Obsah zabezpečení advanced Security Information Model (ASIM) (Public Preview)

Normalizovaný obsah zabezpečení v Microsoft Sentinelu zahrnuje analytická pravidla, dotazy proaktivního vyhledávání a sešity, které pracují s sjednocením analyzátorů normalizace.

Můžete najít normalizovaný, integrovaný obsah v galeriích a řešeních Microsoft Sentinelu, vytvořit vlastní normalizovaný obsah nebo upravit existující obsah tak, aby používal normalizovaná data.

Tento článek uvádí integrovaný obsah služby Microsoft Sentinel, který je nakonfigurovaný tak, aby podporoval model ASIM (Advanced Security Information Model). Odkazy na úložiště GitHub pro Microsoft Sentinel jsou uvedené níže jako referenční informace, ale tato pravidla najdete také v galerii pravidel Analýzy Microsoft Sentinelu. Pomocí propojených stránek GitHubu zkopírujte všechny relevantní dotazy proaktivního vyhledávání.

Informace o tom, jak normalizovaný obsah zapadá do architektury ASIM, najdete v diagramu architektury ASIM.

Tip

Podívejte se také na podrobný webinář o normalizaci parserů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky. Další informace najdete v části Další kroky.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Obsah zabezpečení ověřování

Pro normalizaci ASIM se podporuje následující předdefinovaný obsah ověřování.

Analytická pravidla

• Potenciální útok password spray (používá normalizaci ověřování)
• Útok hrubou silou na přihlašovací údaje uživatele (používá normalizaci ověřování)
• Přihlášení uživatele z různých zemí nebo oblastí do 3 hodin (používá normalizaci ověřování)
• Přihlášení z IP adres, které se pokoušejí přihlásit k zakázaným účtům (používá normalizaci ověřování)

Obsah zabezpečení dotazů DNS

Pro normalizaci ASIM se podporuje následující integrovaný obsah dotazů DNS.

Řešení

• Základy DNS
• Detekce ohrožení zabezpečení Log4j
• Starší detekce hrozeb založených na IOC

Analytická pravidla

• (Preview) TI mapuje entitu domény na události DNS (schéma ASIM DNS)
• (Preview) Entita TI mapuje IP na události DNS (schéma ASIM DNS)
• Potenciální dga zjistila (ASimDNS)
• Nadměrné dotazy DNS NXDOMAIN (schéma ASIM DNS)
• Události DNS související s dolováním fondů (schéma ASIM DNS)
• Události DNS související s proxy servery ToR (schéma ASIM DNS)
• Známé domény Barium
• Známé IP adresy baria
• Ohrožení zabezpečení Exchange Serveru zpřístupněná v březnu 2021 – shoda IoC
• Známé domény a hodnoty hash Granite Typhoon
• Známá IP adresa Blizzard Seashellu
• Půlnoční Blizzard – Vstupně-výstupní operace domény a IP adresy – Březen 2021
• Známé domény skupiny fosforu /IP
• Známé domény skupiny Forest Blizzard – červenec 2019
• Solorigate Network Beacon
• Sleet domény smaragdového Sleetu, které jsou součástí takedownu DCU
• Známé hashy malwaru Diamond Sleet Comebacker a Klackring
• Známé domény a hodnoty hash Ruby Sleet
• Známé domény a hodnoty hash PRO NIKL
• Půlnoční Blizzard – Domény, hodnoty hash a vstupně-výstupní operace IP – květen 2021
• Solorigate Network Beacon

Obsah zabezpečení aktivit souborů

Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivity souboru.

• Starší detekce hrozeb založených na IOC

Analytická pravidla

• Hodnoty hash backdooru SUNBURST a SUPERNOVA (normalizované události souborů)
• Ohrožení zabezpečení Exchange Serveru zpřístupněná v březnu 2021 – shoda IoC
• Silk Typhoon UM Service zápis podezřelého souboru
• Půlnoční Blizzard – Domény, hodnoty hash a vstupně-výstupní operace IP – květen 2021
• Vytvoření souboru protokolu SUNSPOT
• Známé hashy malwaru Diamond Sleet Comebacker a Klackring
• Cadet Blizzard Actor IOC - Leden 2022
• Půlnoc Blizzard ioCs související s FoggyWeb backdoor

Obsah zabezpečení relace sítě

Pro normalizaci ASIM se podporuje následující integrovaný obsah související se síťovými relacemi.

