Windows 威胁类别概览
支持的平台:
Google SecOps
SIEM
本文档将概述“Windows 威胁”类别下的规则集, 所需的数据源,以及可用于调整 这些规则集。
“Windows 威胁”类别中的规则集可帮助您使用端点检测和响应 (EDR) 日志识别 Microsoft Windows 环境中的威胁。此类别包括以下规则集:
- 异常 PowerShell:识别包含混淆技术或其他异常行为的 PowerShell 命令。
- 加密货币活动:与可疑加密货币相关的活动。
- Hacktool:可能被认为可疑但 可能合法,具体取决于组织的用途。
- 信息窃取:用于窃取凭据(包括密码、Cookie 加密货币钱包和其他敏感凭据。
- 初始访问:用于在具有如下特征的机器上进行初始执行的工具: 可疑行为
- 合法但遭到滥用:已知会出于以下目的滥用的合法软件 。
- 生活在地
- 指定威胁:与已知威胁行为者相关的行为。
- 勒索软件:与勒索软件相关的活动。
- RAT:用于提供网络资产远程命令和控制的工具。
- 安全状况降级:尝试停用或降低安全工具效率的活动。
- 可疑行为:常见的可疑行为。
支持的设备和日志类型
“Windows 威胁”类别中的规则集已经过测试并受支持 替换为以下 Google Security Operations 支持的 EDR 数据源:
- Carbon Black (
CB_EDR
) - Microsoft Sysmon (
WINDOWS_SYSMON
) - SentinelOne (
SENTINEL_EDR
) - CrowdStrike Falcon(
CS_EDR
)
我们正在针对以下 Google Security Operations 支持的 EDR 数据源测试和优化“Windows 威胁”类别中的规则集:
- Tanium
- 网购季 EDR (
CYBEREASON_EDR
) - Lima Charlie (
LIMACHARLIE_EDR
) - OSQuery
- Zeek
- 圆形 (
CYLANCE_PROTECT
)
如果您要使用 不同的 EDR 软件。
如需查看 Google Security Operations 支持的所有数据源的列表,请参阅 支持的默认解析器。
Windows 威胁类别所需的必填字段
以下部分介绍了 Windows 威胁防护规则集所需的特定数据 以获得最大收益。确保您的设备已配置为可录制 将以下数据复制到设备事件日志中。
- 事件时间戳
- 主机名:运行 EDR 软件的系统的主机名。
- 主账号进程:正在记录的当前进程的名称。
- 主账号进程路径:当前正在运行的进程在磁盘上的位置(如果有)。
- 主账号进程命令行:进程的命令行参数(如果有)。
- 目标进程:主进程启动的派生进程的名称。
- 目标进程路径:目标进程在磁盘上的位置(如果有)。
- 目标进程命令行:目标进程的命令行参数(如果有)。
- 目标进程 SHA256\MD5:目标进程的校验和(如果有)。这用于 来调整提醒。
- 用户 ID:主进程的用户名。
“Windows 威胁”类别返回的调整提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
规则排除可定义用于将事件排除在被 或按规则集中的特定规则创建创建一个或多个规则排除项 以帮助减少检测量。如需了解更多详情,请参阅配置规则排除对象 了解有关具体操作方法的信息。