Visão geral da categoria de ameaças do Windows

Compatível com:

Este documento oferece uma visão geral dos conjuntos de regras na categoria "Ameaças do Windows", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por esses conjuntos de regras.

Esses conjuntos de regras fornecem um contexto imediatamente útil, por meio de detecções e alertas, indicando o que deve ser investigado mais a fundo com base nos dados de alerta do endpoint. Eles ajudam a melhorar o monitoramento de ocorrência de segurança e a capacidade de triagem, permitindo que você se concentre em alertas e casos (conjuntos de alertas) maliciosos e úteis. Com essa análise selecionada, você pode priorizar a resposta a alertas de endpoints, fornecer mais contexto para investigações e melhorar o monitoramento de ocorrência de segurança usando registros de endpoints.

Os conjuntos de regras na categoria "Ameaças do Windows" ajudam a identificar ameaças em ambientes Microsoft Windows usando registros de detecção e resposta de endpoints (EDR, na sigla em inglês). Essa categoria inclui os seguintes conjuntos de regras:

  • PowerShell anômalo: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outro comportamento anômalo.
  • Atividade de criptomoedas: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítima dependendo do uso da organização.
  • Info Stealer: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptomoedas e outras credenciais sensíveis.
  • Acesso inicial: ferramentas usadas para ganhar execução inicial em uma máquina com comportamento suspeito.
  • Legítimo, mas usado indevidamente: software legítimo que é conhecido por ser usado indevidamente para fins maliciosos.
  • Binários de Living off the Land (LotL): ferramentas integradas aos sistemas operacionais Microsoft Windows que podem ser usadas indevidamente por agentes de ameaças para fins maliciosos.
  • Ameaça nomeada: comportamento associado a um agente de ameaças conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controle remotos de recursos de rede.
  • Rebaixamento da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.
  • Ameaças da linha de frente da Mandiant: esse conjunto de regras contém regras derivadas da investigação e resposta da Mandiant a incidentes ativos em todo o mundo. Essas regras abrangem TTPs comuns, como execução por intérpretes de script (T1059), execução do usuário (T1204) e execução de proxy binário do sistema (T1218).
  • Ameaças emergentes da Mandiant Intel: esse conjunto de regras contém regras derivadas de campanhas de inteligência e eventos significativos da Mandiant, que abrangem atividades geopolíticas e de ameaças de alto impacto, conforme avaliado pela Mandiant. Essa atividade pode incluir conflitos geopolíticos, exploração, phishing, malvertising, ransomware e comprometimentos da cadeia de suprimentos.
  • Priorização de alertas para endpoints: esse conjunto de regras usa o recurso encontrado anteriormente no produto Mandiant Automated Defense: alertas, investigações e priorização. Esse conjunto de regras identifica padrões como os seguintes:
    • Progressão do ataque: recursos internos que mostram vários sinais de comprometimento que, quando considerados juntos, aumentam a probabilidade de o sistema estar comprometido e, portanto, precisam ser investigados.
    • Malware em recursos internos: recursos internos que mostram sinais de que o malware atingiu o sistema de arquivos e precisam ser investigados. Os invasores geralmente preparam códigos maliciosos no sistema de arquivos após uma tentativa de exploração bem-sucedida.
    • Ferramentas de invasão não autorizadas: recursos internos que mostram atividade de ferramentas de exploração indicando comprometimento do sistema. As ferramentas de exploração são softwares ou ferramentas de invasão disponíveis publicamente que podem ser usadas para ganhar e expandir o acesso a sistemas. Elas são usadas por invasores e equipes vermelhas. A observância dessas ferramentas deve ser investigada se o uso não for explicitamente autorizado por um sistema ou conta.
    • Comportamentos incomuns de processos: recursos internos em que executáveis comuns estão sendo usados de maneira incomum são um forte indicador de um host comprometido. A ocorrência de comportamentos incomuns de "Living off the Land" precisa ser investigada.

O conjunto de regras de priorização de alertas para endpoints está disponível com uma licença do Google Security Operations Enterprise Plus.

Dispositivos e tipos de registros aceitos

Esta seção lista os dados exigidos por cada conjunto de regras.

Os grupos de regras na categoria "Ameaças do Windows" foram testados e são compatíveis com as seguintes fontes de dados de EDR compatíveis com o Google SecOps:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • EDR da SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Os conjuntos de regras na categoria "Ameaças do Windows" estão sendo testados e otimizados para as seguintes fontes de dados de EDR compatíveis com o Google SecOps:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Entre em contato com seu representante do Google SecOps se você estiver coletando dados de endpoint usando um software de EDR diferente.

Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis.

Campos obrigatórios necessários para a categoria "Ameaças do Windows"

A seção a seguir descreve os dados específicos necessários para os conjuntos de regras na categoria "Ameaças do Windows" para ter o maior benefício. Verifique se os dispositivos estão configurados para registrar os seguintes dados nos registros de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software EDR está sendo executado.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: local no disco do processo em execução atual, se disponível.
  • Linha de comando do processo principal: parâmetros de linha de comando do processo, se disponíveis.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: local no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros de linha de comando do processo de destino, se disponíveis.
  • SHA256/MD5 do processo de destino: soma de verificação do processo de destino, se disponível. Usado para ajustar alertas.
  • ID do usuário: o nome de usuário do processo principal.

Priorização de alertas para o conjunto de regras de endpoints

Este conjunto de regras foi testado com as seguintes fontes de dados de EDR compatíveis com o Google SecOps:

  • Microsoft Defender for Endpoint alertas do MICROSOFT_GRAPH_ALERT log_type
  • SentinelOne Threats do SENTINELONE_ALERT log_type
  • Alertas do CrowdStrike Falcon Event_DetectionSummaryEvent do CS_EDR log_type

Campos do UDM usados na priorização de alertas para endpoints

A seção a seguir descreve os dados de campo da UDM necessários para o conjunto de regras de priorização de alertas para endpoints. Se você modificar o analisador padrão criando um analisador personalizado, não mude o mapeamento desses campos. Se você mudar o mapeamento desses campos,poderá afetar o comportamento desse recurso.

Nome do campo do UDM Descrição
metadata.event_type Um tipo de evento normalizado.
metadata.product_name O nome do produto.
security_result.detection_fields["externall_api_type"] Campos para filtrar eventos de interesse.
security_result.threat_name Uma classificação de ameaça atribuída por um fornecedor, como uma família de malware.
security_result.category_details A categoria de malware específica do fornecedor
security_result.summary Um resumo do alerta.
security_result.rule_name Um nome de alerta fornecido pelo fornecedor.
security_result.attack_details Usado para identificar táticas e técnicas do Mitre ATT&CK.
security_result.description Uma breve descrição do alerta.
security_result.action Ação realizada pelo controle.
principal.process.file.names O nome do arquivo do processo em execução.
principal.process.file.full_path Localização no disco do processo em execução atual, se disponível.
principal.process.command_line Parâmetros de linha de comando do processo, se disponíveis.
principal.asset.hostname Nome do host do sistema em que o software EDR está sendo executado.
principal.hostname Nome do host do sistema em que o software EDR está sendo executado.
principal.user.userid O nome de usuário do processo principal.
target.file.full_path O nome do arquivo com que o principal está interagindo.
target.file.md5/sha256 Soma de verificação do arquivo de destino, se disponível.

Ajustar alertas retornados pela categoria "Ameaças do Windows"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais exclusões de regra para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

Por exemplo, você pode excluir eventos com base nas seguintes informações:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.