Řešení

• Základy síťových relací
• Detekce ohrožení zabezpečení Log4j
• Starší detekce hrozeb založených na IOC

Analytická pravidla

• Ohrožení zabezpečení Log4j zneužít ip adresu IOC log4Shellu
• Nadměrný počet neúspěšných připojení z jednoho zdroje (schéma síťové relace ASIM)
• Potenciální aktivita signálu (schéma síťové relace ASIM)
• (Preview) Entita TI mapuje IP na události síťové relace (schéma síťové relace ASIM)
• Zjistilo se prohledávání portů (schéma síťové relace ASIM)
• Známé IP adresy baria
• Ohrožení zabezpečení Exchange Serveru zpřístupněná v březnu 2021 – shoda IoC
• [Známý seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Půlnoční Blizzard – Domény, hodnoty hash a vstupně-výstupní operace IP – květen 2021
• Známé domény skupiny Forest Blizzard – červenec 2019

Proaktivní dotazy

• Připojení z externí IP adresy k portům souvisejícím s OMI

Obsah zabezpečení aktivit procesů

Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivity procesu.

Řešení

• Základní informace o službě Endpoint Threat Protection
• Starší detekce hrozeb založených na IOC

Analytická pravidla

• Pravděpodobné využití nástroje AdFind Recon (normalizované události procesu)
• Příkazové řádky procesu Windows kódované v base64 (normalizované události procesu)
• Malware v koši (normalizované události procesu)
• Půlnoc Blizzard – podezřelé rundll32.exe spuštění vbscriptu (normalizované události procesu)
• SUNBURST podezřelé podřízené procesy SolarWinds (normalizované události procesu)

Proaktivní dotazy

• Rozpis denního souhrnu skriptů jazyka CScript (normalizované události procesu)
• Výčet uživatelů a skupin (normalizované události procesu)
• Přidání modulu snapin Prostředí Exchange PowerShell (normalizované události procesu)
• Hostitel exportující poštovní schránku a odebrání exportu (normalizované události procesu)
• Využití Invoke-PowerShellTcpOneLine (normalizované události procesu)
• Reverzní prostředí TCP Nishang v Base64 (normalizované události procesu)
• Souhrn uživatelů vytvořených pomocí neobvyklých nebo nezdokumentovaných přepínačů příkazového řádku (normalizované události procesu)
• Stažení Powercatu (normalizované události procesu)
• Stažení PowerShellu (normalizované události procesu)
• Entropie pro procesy pro daného hostitele (normalizované události procesu)
• Inventář SolarWinds (normalizované události procesu)
• Podezřelý výčet pomocí nástroje Adfind (Normalizované události procesu)
• Vypnutí nebo restartování systému Windows (normalizované události procesu)
• Certutil (LOLBins a LOLScripts, normalizované události procesu)
• Rundll32 (LOLBins a LOLScripts, normalizované události procesu)
• Neobvyklé procesy – nejnižší 5 % (normalizované události procesu)
• Obfuskace Unicode v příkazovém řádku

Obsah zabezpečení aktivit registru

Následující integrovaný obsah aktivity registru je podporován pro normalizaci ASIM.

Analytická pravidla

• Potenciální obejití nástroje UAC fodhelper (verze ASIM)

Proaktivní dotazy

• Zachování klíče registru IFEO

Obsah zabezpečení webové relace

Pro normalizaci ASIM se podporuje následující integrovaný obsah související s webovou relací.

Řešení

• Detekce ohrožení zabezpečení Log4j
• Analýza hrozeb

Analytická pravidla

• (Preview) Entita TI mapuje doménu na události webové relace (schéma webové relace ASIM)
• (Preview) Entita TI mapuje IP na události webové relace (schéma webové relace ASIM)
• Potenciální komunikace s názvem hostitele založeným na algoritmu generování domény (DGA) (schéma síťové relace ASIM)
• Klient provedl webový požadavek na potenciálně škodlivý soubor (schéma webové relace ASIM)
• Hostitel potenciálně spouští kryptografický miner (schéma webové relace ASIM)
• Hostitel může spustit nástroj pro hacking (schéma webové relace ASIM).
• Hostitel může spouštět PowerShell pro odesílání požadavků HTTP(S) (schéma webové relace ASIM).
• Stažení rizikového souboru CDN discordu (schéma webové relace ASIM)
• Nadměrný počet selhání ověřování HTTP ze zdroje (schéma webové relace ASIM)
• Známé domény Barium
• Známé IP adresy baria
• Známé domény a hodnoty hash Ruby Sleet
• Známá IP adresa Blizzard Seashellu
• Známé domény a hodnoty hash PRO NIKL
• Půlnoční Blizzard – Vstupně-výstupní operace domény a IP adresy – Březen 2021
• Půlnoční Blizzard – Domény, hodnoty hash a vstupně-výstupní operace IP – květen 2021
• Známé domény skupiny fosforu /IP
• Hledání pokusů o zneužití log4j pomocí uživatelského agenta

Další kroky

Tento článek popisuje obsah modelu ASIM (Advanced Security Information Model).

Další informace naleznete v tématu:

• Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
• Přehled rozšířeného modelu informací o zabezpečení (ASIM)
• Schémata advanced Security Information Model (ASIM)
• Analyzátory advanced security information model (ASIM)
• Použití modelu ADVANCED Security Information Model (ASIM)
• Úprava obsahu Microsoft Sentinelu tak, aby používal analyzátory ADVANCED Security Information Model (ASIM)