Windows 威脅類別總覽

支援的國家/地區:

本文將概要介紹 Windows 威脅類別中的規則集、必要資料來源,以及可用於調整這些規則集所產生快訊的設定。

這些規則集會透過偵測結果和快訊,提供可立即採取行動的背景資訊,指出端點快訊資料中應進一步調查的項目。有助於提升安全性事件監控和分類能力,讓您專注於惡意且可做為行動依據的快訊和案件 (快訊集合)。這些精選的分析資料可協助您優先處理端點警告、提供額外的調查背景資訊,以及使用端點記錄檔改善安全事件監控。

Windows Threats 類別中的規則集可協助您使用端點偵測與回應 (EDR) 記錄檔,找出 Microsoft Windows 環境中的威脅。這個類別包含下列規則集:

  • 異常 PowerShell:識別含有模糊處理技術或其他異常行為的 PowerShell 指令。
  • 加密貨幣活動:與可疑加密貨幣相關的活動。
  • 駭客工具:可免費取得,可能被視為可疑,但視機構用途而定,也可能屬於正當工具。
  • 資訊竊取程式:用來竊取憑證的工具,包括密碼、Cookie、加密貨幣錢包和其他機密憑證。
  • 初始存取:用於在有可疑行為的電腦上取得初始執行權的工具。
  • 正當但遭濫用:已知會遭濫用以達到惡意目的的正當軟體。
  • 濫用系統內建工具 (LotL) 二進位檔:Microsoft Windows 作業系統內建的工具,威脅行為人可濫用這些工具達到惡意目的。
  • 具名威脅:與已知威脅發動者相關的行為。
  • Ransomware:與勒索軟體相關的活動。
  • RAT:用於遠端指令和控制網路資產的工具。
  • 安全性狀態降級:嘗試停用或降低安全工具效能的活動。
  • 可疑行為:一般可疑行為。
  • Mandiant 前線威脅:這組規則包含 Mandiant 在全球各地調查及回應現行事件時所衍生的規則。這些規則涵蓋常見的 TTP,例如透過指令碼解譯器執行 (T1059)、使用者執行 (T1204) 和系統二進位檔 Proxy 執行 (T1218)。
  • Mandiant Intel Emerging Threats:這組規則包含從 Mandiant Intelligence Campaigns 和 Significant Events 衍生而來的規則,涵蓋 Mandiant 評估後認為影響重大的地緣政治和威脅活動。這類活動可能包括地緣政治衝突、剝削、網路釣魚、惡意廣告、勒索軟體和供應鏈入侵。
  • 端點警報優先順序:這組規則運用了先前在 Mandiant Automated Defense - Alert、Investigation & Prioritization 產品中提供的功能。這組規則會找出下列模式:
    • 攻擊進展:內部資產出現多種遭入侵跡象,綜合來看,系統遭入侵的可能性提高,因此應進行調查。
    • 內部資產中的惡意軟體:內部資產出現惡意軟體已進入檔案系統的跡象,應進行調查。攻擊者通常會在成功發動攻擊後,在檔案系統中暫存惡意程式碼。
    • 未經授權的駭客工具:內部資產出現遭駭客工具利用的跡象,表示系統已遭入侵。攻擊工具是公開提供的軟體或駭客工具,可用於取得及擴大系統存取權,攻擊者和紅隊都會使用。如果系統或帳戶未明確授權使用這些工具,就應調查是否有人濫用。
    • 異常程序行為:內部資產以異常方式使用常見的可執行檔,是主機遭入侵的強烈指標。應調查異常的「寄生攻擊」行為。

您必須擁有 Google Security Operations Enterprise Plus 授權,才能使用端點警示優先順序規則集。

支援的裝置和記錄類型

本節列出各規則集所需的資料。

Windows 威脅類別中的規則集已通過測試,並支援下列 Google SecOps 支援的 EDR 資料來源:

