibles

Cette section liste les données requises par chaque ensemble de règles.

Les ensembles de règles de la catégorie "Menaces Windows" ont été testés et sont compatibles avec les sources de données EDR compatibles avec Google SecOps suivantes :

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Les ensembles de règles de la catégorie "Menaces Windows" sont en cours de test et d'optimisation pour les sources de données EDR compatibles avec Google SecOps suivantes :

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contactez votre représentant Google SecOps si vous collectez des données de points de terminaison à l'aide d'un autre logiciel EDR.

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Champs obligatoires pour la catégorie "Menaces Windows"

La section suivante décrit les données spécifiques nécessaires aux ensembles de règles de la catégorie "Menaces Windows" pour obtenir le plus d'avantages possible. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux d'événements des appareils.

  • Code temporel de l'événement
  • Nom d'hôte : nom d'hôte du système sur lequel le logiciel EDR est exécuté.
  • Processus principal : nom du processus actuel enregistré.
  • Chemin d'accès du processus principal : emplacement sur le disque du processus en cours d'exécution, le cas échéant.
  • Ligne de commande du processus principal : paramètres de ligne de commande du processus, le cas échéant.
  • Processus cible : nom du processus enfant lancé par le processus principal.
  • Chemin d'accès du processus cible : emplacement du processus cible sur le disque, le cas échéant.
  • Ligne de commande du processus cible : paramètres de ligne de commande du processus cible, le cas échéant.
  • SHA256/MD5 du processus cible : somme de contrôle du processus cible, le cas échéant. Cette option permet de régler les alertes.
  • ID utilisateur : nom d'utilisateur du processus principal.

Ensemble de règles de hiérarchisation des alertes pour les points de terminaison

Cet ensemble de règles a été testé avec les sources de données EDR compatibles avec Google SecOps suivantes :

  • Microsoft Defender for Endpoint alertes du log_type MICROSOFT_GRAPH_ALERT
  • SentinelOne Threats à partir du SENTINELONE_ALERT log_type
  • Alertes CrowdStrike Falcon Event_DetectionSummaryEvent du CS_EDR log_type

Champs UDM utilisés dans la priorisation des alertes pour les points de terminaison

La section suivante décrit les données de champ UDM nécessaires à l'ensemble de règles de priorisation des alertes pour les points de terminaison. Si vous modifiez l'analyseur par défaut en créant votre propre analyseur personnalisé, assurez-vous de ne pas modifier le mappage de ces champs. Si vous modifiez le mappage de ces champs,vous risquez d'affecter le comportement de cette fonctionnalité.

Nom du champ UDM Description
metadata.event_type Type d'événement normalisé.
metadata.product_name Nom du produit.
security_result.detection_fields["externall_api_type"] Champs à filtrer pour les événements qui vous intéressent.
security_result.threat_name Classification d'une menace (par exemple, une famille de logiciels malveillants) attribuée par un fournisseur.
security_result.category_details Catégorie de logiciels malveillants spécifiques au fournisseur
security_result.summary Résumé de l'alerte.
security_result.rule_name Nom de l'alerte fourni par le fournisseur.
security_result.attack_details Permet d'identifier les tactiques et techniques MITRE ATT&CK.
security_result.description Brève description de l'alerte.
security_result.action Action effectuée par le contrôle.
principal.process.file.names Nom de fichier du processus en cours d'exécution.
principal.process.file.full_path Emplacement sur le disque du processus en cours d'exécution, le cas échéant.
principal.process.command_line Paramètres de ligne de commande du processus, le cas échéant.
principal.asset.hostname Nom d'hôte du système sur lequel le logiciel EDR est exécuté.
principal.hostname Nom d'hôte du système sur lequel le logiciel EDR est exécuté.
principal.user.userid Nom d'utilisateur du processus principal.
target.file.full_path Nom du fichier avec lequel le compte principal interagit.
target.file.md5/sha256 Somme de contrôle du fichier cible, si disponible.

Ajuster les alertes renvoyées par la catégorie "Menaces Windows"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Une exclusion de règle définit les critères utilisés pour empêcher l'évaluation d'un événement par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes :

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.