Windows 위협 카테고리 개요

다음에서 지원:

이 문서에서는 Windows 위협 카테고리의 규칙 집합, 필요한 데이터 소스, 이러한 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성을 간략하게 설명합니다.

이러한 규칙 세트는 탐지 및 알림을 통해 즉시 조치를 취할 수 있는 컨텍스트를 제공하여 엔드포인트 알림 데이터에서 추가로 조사해야 하는 항목을 나타냅니다. 이러한 기능은 보안 이벤트 모니터링 및 분류 역량을 강화하여 악성이고 조치를 취할 수 있는 경보와 케이스 (경보 모음)에 집중할 수 있도록 지원합니다. 이러한 선별된 분석을 통해 엔드포인트 알림에 대한 대응의 우선순위를 정하고, 조사를 위한 추가 컨텍스트를 제공하고, 엔드포인트 로그를 사용하여 보안 이벤트 모니터링을 개선할 수 있습니다.

Windows 위협 카테고리의 규칙 집합은 엔드포인트 감지 및 응답(EDR) 로그를 사용하여 Microsoft Windows 환경의 위협을 식별하는 데 도움이 됩니다. 이 카테고리에는 다음 규칙 집합이 포함됩니다.

  • 비정상적인 PowerShell: 난독화 기술이나 기타 비정상적인 동작이 포함된 PowerShell 명령어를 식별합니다.
  • 암호화 활동: 의심스러운 암호화폐와 관련된 활동입니다.
  • Hacktool: 의심스러운 것으로 간주될 수 있지만 조직의 용도에 따라 합법적일 수 있는 자유롭게 사용할 수 있는 도구입니다.
  • 정보 탈취: 비밀번호, 쿠키, 암호화 월렛, 기타 민감한 사용자 인증 정보를 포함하여 기타 중요한 사용자 인증 정보를 탈취하는 데 사용되는 도구입니다.
  • 초기 액세스: 의심스러운 동작이 있는 머신에서 초기 실행을 얻는 데 사용되는 도구입니다.
  • 합법적이지만 오용됨: 악의적인 목적으로 악용된 것으로 알려진 합법적인 소프트웨어입니다.
  • Living off the Land (LotL) 바이너리: 위협 행위자가 악의적인 목적으로 악용할 수 있는 Microsoft Windows 운영체제에 내장된 도구입니다.
  • 명명된 위협: 알려진 위협 행위자와 관련된 행동입니다.
  • Ransomware: 랜섬웨어와 관련된 활동입니다.
  • RAT: 네트워크 애셋을 원격으로 명령하고 제어하는 데 사용되는 도구입니다.
  • 보안 상태 다운그레이드: 보안 도구의 효과를 사용 중지 또는 줄이려고 하는 활동입니다.
  • 의심스러운 행동: 일반적인 의심스러운 행동입니다.
  • Mandiant Front-Line Threats: 이 규칙 세트에는 전 세계에서 발생한 활성 사고에 대한 Mandiant의 조사 및 대응에서 파생된 규칙이 포함되어 있습니다. 이러한 규칙은 스크립트 인터프리터를 통한 실행 (T1059), 사용자 실행 (T1204), 시스템 바이너리 프록시 실행 (T1218)과 같이 일반적으로 확인되는 TTP를 다룹니다.
  • Mandiant Intel Emerging Threats: 이 규칙 집합에는 Mandiant 인텔리전스 캠페인 및 주요 이벤트에서 파생된 규칙이 포함되어 있으며, Mandiant에서 평가한 바에 따라 매우 큰 영향을 미치는 지정학적 및 위협 활동을 다룹니다. 이러한 활동에는 지정학적 갈등, 익스플로잇, 피싱, 악성 광고, 랜섬웨어, 공급망 침해가 포함될 수 있습니다.
  • 엔드포인트 경보 우선순위 지정: 이 규칙 세트는 이전에 Mandiant Automated Defense - Alert, Investigation & Prioritization 제품에서 제공되던 기능을 활용합니다. 이 규칙 집합은 다음과 같은 패턴을 식별합니다.
    • 공격 진행: 함께 고려할 때 시스템이 손상될 가능성이 높아지므로 조사해야 하는 여러 손상 징후를 보이는 내부 애셋입니다.
    • 내부 애셋의 멀웨어: 멀웨어가 파일 시스템에 도달했다는 징후가 나타나는 내부 애셋으로, 조사해야 합니다. 공격자는 익스플로잇 시도가 성공한 후 파일 시스템에 악성 코드를 스테이징하는 경우가 많습니다.
    • 무단 해킹 도구: 시스템 침해를 나타내는 악용 도구 활동을 보이는 내부 애셋 악용 도구는 시스템에 대한 액세스 권한을 획득하고 확장하는 데 사용할 수 있는 공개 소프트웨어 또는 해킹 도구이며 공격자와 레드팀 모두 사용합니다. 이러한 도구의 사용이 시스템이나 계정에서 명시적으로 승인되지 않은 경우 준수 여부를 조사해야 합니다.
    • 비정상적인 프로세스 동작: 일반적인 실행 파일이 비정상적인 방식으로 사용되는 내부 애셋은 손상된 호스트를 나타내는 강력한 지표입니다. 비정상적인 'Living off the Land' 동작이 발생하면 조사해야 합니다.

엔드포인트 알림 우선순위 지정 규칙 집합은 Google Security Operations Enterprise Plus 라이선스로 사용할 수 있습니다.

