Contenido de seguridad del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)
El contenido de seguridad normalizado de Microsoft Sentinel incluye reglas de análisis, consultas de búsqueda y libros que funcionan con analizadores de normalización unificados.
Puede encontrar contenido integrado normalizado en galerías y soluciones de Microsoft Sentinel, crear su propio contenido normalizado o modificar el contenido existente para usar datos normalizados.
En este artículo, se muestra el contenido integrado de Microsoft Sentinel que está configurado para admitir el Modelo avanzado de información de seguridad (ASIM). Aunque a continuación se proporcionan vínculos al repositorio de GitHub de Microsoft Sentinel como referencia, también puede encontrar estas reglas en la galería de reglas de Microsoft Sentinel Analytics. Use las páginas de GitHub vinculadas para copiar las consultas de búsqueda pertinentes.
Para entender cómo encaja el contenido normalizado en la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
Sugerencia
Vea también el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas. Para más información, consulte la sección Pasos siguientes.
Importante
ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Contenido de seguridad de autenticación
El siguiente contenido de autenticación integrado es compatible con la normalización de ASIM.
Reglas de análisis
- Posible ataque de difusión de contraseña (usa la normalización de autenticación)
- Ataque por fuerza bruta contra las credenciales de usuario (usa la normalización de autenticación)
- Inicio de sesión de usuario de diferentes países o regiones en un plazo de 3 horas (usa la normalización de autenticación)
- Inicios de sesión desde direcciones IP que intentan iniciar sesión en cuentas deshabilitadas (usa la normalización de autenticación)
Contenido de seguridad de consultas de DNS
El siguiente contenido de consultas de DNS integrado es compatible con la normalización de ASIM.
Soluciones
Reglas de análisis
- (Versión preliminar) Entidad de dominio de asignación de TI a eventos DNS (esquema DNS de ASIM)
- (Versión preliminar) Entidad de IP de asignación de TI a eventos DNS (esquema DNS de ASIM)
- DGA potencial detectado (ASimDNS)
- Consultas de DNS NXDOMAIN excesivas (esquema DNS de ASIM)
- Eventos DNS relacionados con grupos de minería de datos (esquema DNS de ASIM)
- Eventos DNS relacionados con servidores proxy ToR (esquema DNS de ASIM)
- Dominios conocidos de Barium
- Direcciones IP conocidas de Barium
- Vulnerabilidades del servidor Exchange divulgadas en marzo de 2021 sobre coincidencias de IoC
- Dominios y hash conocidos de Tifón de granito
- IP conocida de Blizzard con concha marina
- Medianoche de Blizzard: IOC de dominio e IP; marzo de 2021
- IP/dominios de grupo de Phosphorus conocidos
- Dominios de grupo conocidos de Bosque de Blizzard, julio de 2019
- Señal de red Solorigate
- Dominios de Emerald Sleet incluidos en la eliminación de la DCU
- Hashes de malware conocidos de Remolacha de diamantes de Comebacker y Klackring
- Dominios y hash conocidos de Ruby Sleet
- Códigos hash y dominios NICKEL conocidos
- Medianoche de Blizzard: IOC de dominio, hash e IP; mayo de 2021
- Señal de red Solorigate
Contenido de seguridad de la actividad del archivo
El siguiente contenido de actividad del archivo integrado es compatible con la normalización de ASIM.
Reglas de análisis
- Hashes de puerta trasera SUNBURST y SUPERNOVA (eventos de archivos normalizados)
- Vulnerabilidades del servidor Exchange divulgadas en marzo de 2021 sobre coincidencias de IoC
- Servicio UM de Tifón de seda que escribe un archivo sospechoso
- Medianoche de Blizzard: IOC de dominio, hash e IP; mayo de 2021
- Creación de archivos de registro de SUNSPOT
- Hashes de malware conocidos de Remolacha de diamantes de Comebacker y Klackring
- IOC actor de Cadete Blizzard, enero de 2022
- IOC de Medianoche de Blizzard relacionados con la puerta trasera FoggyWeb
Contenido de seguridad de sesión de red
El contenido siguiente relacionado con sesiones de red integrado es compatible con la normalización de ASIM.
Soluciones
- Elementos esenciales de la sesión de red
- Detección de vulnerabilidades de Log4j
- Detección de amenazas basada en IOC heredados
Reglas de análisis
- Explotación de vulnerabilidades de seguridad de Log4j, también conocida como IOC de IP de Log4Shell
- Cantidad excesiva de conexiones con error desde un origen único (esquema de sesión de red de ASIM)
- Actividad de señalización posible (esquema de sesión de red de ASIM)
- (versión preliminar) Entidad de IP de asignación de TI a eventos de sesión de red (esquema de sesión de red de ASIM)
- Examen de puerto detectado (esquema de sesión de red de ASIM)
- Direcciones IP conocidas de Barium
- Vulnerabilidades del servidor Exchange divulgadas en marzo de 2021 sobre coincidencias de IoC
- [IP conocida de Blizzard con concha marina(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Medianoche de Blizzard: IOC de dominio, hash e IP; mayo de 2021
- Dominios de grupo conocidos de Bosque de Blizzard, julio de 2019
Consultas de búsqueda
Contenido de seguridad de la actividad del proceso
El siguiente contenido de actividad del proceso integrado es compatible con la normalización de ASIM.
