Windows 脅威のカテゴリの概要

以下でサポートされています。

このドキュメントでは、Windows 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。

これらのルールセットは、検出とアラートを通じて、エンドポイント アラート データからさらに調査すべき内容を示す、すぐに行動に移せるコンテキストを提供します。セキュリティ イベントのモニタリングとトリアージの能力を強化し、悪意のあるアラートとケース(アラートのコレクション)に注意を集中できるようにします。このキュレートされた分析により、エンドポイント アラートへの対応の優先順位付け、調査のための追加コンテキストの提供、エンドポイント ログを使用したセキュリティ イベント モニタリングの改善が可能になります。

Windows 脅威カテゴリのルールセットは、エンドポイントの検出と対応(EDR)ログを使用して Microsoft Windows 環境内の脅威を識別するのに役立ちます。このカテゴリには、次のルールセットが含まれます。

  • 異常な PowerShell: 難読化手法やその他の異常な動作を含む PowerShell コマンドを識別します。
  • Crypto Activity: 不審な暗号通貨に関連するアクティビティ。
  • Hacktool: 自由に利用できるツールで、疑わしいものであっても、組織の使い方次第では正当なものである可能性があるもの。
  • Info Stealer: パスワード、Cookie、暗号ウォレットなど、機密性の高い認証情報を盗み出すために使用されるツール。
  • Initial Access: 不審な動作のあるマシンで初期実行を行うために使用されるツール。
  • Legitimate but Misused: 正規のソフトウェアでありながら、悪用されることが判明しているもの。
  • 環境寄生型(LotL)バイナリ: Microsoft Windows オペレーティング システムに固有で、悪意のある人物によって悪意ある目的で使用される可能性があるツール。
  • Named Threat: 既知の脅威アクターに関連する行動。
  • Ransomware: ランサムウェアに関連するアクティビティ。
  • RAT: ネットワーク資産のリモート コマンドとコントロールの提供に使用するツール。
  • Security Posture Downgrade: セキュリティ ツールの有効性を無効化または低下しようとするアクティビティ。
  • Suspicious Behavior: 全般的な不審な動作。
  • Mandiant Front-Line Threats: このルールセットには、世界中で発生したアクティブなインシデントに対する Mandiant の調査と対応から得られたルールが含まれています。これらのルールは、スクリプト インタープリタによる実行(T1059)、ユーザー実行(T1204)、システム バイナリ プロキシ実行(T1218)など、一般的に見られる TTP を対象としています。
  • Mandiant Intel Emerging Threats: このルールセットには、Mandiant Intelligence Campaigns と Significant Events から派生したルールが含まれています。これらのルールは、Mandiant が評価した、影響力の大きい地政学的な脅威アクティビティを対象としています。このアクティビティには、地政学的な紛争、エクスプロイト、フィッシング、マルバタイジング、ランサムウェア、サプライ チェーンの侵害などが含まれます。
  • エンドポイントのアラートの優先順位付け: このルールセットは、以前に Mandiant Automated Defense - Alert, Investigation & Prioritization プロダクトに搭載されていた機能を利用します。このルールセットは、次のようなパターンを識別します。
    • 攻撃の進行: 複数の侵害の兆候を示す内部アセット。これらの兆候を総合的に考慮すると、システムが侵害されている可能性が高まるため、調査する必要があります。
    • 内部アセットのマルウェア: マルウェアがファイル システムに到達した兆候が見られる内部アセット。調査が必要です。攻撃者は、多くの場合、不正なコードをファイル システムにステージングしてから、エクスプロイトを試みます。
    • 不正なハッキング ツール: 内部アセットで、システム侵害を示すエクスプロイト ツールのアクティビティが確認された場合。脆弱性利用ツールは、システムへのアクセス権を取得して拡大するために使用できる公開ソフトウェアまたはハッキング ツールであり、攻撃者とレッドチームの両方が使用します。システムまたはアカウントによって明示的に承認されていない場合は、これらのツールの使用状況を調査する必要があります。
    • 異常なプロセス動作: 一般的な実行可能ファイルが異常な方法で使用されている内部アセットは、侵害されたホストの強い兆候です。異常な「Living off the Land」の動作が発生した場合は、調査する必要があります。

