Ringkasan Kategori Ancaman Windows

Didukung di:

Dokumen ini memberikan ringkasan set aturan dalam kategori Ancaman Windows, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh set aturan ini.

Kumpulan aturan ini memberi Anda konteks yang dapat segera ditindaklanjuti, melalui deteksi dan pemberitahuan, yang menunjukkan apa yang harus diselidiki lebih lanjut dari data pemberitahuan endpoint. Fitur ini membantu meningkatkan kapasitas pemantauan dan triase peristiwa keamanan, sehingga Anda dapat memfokuskan perhatian pada notifikasi serta kasus (kumpulan notifikasi) yang berbahaya dan dapat ditindaklanjuti. Analisis yang dikurasi ini memungkinkan Anda memprioritaskan respons terhadap pemberitahuan endpoint, memberikan konteks tambahan untuk penyelidikan, dan meningkatkan pemantauan peristiwa keamanan menggunakan log endpoint.

Kumpulan aturan dalam kategori Ancaman Windows membantu mengidentifikasi ancaman di lingkungan Microsoft Windows menggunakan log Deteksi dan Respons Endpoint (EDR). Kategori ini mencakup set aturan berikut:

  • PowerShell yang Tidak Normal: Mengidentifikasi perintah PowerShell yang berisi teknik pengaburan atau perilaku tidak normal lainnya.
  • Aktivitas Kripto: Aktivitas yang terkait dengan mata uang kripto yang mencurigakan.
  • Hacktool: Alat yang tersedia secara bebas yang mungkin dianggap mencurigakan, tetapi berpotensi sah bergantung pada penggunaan organisasi.
  • Pencuri Info (Info Stealer): Alat yang digunakan untuk mencuri kredensial, termasuk sandi, cookie, dompet kripto, dan kredensial sensitif lainnya.
  • Akses Awal: Alat yang digunakan untuk mendapatkan eksekusi awal pada mesin dengan perilaku mencurigakan.
  • Sah tetapi Disalahgunakan: Software sah yang diketahui disalahgunakan untuk tujuan berbahaya.
  • Biner Living off the Land (LotL): Alat bawaan sistem operasi Microsoft Windows yang dapat disalahgunakan oleh pelaku ancaman untuk tujuan berbahaya.
  • Ancaman Bernama (Named Threat): Perilaku yang terkait dengan pelaku ancaman yang dikenal.
  • Ransomware: Aktivitas yang terkait dengan ransomware.
  • RAT: Alat yang digunakan untuk menyediakan perintah dan kontrol jarak jauh atas aset jaringan.
  • Penurunan Kualitas Keamanan: Aktivitas yang mencoba menonaktifkan atau mengurangi efektivitas alat keamanan.
  • Perilaku Mencurigakan: Perilaku mencurigakan umum.
  • Ancaman Garis Depan Mandiant: Kumpulan aturan ini berisi aturan yang berasal dari investigasi dan respons Mandiant terhadap insiden aktif di seluruh dunia. Aturan ini mencakup TTP yang umum terlihat seperti eksekusi melalui interpreter skrip (T1059), eksekusi pengguna (T1204), dan eksekusi proxy biner sistem (T1218).
  • Mandiant Intel - Ancaman Baru: Kumpulan aturan ini berisi aturan yang berasal dari Kampanye Intelijen dan Peristiwa Penting Mandiant, yang mencakup aktivitas ancaman dan geopolitik yang sangat berdampak, sebagaimana dinilai oleh Mandiant. Aktivitas ini dapat mencakup konflik geopolitik, eksploitasi, phishing, malvertising, ransomware, dan kompromi supply chain.
  • Prioritas Pemberitahuan untuk Endpoint: Set aturan ini menggunakan kemampuan yang sebelumnya ada di produk Mandiant Automated Defense - Alert, Investigation & Prioritization. Set aturan ini mengidentifikasi pola seperti berikut:
    • Progresi serangan: Aset internal yang menunjukkan beberapa tanda kompromi yang, jika dipertimbangkan bersama-sama, meningkatkan kemungkinan sistem disusupi dan oleh karena itu harus diselidiki.
    • Malware pada aset internal: Aset internal yang menunjukkan tanda-tanda bahwa malware telah mencapai sistem file dan harus diselidiki. Penyerang sering kali mengatur kode berbahaya pada sistem file setelah upaya eksploitasi berhasil.
    • Alat peretasan yang tidak sah: Aset internal yang menunjukkan aktivitas alat eksploitasi yang mengindikasikan sistem disusupi. Alat eksploitasi adalah software atau alat peretasan yang tersedia secara publik yang dapat digunakan untuk mendapatkan dan memperluas akses pada sistem serta digunakan oleh penyerang dan tim Red. Penggunaan alat ini harus diselidiki jika penggunaannya tidak diizinkan secara eksplisit oleh sistem atau akun.
    • Perilaku proses yang tidak biasa: Aset internal yang menggunakan executable umum dengan cara yang tidak biasa adalah indikator kuat bahwa host telah dibobol. Terjadinya perilaku "Living off the Land" yang tidak biasa harus diselidiki.

