Vista geral da categoria de ameaças do Windows

Compatível com:

Este documento fornece uma vista geral dos conjuntos de regras na categoria Ameaças do Windows, as origens de dados necessárias e a configuração que pode usar para otimizar os alertas gerados por estes conjuntos de regras.

Estes conjuntos de regras oferecem-lhe contexto imediatamente acionável, através de deteções e alertas, que indicam o que deve ser investigado mais detalhadamente a partir dos dados de alertas de endpoints. Ajudam a melhorar a monitorização de eventos de segurança e a capacidade de triagem, o que lhe permite focar a sua atenção em alertas, bem como em registos (conjuntos de alertas) que sejam maliciosos e acionáveis. Estas estatísticas organizadas permitem-lhe dar prioridade à resposta a alertas de pontos finais, fornecer contexto adicional para investigações e melhorar a monitorização de eventos de segurança através de registos de pontos finais.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes do Microsoft Windows através de registos de deteção e resposta de pontos finais (EDR). Esta categoria inclui os seguintes conjuntos de regras:

  • PowerShell anómalo: identifica comandos do PowerShell que contêm técnicas de ocultação ou outro comportamento anómalo.
  • Atividade de criptomoedas: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas que pode ser potencialmente legítima consoante a utilização da organização.
  • Roubo de informações: ferramentas usadas para roubar credenciais, incluindo palavras-passe, cookies, carteiras de criptomoedas e outras credenciais confidenciais.
  • Acesso inicial: ferramentas usadas para obter a execução inicial numa máquina com comportamento suspeito.
  • Legítimo, mas usado indevidamente: software legítimo que se sabe ser usado indevidamente para fins maliciosos.
  • Binários de Living off the Land (LotL): ferramentas incorporadas nos sistemas operativos Microsoft Windows que podem ser usadas indevidamente por autores de ameaças para fins maliciosos.
  • Ameaça com nome: comportamento associado a um interveniente responsável pela ameaça conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controlo remotos de recursos de rede.
  • Diminuição da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.
  • Ameaças na linha da frente da Mandiant: este conjunto de regras contém regras derivadas da investigação e da resposta da Mandiant a incidentes ativos em todo o mundo. Estas regras abrangem TTPs comuns, como a execução através de intérpretes de scripts (T1059), a execução por parte do utilizador (T1204) e a execução de proxy binário do sistema (T1218).
  • Mandiant Intel Emerging Threats: este conjunto de regras contém regras derivadas de campanhas de inteligência e eventos significativos da Mandiant, que abrangem atividades geopolíticas e de ameaças de grande impacto, conforme avaliado pela Mandiant. Esta atividade pode incluir conflitos geopolíticos, exploração, phishing, publicidade maliciosa, ransomware e compromissos da cadeia de fornecimento.
  • Prioritização de alertas para pontos finais: este conjunto de regras usa a capacidade anteriormente encontrada no produto Mandiant Automated Defense - Alert, Investigation & Prioritization. Este conjunto de regras identifica padrões como os seguintes:
    • Progressão do ataque: recursos internos que apresentam vários sinais de comprometimento que, quando considerados em conjunto, aumentam a probabilidade de o sistema estar comprometido e, por isso, devem ser investigados.
    • Software malicioso em recursos internos: recursos internos que apresentem sinais de que o software malicioso atingiu o sistema de ficheiros e devem ser investigados. Os atacantes preparam frequentemente código malicioso no sistema de ficheiros após uma tentativa de exploração bem-sucedida.
    • Ferramentas de pirataria não autorizadas: recursos internos que apresentam atividade de ferramentas de exploração que indicam um comprometimento do sistema. As ferramentas de exploração são software ou ferramentas de pirataria disponíveis publicamente que podem ser usadas para obter e expandir o acesso a sistemas, e são usadas por atacantes e equipas vermelhas. A observância destas ferramentas deve ser investigada se a utilização não for explicitamente autorizada por um sistema ou uma conta.
    • Comportamentos invulgares dos processos: os recursos internos em que os ficheiros executáveis comuns estão a ser usados de forma invulgar são um forte indicador de um anfitrião comprometido. A ocorrência de comportamentos invulgares de "Living off the Land" deve ser investigada.

O conjunto de regras de ameaças emergentes da Mandiant Intel e o conjunto de regras de priorização de alertas para pontos finais estão disponíveis com uma licença do Google Security Operations Enterprise Plus.