Soluciones
- Información esencial de protección contra amenazas de punto de conexión
- Detección de amenazas basada en IOC heredados
Reglas de análisis
- Probable uso de la herramienta AdFind Recon (eventos de proceso normalizados)
- Líneas de comandos de procesos de Windows codificadas en Base64 (eventos de proceso normalizados)
- Malware en la papelera de reciclaje (eventos de proceso normalizados)
- Medianoche de Blizzard: ejecución sospechosa de rundll32.exe de vbscript (eventos de proceso normalizados)
- SUNBURST: procesos secundarios sospechosos de SolarWinds (eventos de proceso normalizados)
Consultas de búsqueda
- Desglose de resumen diario de scripts de Cscript (eventos de proceso normalizados)
- Enumeración de usuarios y grupos (eventos de proceso normalizados)
- Complemento de Exchange PowerShell agregado (eventos de proceso normalizados)
- Host exportando buzón y quitando exportación (eventos de proceso normalizados)
- Uso de Invoke-PowerShellTcpOneLine (eventos de proceso normalizados)
- Shell TCP inverso en Base64 (eventos de proceso normalizados)
- Resumen de usuarios creados mediante modificadores de línea de comandos poco comunes o no documentados (eventos de proceso normalizados)
- Descarga de Powercat (eventos de proceso normalizados)
- Descargas de PowerShell (eventos de proceso normalizados)
- Entropía para los procesos de un host determinado (eventos de proceso normalizados)
- Inventario de SolarWinds (eventos de proceso normalizados)
- Enumeración sospechosa mediante la herramienta Adfind (eventos de proceso normalizados)
- Apagado/reinicio del sistema de Windows (eventos de proceso normalizados)
- Certutil (LOLBins y LOLScripts, eventos de proceso normalizados)
- Rundll32 (LOLBins y LOLScripts, eventos de proceso normalizados)
- Procesos poco comunes: inferiores al 5 % (eventos de proceso normalizados)
- Ofuscación Unicode en la línea de comandos
Contenido de seguridad de la actividad del Registro
El siguiente contenido de actividad del Registro integrado es compatible con la normalización de ASIM.
Reglas de análisis
Consultas de búsqueda
Contenido de seguridad de la sesión web
El contenido siguiente relacionado con sesiones web integrado es compatible con la normalización de ASIM.
Soluciones
Reglas de análisis
- (versión preliminar) Entidad de dominio de asignación de TI a eventos de sesión web (esquema de sesión web de ASIM)
- (Versión preliminar) Entidad de IP de asignación de TI a eventos de sesión web (esquema de sesión web de ASIM)
- Comunicación posible con un nombre de host basado en el algoritmo de generación de dominios (DGA) (esquema de sesión de red de ASIM)
- Un cliente hizo una solicitud web a un archivo posiblemente dañino (esquema de sesión web de ASIM)
- Un host ejecuta posiblemente una minería criptográfica (esquema de sesión web de ASIM)
- Un host ejecuta posiblemente una herramienta de piratería (esquema de sesión web de ASIM)
- Un host ejecuta posiblemente PowerShell para enviar solicitudes HTTP(S) (esquema de sesión web de ASIM)
- Descarga de archivos de riesgo de CND de Discord (esquema de sesión web de ASIM)
- Número excesivo de errores de autenticación HTTP desde un origen (esquema de sesión web de ASIM)
- Dominios conocidos de Barium
- Direcciones IP conocidas de Barium
- Dominios y hash conocidos de Ruby Sleet
- IP conocida de Blizzard con concha marina
- Códigos hash y dominios NICKEL conocidos
- Medianoche de Blizzard: IOC de dominio e IP; marzo de 2021
- Medianoche de Blizzard: IOC de dominio, hash e IP; mayo de 2021
- IP/dominios de grupo de Phosphorus conocidos
- Búsqueda del agente de usuario para un intento de explotación de vulnerabilidades de seguridad de log4j
Pasos siguientes
En este artículo se aborda el contenido del Modelo avanzado de información de seguridad (ASIM).
Para más información, consulte:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Analizadores del Modelo avanzado de información de seguridad (ASIM)
- Uso del modelo avanzado de información de seguridad (ASIM)
- Modificación del contenido de Microsoft Sentinel para usar los analizadores del Modelo avanzado de información de seguridad (ASIM)