Panoramica della categoria Minacce per Windows

Supportato in:

Questo documento fornisce una panoramica dei set di regole nella categoria Minacce Windows, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi set di regole.

Questi set di regole forniscono un contesto immediatamente azionabile, tramite rilevamenti e avvisi, che indicano cosa deve essere ulteriormente esaminato dai dati degli avvisi degli endpoint. Contribuiscono a migliorare il monitoraggio degli eventi di sicurezza e la capacità di triage, consentendoti di concentrare l'attenzione su avvisi e casi (raccolte di avvisi) dannosi e su cui è possibile intervenire. Questi analytics curati ti consentono di dare la priorità alla risposta agli avvisi degli endpoint, fornire un contesto aggiuntivo per le indagini e migliorare il monitoraggio degli eventi di sicurezza utilizzando i log degli endpoint.

I set di regole nella categoria Minacce Windows aiutano a identificare le minacce negli ambienti Microsoft Windows utilizzando i log di rilevamento e risposta degli endpoint (EDR). Questa categoria include i seguenti insiemi di regole:

  • PowerShell anomalo: identifica i comandi PowerShell contenenti tecniche di offuscamento o altri comportamenti anomali.
  • Attività di criptovalute: attività associata a criptovalute sospette.
  • Hacktool: strumento disponibile gratuitamente che può essere considerato sospetto, ma che potrebbe essere legittimo a seconda dell'utilizzo dell'organizzazione.
  • Info Stealer: strumenti utilizzati per rubare credenziali, tra cui password, cookie, wallet di criptovalute e altre credenziali sensibili.
  • Accesso iniziale: strumenti utilizzati per ottenere l'esecuzione iniziale su una macchina con comportamento sospetto.
  • Legittimo ma utilizzato in modo improprio: software legittimo noto per essere utilizzato in modo improprio per scopi dannosi.
  • Binari Living off the Land (LotL): strumenti integrati nei sistemi operativi Microsoft Windows che possono essere utilizzati in modo improprio dagli autori delle minacce per scopi dannosi.
  • Minaccia denominata: comportamento associato a un aggressore noto.
  • Ransomware: attività associata al ransomware.
  • RAT: strumenti utilizzati per fornire il comando e il controllo remoto degli asset di rete.
  • Downgrade della postura di sicurezza: attività che tenta di disattivare o ridurre l'efficacia degli strumenti di sicurezza.
  • Comportamento sospetto: comportamento sospetto generale.
  • Mandiant Front-Line Threats: questo insieme di regole contiene regole derivate dalle indagini e dalla risposta di Mandiant agli incidenti attivi in tutto il mondo. Queste regole coprono TTP comunemente osservate, come l'esecuzione tramite interpreti di script (T1059), l'esecuzione da parte dell'utente (T1204) e l'esecuzione di proxy binari di sistema (T1218).
  • Mandiant Intel Emerging Threats: questo insieme di regole contiene regole derivate dalle campagne di intelligence e dagli eventi significativi di Mandiant, che coprono attività geopolitiche e di minacce di grande impatto, come valutato da Mandiant. Questa attività può includere conflitti geopolitici, sfruttamento, phishing, malvertising, ransomware e compromissioni della supply chain.
  • Prioritizzazione degli avvisi per gli endpoint: questo insieme di regole utilizza la funzionalità precedentemente disponibile nel prodotto Mandiant Automated Defense - Alert, Investigation & Prioritization. Questo insieme di regole identifica pattern come i seguenti:
    • Progressione dell'attacco: asset interni che mostrano più segni di compromissione che, se considerati insieme, aumentano la probabilità che il sistema sia compromesso e quindi debba essere esaminato.
    • Malware negli asset interni: asset interni che mostrano segni che il malware ha raggiunto il file system e devono essere esaminati. Gli aggressori spesso preparano codice dannoso sul file system dopo un tentativo di exploit riuscito.
    • Strumenti di hacking non autorizzati: asset interni che mostrano attività di strumenti di exploit che indicano la compromissione del sistema. Gli strumenti di sfruttamento sono software o strumenti di hacking disponibili pubblicamente che possono essere utilizzati per ottenere ed espandere l'accesso ai sistemi e vengono utilizzati sia dagli autori degli attacchi sia dai Red team. L'utilizzo di questi strumenti deve essere esaminato se non è esplicitamente autorizzato da un sistema o un account.
    • Comportamenti insoliti dei processi: le risorse interne in cui vengono utilizzati eseguibili comuni in modo insolito sono un forte indicatore di un host compromesso. È necessario esaminare la presenza di comportamenti insoliti di tipo "Living off the Land".