エンドポイントのアラートの優先度設定ルールセットは、Google Security Operations Enterprise Plus ライセンスで利用できます。

サポート対象のデバイスとログタイプ

このセクションでは、各ルールセットに必要なデータを示します。

Windows 脅威のカテゴリのルールセットはテスト済みであり、Google SecOps のサポート対象となっている次の EDR データソースでサポートされています。

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF(SENTINELONE_CF
  • SentinelOne EDR(SENTINEL_EDR
  • Crowdstrike Falcon (CS_EDR)

Windows 脅威のカテゴリのルールセットは、Google SecOps のサポート対象となっている次の EDR データソースに対してテストされ、最適化されています。

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

別の EDR ソフトウェアを使用してエンドポイント データを収集している場合は、Google SecOps の担当者にお問い合わせください。

Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Windows 脅威のカテゴリに必要な必須フィールド

次のセクションでは、Windows 脅威カテゴリのルールセットで最大の利点を得るために必要な特定のデータについて説明します。デバイスが次のデータをデバイス イベントログに記録するように構成されていることを確認します。

  • イベント タイムスタンプ
  • ホスト名: EDR ソフトウェアが実行されているシステムのホスト名。
  • プリンシパル プロセス: ログに記録される現在のプロセス名。
  • プリンシパル プロセス パス: 現在実行中のプロセスのディスク上の位置(存在する場合)。
  • プリンシパル プロセス コマンドライン: プリンシパル プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス: プリンシパル プロセスから起動される生成プロセス名。
  • ターゲット プロセス パス: ターゲット プロセスのディスク上の位置(存在する場合)。
  • ターゲット プロセスのコマンドライン: ターゲット プロセスのコマンドライン パラメータ(利用可能な場合)。
  • ターゲット プロセス SHA256\MD5: ターゲット プロセスのチェックサム(使用可能な場合)。これはアラートの調整に使用されます。
  • ユーザー ID: プリンシパル プロセスのユーザー名。

エンドポイントのアラートの優先順位付けルールセット

このルールセットは、Google SecOps のサポート対象となっている次の EDR データソースでテストされています。

  • MICROSOFT_GRAPH_ALERT log_type からの Microsoft Defender for Endpoint 件のアラート
  • SENTINELONE_ALERT log_type の SentinelOne Threats
  • CS_EDR log_type からの CrowdStrike Falcon Event_DetectionSummaryEvent アラート

エンドポイントのアラートの優先度付けで使用される UDM フィールド

次のセクションでは、Alert Prioritization for Endpoints ルールセットに必要な UDM フィールド データについて説明します。独自のカスタム パーサーを作成してデフォルトのパーサーを変更する場合は、これらのフィールドのマッピングを変更しないようにしてください。これらのフィールドのマップ方法を変更すると、この機能の動作に影響する可能性があります。

UDM フィールド名 説明
metadata.event_type 正規化されたイベントタイプ。
metadata.product_name プロダクト名
security_result.detection_fields["externall_api_type"] 対象イベントをフィルタするフィールド。
security_result.threat_name マルウェア ファミリーなどのベンダーが割り当てた脅威の分類。
security_result.category_details ベンダー固有のマルウェア カテゴリ
security_result.summary アラートの概要。
security_result.rule_name ベンダーから提供されたアラート名。
security_result.attack_details Mitre ATT&CK の戦術と手法を特定するために使用されます。
security_result.description アラートの簡単な説明。
security_result.action コントロールによって実行されたアクション。
principal.process.file.names 実行中のプロセスのファイル名。
principal.process.file.full_path 現在実行中のプロセスのディスク上の位置(存在する場合)。
principal.process.command_line プロセスのコマンドライン パラメータ(利用可能な場合)。
principal.asset.hostname EDR ソフトウェアが実行されているシステムのホスト名。
principal.hostname EDR ソフトウェアが実行されているシステムのホスト名。
principal.user.userid プリンシパル プロセスのユーザー名。
target.file.full_path プリンシパルが操作しているファイルの名前。
target.file.md5/sha256 ターゲット ファイルのチェックサム(使用可能な場合)。

Windows 脅威のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。

たとえば、次の情報に基づいてイベントを除外できます。

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。