Visão geral da categoria de ameaças do Windows

Compatível com:

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Windows, a as fontes de dados necessárias e a configuração usada para ajustar os alertas gerados desses grupos de regras.

Os conjuntos de regras na categoria Ameaças do Windows ajudam a identificar ameaças em ambientes Microsoft Windows usando registros de detecção e resposta de endpoint (EDR). Essa categoria inclui os seguintes grupos de regras:

  • PowerShell anômalo: identifica comandos do PowerShell que contêm técnicas de ofuscação ou outro comportamento anômalo.
  • Atividade de criptomoedas: atividade associada a criptomoedas suspeitas.
  • Hacktool: ferramenta disponível gratuitamente que pode ser considerada suspeita, mas pode ser legítimos dependendo do uso da organização.
  • Ladrão de informações: ferramentas usadas para roubar credenciais, incluindo senhas, cookies, carteiras de criptomoedas e outras credenciais sensíveis.
  • Acesso inicial: ferramentas usadas para obter execução inicial em uma máquina com comportamento suspeito.
  • Legítimo, mas usado indevidamente: software legítimo conhecido por ser usado indevidamente fins maliciosos.
  • Binários living off the land (LotL): ferramentas nativas dos sistemas operacionais Microsoft Windows que podem ser usadas de forma maliciosa por agentes de ameaças.
  • Ameaça nomeada: comportamento associado a um agente de ameaça conhecido.
  • Ransomware: atividade associada a ransomware.
  • RAT: ferramentas usadas para fornecer comando e controle remoto de recursos de rede.
  • Redução da postura de segurança: atividade que tenta desativar ou diminuir a eficácia das ferramentas de segurança.
  • Comportamento suspeito: comportamento suspeito geral.

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras da categoria "Ameaças do Windows" foram testados e têm suporte com as seguintes fontes de dados de EDR compatíveis com as Operações de segurança do Google:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

Os conjuntos de regras da categoria "Ameaças do Windows" estão sendo testados e otimizados para as seguintes fontes de dados de EDR compatíveis com as Operações de segurança do Google:

  • Tanium
  • EDR da Cybereason (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cilíndricos (CYLANCE_PROTECT)

Entre em contato com seu representante das Operações de segurança do Google se você estiver coletando dados de endpoint usando um software de EDR diferente.

Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Campos obrigatórios da categoria Ameaças do Windows

A seção a seguir descreve os dados específicos necessários para conjuntos de regras na categoria Ameaças do Windows para obter o maior benefício. Verifique se os dispositivos estão configurados para gravar os dados a seguir para os logs de eventos do dispositivo.

  • Carimbo de data/hora do evento
  • Nome do host: nome do host do sistema em que o software de EDR está sendo executado.
  • Processo principal: nome do processo atual que está sendo registrado.
  • Caminho do processo principal: local no disco do processo em execução atual, se disponível.
  • Linha de comando do processo principal: parâmetros de linha de comando do processo, se disponíveis.
  • Processo de destino: nome do processo gerado que está sendo iniciado pelo processo principal.
  • Caminho do processo de destino: localização no disco do processo de destino, se disponível.
  • Linha de comando do processo de destino: parâmetros de linha de comando do processo de destino, se disponíveis.
  • Processo de destino SHA256\MD5: soma de verificação do processo de destino, se disponível. Isso é usado para ajustar alertas.
  • User-ID: o nome de usuário do processo principal.

Ajustar alertas retornados pela categoria Ameaças do Windows

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando as exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.