  • Carbon Black (CB_EDR)
  • Microsoft Sysmon (WINDOWS_SYSMON)
  • SentinelOne CF (SENTINELONE_CF)
  • SentinelOne EDR (SENTINEL_EDR)
  • Crowdstrike Falcon (CS_EDR)

我們正在測試及調整 Windows 威脅類別中的規則集,以支援下列 Google SecOps 支援的 EDR 資料來源:

  • Tanium
  • Cybereason EDR (CYBEREASON_EDR)
  • Lima Charlie (LIMACHARLIE_EDR)
  • OSQuery
  • Zeek
  • Cylance (CYLANCE_PROTECT)

如果您使用其他 EDR 軟體收集端點資料,請與 Google SecOps 代表聯絡。

如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的預設剖析器」。

Windows 威脅類別的必填欄位

以下章節說明 Windows 威脅類別的規則集需要哪些特定資料,才能發揮最大效益。請確認裝置已設定為將下列資料記錄到裝置事件記錄檔。

  • 事件時間戳記
  • 主機名稱:執行 EDR 軟體的系統主機名稱。
  • 主要程序:目前記錄的程序名稱。
  • 主程序路徑:目前執行中程序的磁碟位置 (如有)。
  • 主要程序指令列:程序的指令列參數 (如有)。
  • 目標程序:由主程序啟動的衍生程序名稱。
  • 目標程序路徑:目標程序在磁碟上的位置 (如有)。
  • 目標程序指令列:目標程序的指令列參數 (如有)。
  • 目標程序 SHA256/MD5:目標程序的總和檢查碼 (如有)。這項資訊用於調整快訊。
  • 使用者 ID:主程序的帳戶名稱。

端點規則集的快訊優先順序

這組規則已透過下列 Google SecOps 支援的 EDR 資料來源進行測試:

  • Microsoft Defender for Endpoint 則來自 MICROSOFT_GRAPH_ALERT log_type 的快訊
  • SentinelOne Threats (來自 SENTINELONE_ALERT log_type)
  • 來自 CS_EDR log_type 的 CrowdStrike Falcon Event_DetectionSummaryEvent 快訊

端點警示優先順序功能使用的 UDM 欄位

下節說明端點警示優先順序規則集所需的 UDM 欄位資料。如果您建立自訂剖析器來修改預設剖析器,請務必不要變更這些欄位的對應關係。如果變更這些欄位的對應方式,可能會影響這項功能的運作方式。

UDM 欄位名稱 說明
metadata.event_type 標準化事件類型。
metadata.product_name 產品名稱。
security_result.detection_fields["externall_api_type"] 要篩選感興趣事件的欄位。
security_result.threat_name 供應商指派的威脅分類,例如惡意軟體系列。
security_result.category_details 供應商專屬的惡意軟體類別
security_result.summary 快訊摘要。
security_result.rule_name 供應商提供的快訊名稱。
security_result.attack_details 用於識別 Mitre ATT&CK 戰術和技術。
security_result.description 快訊的簡短說明。
security_result.action 控制項採取的動作。
principal.process.file.names 執行中程序的檔案名稱。
principal.process.file.full_path 目前執行中程序的磁碟位置 (如有)。
principal.process.command_line 程序的指令列參數 (如有)。
principal.asset.hostname 執行 EDR 軟體的系統主機名稱。
principal.hostname 執行 EDR 軟體的系統主機名稱。
principal.user.userid 主體程序的帳戶名稱。
target.file.full_path 主體互動的檔案名稱。
target.file.md5/sha256 目標檔案的總和檢查碼 (如有)。

調整「Windows 威脅」類別傳回的快訊

您可以使用規則排除項目,減少規則或規則集產生的偵測次數。

規則排除條件會定義用於排除事件的條件,以免規則集或規則集中的特定規則評估事件。建立一或多項規則排除項目,有助於減少偵測量。如要瞭解如何設定規則排除條件,請參閱設定規則排除條件

舉例來說,您可以根據下列資訊排除事件:

  • principal.hostname
  • principal.process.command_line
  • principal.user.userid

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。