Il set di regole Prioritizzazione degli avvisi per gli endpoint è disponibile con una licenza Google Security Operations Enterprise Plus.

Dispositivi e tipi di log supportati

Questa sezione elenca i dati richiesti da ciascun insieme di regole.

I set di regole nella categoria Minacce Windows sono stati testati e sono supportati con le seguenti origini dati EDR supportate da Google SecOps:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

I set di regole nella categoria Minacce Windows sono in fase di test e ottimizzazione per le seguenti origini dati EDR supportate da Google SecOps:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contatta il tuo rappresentante Google SecOps se raccogli dati degli endpoint utilizzando un software EDR diverso.

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Analizzatori predefiniti supportati.

Campi obbligatori necessari per la categoria Minacce di Windows

La seguente sezione descrive i dati specifici necessari ai set di regole nella categoria Minacce Windows per ottenere il massimo vantaggio. Assicurati che i tuoi dispositivi siano configurati per registrare i seguenti dati nei log eventi del dispositivo.

  • Timestamp evento
  • Nome host: il nome host del sistema in cui è in esecuzione il software EDR.
  • Processo principale: nome del processo attuale registrato.
  • Percorso del processo principale: posizione sul disco del processo in esecuzione corrente, se disponibile.
  • Riga di comando del processo principale: parametri della riga di comando del processo, se disponibili.
  • Processo di destinazione: nome del processo generato avviato dal processo principale.
  • Percorso processo di destinazione: posizione sul disco del processo di destinazione, se disponibile.
  • Riga di comando del processo di destinazione: parametri della riga di comando del processo di destinazione, se disponibili.
  • SHA256/MD5 del processo di destinazione: checksum del processo di destinazione, se disponibile. Viene utilizzato per regolare gli avvisi.
  • ID utente: il nome utente del processo principale.

Prioritizzazione degli avvisi per il set di regole Endpoints

Questo set di regole è stato testato con le seguenti origini dati EDR supportate da Google SecOps:

  • Microsoft Defender for Endpoint avvisi dal log_type MICROSOFT_GRAPH_ALERT
  • SentinelOne Threats da SENTINELONE_ALERT log_type
  • Avvisi di CrowdStrike Falcon Event_DetectionSummaryEvent dal tipo di log CS_EDR

Campi UDM utilizzati nella definizione delle priorità degli avvisi per gli endpoint

La seguente sezione descrive i dati dei campi UDM necessari per il set di regole Priorità avvisi per gli endpoint. Se modifichi il parser predefinito creando un parser personalizzato, assicurati di non modificare il mapping di questi campi. Se modifichi la mappatura di questi campi,potresti influire sul comportamento di questa funzionalità.

Nome del campo UDM Descrizione
metadata.event_type Un tipo di evento normalizzato.
metadata.product_name Il nome del prodotto.
security_result.detection_fields["externall_api_type"] Campi da filtrare per gli eventi di interesse.
security_result.threat_name Classificazione di una minaccia assegnata dal fornitore, ad esempio una famiglia di malware.
security_result.category_details La categoria di malware specifica del fornitore
security_result.summary Un riepilogo dell'avviso.
security_result.rule_name Un nome di avviso fornito dal fornitore.
security_result.attack_details Utilizzato per identificare le tattiche e le tecniche MITRE ATT&CK.
security_result.description Una breve descrizione dell'avviso.
security_result.action Azione intrapresa dal controllo.
principal.process.file.names Il nome del file del processo in esecuzione.
principal.process.file.full_path Posizione su disco del processo in esecuzione corrente, se disponibile.
principal.process.command_line Parametri della riga di comando del processo, se disponibili.
principal.asset.hostname Nome host del sistema in cui è in esecuzione il software EDR.
principal.hostname Nome host del sistema in cui è in esecuzione il software EDR.
principal.user.userid Il nome utente del processo principale.
target.file.full_path Il nome del file con cui interagisce il principale.
target.file.md5/sha256 Checksum del file di destinazione, se disponibile.

Ottimizzazione degli avvisi restituiti dalla categoria Minacce di Windows

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, vedi Configurare le esclusioni delle regole.

Ad esempio, potresti escludere gli eventi in base alle seguenti informazioni:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.