지원되는 기기 및 로그 유형

이 섹션에서는 각 규칙 집합에 필요한 데이터를 나열합니다.

Windows 위협 카테고리의 규칙 집합은 테스트되었으며 다음과 같은 Google SecOps 지원 EDR 데이터 소스에서 지원됩니다.

  • Carbon Black(CB_EDR)
  • Microsoft Sysmon(WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon(CS_EDR)

Windows 위협 카테고리의 규칙 집합은 다음과 같이 지원되는 Google SecOps EDR 데이터 소스에 대해 테스트 및 최적화됩니다.

  • Tanium
  • Cybereason EDR(CYBEREASON_EDR)
  • Lima Charlie(LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance(CYLANCE_PROTECT)

다른 EDR 소프트웨어를 사용하여 엔드포인트 데이터를 수집하는 경우 Google SecOps 담당자에게 문의하세요.

지원되는 모든 Google SecOps 데이터 소스 목록은 지원되는 기본 파서를 참고하세요.

Windows 위협 카테고리에 필요한 필드

다음 섹션에서는 Windows 위협 카테고리의 규칙 집합에 필요한 특정 데이터를 설명하여 가장 큰 이점을 얻을 수 있습니다. 해당 기기가 기기 이벤트 로그에 다음 데이터를 기록하도록 구성되었는지 확인합니다.

  • 이벤트 타임스탬프
  • 호스트 이름: EDR 소프트웨어가 실행 중인 시스템의 호스트 이름입니다.
  • 기본 프로세스: 로깅되는 현재 프로세스의 이름입니다.
  • 기본 프로세스 경로: 현재 실행 중인 프로세스의 디스크 위치입니다(사용 가능한 경우).
  • 기본 프로세스 명령줄: 프로세스의 명령줄 매개변수입니다(사용 가능한 경우).
  • 대상 프로세스: 기본 프로세스에서 실행 중인 생성 프로세스의 이름입니다.
  • 대상 프로세스 경로: 대상 프로세스의 디스크 위치입니다(사용 가능한 경우).
  • 대상 프로세스 명령줄: 대상 프로세스의 명령줄 매개변수(사용 가능한 경우)입니다.
  • 대상 프로세스 SHA256\MD5: 대상 프로세스의 체크섬입니다(사용 가능한 경우). 이는 알림을 조정하는 데 사용됩니다.
  • 사용자 ID: 기본 프로세스의 사용자 이름입니다.

엔드포인트 규칙 집합의 알림 우선순위 지정

이 규칙 집합은 다음과 같은 Google SecOps 지원 EDR 데이터 소스를 사용하여 테스트되었습니다.

  • MICROSOFT_GRAPH_ALERT log_type의 알림 Microsoft Defender for Endpoint
  • SENTINELONE_ALERT log_type의 SentinelOne Threats
  • CS_EDR log_type의 CrowdStrike Falcon Event_DetectionSummaryEvent 알림

엔드포인트의 알림 우선순위 지정에 사용되는 UDM 필드

다음 섹션에서는 엔드포인트 알림 우선순위 지정 규칙 집합에 필요한 UDM 필드 데이터를 설명합니다. 맞춤 파서를 만들어 기본 파서를 수정하는 경우 이러한 필드의 매핑을 변경하지 마세요. 이러한 필드의 매핑 방식을 변경하면 이 기능의 동작에 영향을 미칠 수 있습니다.

UDM 필드 이름 설명
metadata.event_type 정규화된 이벤트 유형입니다.
metadata.product_name 제품 이름입니다.
security_result.detection_fields["externall_api_type"] 관심 있는 이벤트를 필터링할 필드입니다.
security_result.threat_name 멀웨어 패밀리와 같은 위협의 공급업체 할당 분류입니다.
security_result.category_details 공급업체별 멀웨어 카테고리
security_result.summary 알림 요약입니다.
security_result.rule_name 공급업체에서 제공한 알림 이름입니다.
security_result.attack_details Mitre ATT&CK 전략 및 기법을 식별하는 데 사용됩니다.
security_result.description 알림에 대한 간단한 설명입니다.
security_result.action 컨트롤에서 취한 조치입니다.
principal.process.file.names 실행 중인 프로세스의 파일 이름입니다.
principal.process.file.full_path 현재 실행 중인 프로세스의 디스크 위치입니다(사용 가능한 경우).
principal.process.command_line 프로세스의 명령줄 매개변수입니다(사용 가능한 경우).
principal.asset.hostname EDR 소프트웨어가 실행 중인 시스템의 호스트 이름입니다.
principal.hostname EDR 소프트웨어가 실행 중인 시스템의 호스트 이름입니다.
principal.user.userid 기본 프로세스의 사용자 이름입니다.
target.file.full_path 주 구성원이 상호작용하는 파일의 이름입니다.
target.file.md5/sha256 대상 파일의 체크섬입니다(사용 가능한 경우).

Windows 위협 카테고리에서 반환된 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목은 규칙 집합 또는 규칙 집합의 특정 규칙에서 이벤트 평가를 제외하는 데 사용되는 기준을 정의합니다. 감지 볼륨을 줄이는 데 도움이 되는 규칙 제외 항목을 하나 이상 만듭니다. 이를 수행하는 방법은 규칙 제외 항목 구성을 참조하세요.

예를 들어 다음 정보를 기준으로 이벤트를 제외할 수 있습니다.

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.