“Windows 威胁”类别概览

支持的语言:

本文档概述了“Windows 威胁”类别中的规则集、所需的数据源,以及可用于调整这些规则集生成的提醒的配置。

这些规则集通过检测和提醒为您提供可立即采取行动的情境,指示应从端点提醒数据中进一步调查哪些内容。这些功能有助于增强安全事件监控和分诊能力,使您能够专注于恶意且可采取行动的提醒以及案例(提醒集合)。借助这些精选的分析功能,您可以确定端点警报的响应优先级,为调查提供更多背景信息,并使用端点日志改进安全事件监控。

“Windows 威胁”类别中的规则集有助于使用端点检测和响应 (EDR) 日志识别 Microsoft Windows 环境中的威胁。此类别包括以下规则集:

  • 异常 PowerShell:识别包含混淆技术或其他异常行为的 PowerShell 命令。
  • 加密货币活动:与可疑加密货币相关的活动。
  • 黑客工具:可免费获取的工具,可能被视为可疑工具,但根据组织的用途,也可能属于合法工具。
  • 信息窃取程序:用于窃取凭据(包括密码、Cookie、加密货币钱包和其他敏感凭据)的工具。
  • 初始访问:用于在具有可疑行为的机器上获得初始执行权限的工具。
  • 合法但被滥用:已知会被滥用于恶意目的的合法软件。
  • Living off the Land (LotL) 二进制文件:Microsoft Windows 操作系统中内置的工具,威胁行为者可能会滥用这些工具来达到恶意目的。
  • 命名威胁:与已知威胁行为者相关的行为。
  • Ransomware:与勒索软件相关的活动。
  • RAT:用于远程命令和控制网络资产的工具。
  • 安全状况降级:尝试停用或降低安全工具效能的活动。
  • 可疑行为:一般可疑行为。
  • Mandiant 前线威胁:此规则集包含从 Mandiant 对全球活跃突发事件的调查和响应中派生出的规则。这些规则涵盖了常见的 TTP,例如通过脚本解释器执行 (T1059)、用户执行 (T1204) 和系统二进制代理执行 (T1218)。
  • Mandiant Intel 新兴威胁:此规则集包含从 Mandiant 情报活动和重大事件中派生的规则,涵盖 Mandiant 评估的具有高度影响力的地缘政治和威胁活动。此类活动可能包括地缘政治冲突、剥削、钓鱼式攻击、恶意广告、勒索软件和供应链入侵。
  • 端点警报优先级划分:此规则集利用了之前在 Mandiant Automated Defense - Alert, Investigation & Prioritization 产品中提供的功能。此规则集可识别以下模式:
    • 攻击进展:内部资产表现出多种受入侵迹象,如果将这些迹象综合考虑,则系统受入侵的可能性会增加,因此应进行调查。
    • 内部资产中的恶意软件:内部资产显示恶意软件已到达文件系统的迹象,应进行调查。 攻击者通常会在成功尝试利用漏洞后在文件系统上暂存恶意代码。
    • 未经授权的黑客工具:内部资产显示出利用工具活动,表明系统遭到入侵。漏洞利用工具是公开提供的软件或黑客工具,可用于获取和扩大对系统的访问权限,攻击者和红队都会使用这些工具。如果系统或账号未明确授权使用这些工具,则应调查其使用情况。
    • 异常的进程行为:以异常方式使用常见可执行文件的内部资产是主机遭到入侵的有力证据。应调查是否出现异常的“离地攻击”行为。

“端点警报优先级划分”规则集需要 Google Security Operations 企业 Plus 版许可。

支持的设备和日志类型

本部分列出了每个规则集所需的数据。

“Windows 威胁”类别中的规则集已通过测试,并支持以下 Google SecOps 支持的 EDR 数据源:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • CrowdStrike Falcon (CS_EDR)

“Windows 威胁”类别中的规则集正在针对以下 Google SecOps 支持的 EDR 数据源进行测试和优化:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

如果您使用其他 EDR 软件收集端点数据,请与您的 Google SecOps 代表联系。

如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的默认解析器

“Windows 威胁”类别所需的必填字段

以下部分介绍了 Windows 威胁类别中的规则集需要哪些特定数据才能发挥最大效用。确保设备已配置为将以下数据记录到设备事件日志中。

  • 活动时间戳
  • 主机名:运行 EDR 软件的系统的主机名。
  • 主进程:正在记录的当前进程的名称。
  • 主进程路径:当前正在运行的进程在磁盘上的位置(如有)。
  • 主进程命令行:进程的命令行参数(如有)。
  • 目标进程:由主进程启动的派生进程的名称。
  • 目标进程路径:目标进程在磁盘上的位置(如果可用)。
  • 目标进程命令行:目标进程的命令行参数(如果有)。
  • 目标进程 SHA256/MD5:目标进程的校验和(如果可用)。用于调整提醒。
  • 用户 ID:主进程的用户名。

端点规则集的提醒优先级排序

此规则集已通过以下 Google SecOps 支持的 EDR 数据源进行测试:

  • 来自 MICROSOFT_GRAPH_ALERT log_type 的 Microsoft Defender for Endpoint 条提醒
  • 来自 SENTINELONE_ALERT log_type 的 SentinelOne Threats
  • 来自 CS_EDR log_type 的 CrowdStrike Falcon Event_DetectionSummaryEvent 提醒

用于“端点警报优先级”的 UDM 字段

以下部分介绍了“端点警报优先级划分”规则集所需的 UDM 字段数据。如果您通过创建自己的自定义解析器来修改默认解析器,请确保您不会更改这些字段的映射。如果您更改这些字段的映射方式,可能会影响此功能的行为。

UDM 字段名称 说明
metadata.event_type 一种标准化事件类型。
metadata.product_name 商品的名称。
security_result.detection_fields["externall_api_type"] 用于过滤感兴趣的活动的字段。
security_result.threat_name 供应商分配的威胁分类,例如恶意软件系列。
security_result.category_details 特定于供应商的恶意软件类别
security_result.summary 提醒的摘要。
security_result.rule_name 供应商提供的提醒名称。
security_result.attack_details 用于识别 MITRE ATT&CK 策略和技术。
security_result.description 提醒的简短说明。
security_result.action 控制变量采取的行动。
principal.process.file.names 正在运行的进程的文件名。
principal.process.file.full_path 当前正在运行的进程在磁盘上的位置(如果可用)。
principal.process.command_line 进程的命令行参数(如果有)。
principal.asset.hostname 运行 EDR 软件的系统的主机名。
principal.hostname 运行 EDR 软件的系统的主机名。
principal.user.userid 主进程的用户名。
target.file.full_path 主账号正在与之互动的文件的名称。
target.file.md5/sha256 目标文件的校验和(如有)。

调整“Windows 威胁”类别返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除项定义了用于排除某个事件的条件,以使该事件不被规则集或规则集中的特定规则评估。创建一条或多条规则排除项,以帮助减少检测量。如需了解具体操作方法,请参阅配置规则排除对象

例如,您可以根据以下信息排除事件:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。