Kumpulan aturan Prioritas Notifikasi untuk Endpoint tersedia dengan lisensi Google Security Operations Enterprise Plus.

Perangkat dan jenis log yang didukung

Bagian ini mencantumkan data yang diperlukan oleh setiap set aturan.

Kumpulan aturan dalam kategori Ancaman Windows telah diuji dan didukung dengan sumber data EDR yang didukung Google SecOps berikut:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Kumpulan aturan dalam kategori Ancaman Windows sedang diuji dan dioptimalkan untuk sumber data EDR yang didukung Google SecOps berikut:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Hubungi perwakilan Google SecOps Anda jika Anda mengumpulkan data endpoint menggunakan software EDR yang berbeda.

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Kolom wajib diisi yang diperlukan oleh kategori Ancaman Windows

Bagian berikut menjelaskan data spesifik yang diperlukan oleh set aturan dalam kategori Ancaman Windows untuk mendapatkan manfaat terbesar. Pastikan perangkat Anda dikonfigurasi untuk merekam data berikut ke log peristiwa perangkat.

  • Stempel Waktu Peristiwa
  • Nama host: Nama host sistem tempat software EDR berjalan.
  • Proses Utama: Nama proses saat ini yang sedang dicatat.
  • Jalur Proses Utama: Lokasi di disk dari proses yang sedang berjalan, jika tersedia.
  • Command Line Proses Utama: Parameter command line proses, jika tersedia.
  • Proses Target: Nama proses yang diluncurkan oleh proses utama.
  • Jalur Proses Target: Lokasi proses target di disk, jika tersedia.
  • Command Line Proses Target: Parameter command line dari proses target, jika tersedia.
  • SHA256\MD5 Proses Target: Checksum proses target, jika tersedia. Opsi ini digunakan untuk menyesuaikan pemberitahuan.
  • ID Pengguna: Nama pengguna proses utama.

Penentuan Prioritas Notifikasi untuk set aturan Endpoints

Set aturan ini telah diuji dengan sumber data EDR yang didukung Google SecOps berikut:

  • Microsoft Defender for Endpoint pemberitahuan dari MICROSOFT_GRAPH_ALERT log_type
  • SentinelOne Threats dari SENTINELONE_ALERT log_type
  • Pemberitahuan CrowdStrike Falcon Event_DetectionSummaryEvent dari CS_EDR log_type

Kolom UDM yang digunakan dalam Prioritas Pemberitahuan untuk Endpoint

Bagian berikut menjelaskan data kolom UDM yang diperlukan oleh set aturan Prioritas Pemberitahuan untuk Endpoint. Jika Anda mengubah parser default dengan membuat parser kustom Anda sendiri, pastikan Anda tidak mengubah pemetaan kolom ini. Jika Anda mengubah cara pemetaan kolom ini,Anda dapat memengaruhi perilaku fitur ini.

Nama kolom UDM Deskripsi
metadata.event_type Jenis peristiwa yang dinormalisasi.
metadata.product_name Nama produk.
security_result.detection_fields["externall_api_type"] Kolom untuk memfilter acara yang diminati.
security_result.threat_name Klasifikasi ancaman yang ditetapkan vendor, seperti jenis malware.
security_result.category_details Kategori malware spesifik vendor
security_result.summary Ringkasan notifikasi.
security_result.rule_name Nama pemberitahuan yang diberikan oleh vendor.
security_result.attack_details Digunakan untuk mengidentifikasi taktik dan teknik Mitre ATT&CK.
security_result.description Deskripsi singkat untuk notifikasi.
security_result.action Tindakan yang diambil oleh kontrol.
principal.process.file.names Nama file proses yang sedang berjalan.
principal.process.file.full_path Lokasi di disk dari proses yang sedang berjalan, jika tersedia.
principal.process.command_line Parameter command line proses, jika tersedia.
principal.asset.hostname Nama host sistem tempat software EDR berjalan.
principal.hostname Nama host sistem tempat software EDR berjalan.
principal.user.userid Nama pengguna proses utama.
target.file.full_path Nama file yang berinteraksi dengan akun utama.
target.file.md5/sha256 Checksum file target, jika tersedia.

Menyesuaikan peringatan yang ditampilkan oleh kategori Ancaman Windows

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mendapatkan informasi tentang cara melakukannya.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan informasi berikut:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.