Panoramica della categoria Minacce di Windows

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce di Windows, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi insiemi di regole.

Gli insiemi di regole nella categoria Minacce di Windows consentono di identificare le minacce negli ambienti Microsoft Windows utilizzando i log di rilevamento e risposta degli endpoint (EDR). Questa categoria include i seguenti insiemi di regole:

  • PowerShell anomalo: identifica i comandi PowerShell contenenti tecniche di offuscamento o altri comportamenti anomali.
  • Attività di criptovaluta: attività associate a criptovalute sospette.
  • Hacktool: strumento disponibile gratuitamente che potrebbe essere considerato sospetto, ma potrebbe essere potenzialmente legittimo a seconda dell'utilizzo da parte dell'organizzazione.
  • Info Stealer: strumenti utilizzati per rubare credenziali, tra cui password, cookie, portafogli di criptovalute e altre credenziali sensibili.
  • Accesso iniziale: strumenti utilizzati per ottenere l'esecuzione iniziale su una macchina con comportamento sospetto.
  • Legittimo, ma utilizzato in modo improprio: software legittimo di cui è noto che viene utilizzato in modo improprio per scopi dannosi.
  • Binari Living off the Land (LotL): strumenti nativi dei sistemi operativi Microsoft Windows che possono essere utilizzati in modo improprio dagli autori di minacce per scopi dannosi.
  • Minaccia denominata: comportamento associato a un attore delle minacce noto.
  • Ransomware: attività associate al ransomware.
  • RAT: strumenti utilizzati per fornire il comando e il controllo remoto delle risorse di rete.
  • Downgrade della condizione di sicurezza: attività che tentano di disattivare o ridurre l'efficacia degli strumenti di sicurezza.
  • Comportamento sospetto: comportamento sospetto generico.

Dispositivi e tipi di log supportati

Gli insiemi di regole nella categoria Minacce di Windows sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google Security Operations:

  • Nero carbone (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

I set di regole nella categoria Minacce Windows vengono testati e ottimizzati per le seguenti origini dati EDR supportate da Google Security Operations:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contatta il tuo rappresentante di Google Security Operations se raccogli i dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Campi obbligatori necessari per la categoria Minacce di Windows

La sezione seguente descrive i dati specifici necessari per gli insiemi di regole nella categoria Minacce di Windows per ottenere il massimo vantaggio. Assicurati che i dispositivi siano configurati per registrare i seguenti dati nei log degli eventi del dispositivo.

  • Timestamp evento
  • Nome host: nome host del sistema in cui è in esecuzione il software EDR.
  • Processo principale: il nome del processo corrente registrato.
  • Percorso del processo principale: posizione sul disco del processo in esecuzione corrente, se disponibile.
  • Riga di comando del processo principale: i parametri della riga di comando del processo, se disponibili.
  • Processo target: il nome del processo generato avviato dal processo principale.
  • Percorso del processo di destinazione: posizione sul disco del processo di destinazione, se disponibile.
  • Riga di comando del processo di destinazione: i parametri della riga di comando del processo di destinazione, se disponibili.
  • Processo di destinazione SHA256\MD5: il checksum del processo di destinazione, se disponibile. Viene utilizzato per ottimizzare gli avvisi.
  • ID utente: il nome utente del processo principale.

Avvisi di ottimizzazione restituiti dalla categoria Minacce di Windows

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.