Dispositivos e tipos de registos suportados

Esta secção indica os dados exigidos por cada conjunto de regras.

Os conjuntos de regras na categoria Ameaças do Windows foram testados e são suportados com as seguintes origens de dados de EDR suportadas pelo Google SecOps:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Os conjuntos de regras na categoria Ameaças do Windows estão a ser testados e otimizados para as seguintes origens de dados de EDR suportadas pelo Google SecOps:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

Contacte o seu representante da Google SecOps se estiver a recolher dados de pontos finais através de software EDR diferente.

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados.

Campos obrigatórios necessários para a categoria Ameaças do Windows

A secção seguinte descreve os dados específicos necessários para os conjuntos de regras na categoria Ameaças do Windows para obter o maior benefício. Certifique-se de que os seus dispositivos estão configurados para registar os seguintes dados nos registos de eventos do dispositivo.

  • Data/hora do evento
  • Nome do anfitrião: nome do anfitrião do sistema onde o software EDR está em execução.
  • Processo principal: nome do processo atual que está a ser registado.
  • Caminho do processo principal: localização no disco do processo em execução atual, se disponível.
  • Linha de comandos do processo principal: parâmetros da linha de comandos do processo, se disponíveis.
  • Processo de destino: nome do processo gerado que está a ser iniciado pelo processo principal.
  • Caminho do processo de destino: localização no disco do processo de destino, se disponível.
  • Linha de comandos do processo de destino: parâmetros da linha de comandos do processo de destino, se disponíveis.
  • Target Process SHA256\MD5: soma de verificação do processo de destino, se disponível. Isto é usado para ajustar os alertas.
  • ID do utilizador: o nome de utilizador do processo principal.

Priorização de alertas para o conjunto de regras de pontos finais

Este conjunto de regras foi testado com as seguintes origens de dados de EDR suportadas pelo Google SecOps:

  • Microsoft Defender for Endpoint alertas do tipo de registo MICROSOFT_GRAPH_ALERT
  • SentinelOne Threats do SENTINELONE_ALERT log_type
  • Alertas do CrowdStrike Falcon Event_DetectionSummaryEvent do CS_EDR log_type

Campos UDM usados na priorização de alertas para pontos finais

A secção seguinte descreve os dados de campo da UDM necessários para o conjunto de regras de priorização de alertas para pontos finais. Se modificar o analisador predefinido criando o seu próprio analisador personalizado, certifique-se de que não altera o mapeamento destes campos. Se alterar a forma como estes campos são mapeados,pode afetar o comportamento desta funcionalidade.

Nome do campo UDM Descrição
metadata.event_type Um tipo de evento normalizado.
metadata.product_name O nome do produto.
security_result.detection_fields["externall_api_type"] Campos para filtrar eventos de interesse.
security_result.threat_name Uma classificação atribuída pelo fornecedor de uma ameaça, como uma família de software malicioso.
security_result.category_details A categoria de software malicioso específica do fornecedor
security_result.summary Um resumo do alerta.
security_result.rule_name Um nome de alerta fornecido pelo fornecedor.
security_result.attack_details Usado para identificar táticas e técnicas do MITRE ATT&CK.
security_result.description Uma breve descrição do alerta.
security_result.action Ação tomada pelo controlo.
principal.process.file.names O nome do ficheiro do processo em execução.
principal.process.file.full_path Localização no disco do processo em execução atual, se disponível.
principal.process.command_line Parâmetros da linha de comandos do processo, se disponíveis.
principal.asset.hostname Nome do anfitrião do sistema onde o software EDR está em execução.
principal.hostname Nome do anfitrião do sistema onde o software EDR está em execução.
principal.user.userid O nome de utilizador do processo principal.
target.file.full_path O nome do ficheiro com o qual o principal está a interagir.
target.file.md5/sha256 Soma de verificação do ficheiro de destino, se disponível.

Ajustar os alertas devolvidos pela categoria Ameaças do Windows

Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.

Uma exclusão de regra define os critérios usados para excluir um evento da avaliação pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para ajudar a reduzir o volume de deteções. Consulte o artigo Configure exclusões de regras para ver informações sobre como fazê-lo.

Por exemplo, pode excluir eventos com base nas seguintes informações:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.