Windows 威胁类别概览

本文档简要介绍了“Windows 威胁”类别中的规则集、所需的数据源，以及您可以用来调整这些规则集生成的提醒的配置。

“Windows 威胁”类别中的规则集可帮助您使用端点检测和响应 (EDR) 日志识别 Microsoft Windows 环境中的威胁。此类别包括以下规则集：

• 异常 PowerShell：识别包含混淆技术或其他异常行为的 PowerShell 命令。
• 加密货币活动：与可疑加密货币相关的活动。
• 黑客工具：可能被视为可疑的免费工具，但也可能因组织的使用方式而合法。
• 信息窃取工具：用于窃取凭据（包括密码、Cookie、加密钱包和其他敏感凭据）的工具。
• 初始访问：用于在存在可疑行为的机器上获得初始执行权限的工具。
• 合法但被滥用：已知会被用于恶意用途的合法软件。
• 离地攻击 (LotL) 二进制文件：Microsoft Windows 操作系统的原生工具，可能会被威胁行为者滥用来进行恶意活动。
• 命名威胁：与已知威胁行为者相关联的行为。
• 勒索软件：与勒索软件相关的活动。
• RAT：用于远程命令和控制网络资产的工具。
• 安全状况降级：尝试停用或降低安全工具效率的活动。
• 可疑行为：常见的可疑行为。

支持的设备和日志类型

“Windows 威胁”类别中的规则集已过测试，并受以下 Google 安全运营支持的 EDR 数据源支持：

• Carbon Black (CB_EDR)
• Microsoft Sysmon (WINDOWS_SYSMON)
• SentinelOne (SENTINEL_EDR)
• CrowdStrike Falcon (CS_EDR)

我们正在针对以下 Google Security Operations 支持的 EDR 数据源测试和优化“Windows 威胁”类别中的规则集：

• Tanium
• Cybereason EDR (CYBEREASON_EDR)
• Lima Charlie (LIMACHARLIE_EDR)
• OSQuery
• Zeek
• Cylance (CYLANCE_PROTECT)

如果您使用其他 EDR 软件收集端点数据，请与您的 Google Security Operations 代表联系。

如需查看 Google Security Operations 支持的所有数据源的列表，请参阅支持的默认解析器。

Windows 威胁类别所需的必填字段

以下部分介绍了“Windows 威胁”类别中的规则集为了发挥最大效用而需要的具体数据。请确保您的设备已配置为将以下数据记录到设备事件日志。

• 事件时间戳
• 主机名：运行 EDR 软件的系统的主机名。
• 主要进程：正在记录的当前进程的名称。
• 主要进程路径：当前正在运行的进程在磁盘上的位置（如果有）。
• 主要进程命令行：进程的命令行参数（如果有）。
• 目标进程：主进程启动的派生进程的名称。
• 目标进程路径：目标进程在磁盘上的位置（如果有）。
• 目标进程命令行：目标进程的命令行参数（如果有）。
• 目标进程 SHA256\MD5：目标进程的校验和（如果有）。用于调整提醒。
• 用户 ID：主进程的用户名。

调整 Windows 威胁类别返回的提醒

您可以使用规则排除对象来减少规则或规则集生成的检测数量。

规则排除项用于定义排除某个事件的条件，以免该事件被规则集或规则集中的特定规则评估。创建一条或多条规则排除项，以帮助减少检测量。如需了解具体操作方法，请参阅配置规则排除对象。