Advanced Security Information Model (ASIM) セキュリティ コンテンツ (パブリック プレビュー)
Microsoft Sentinel の正規化されたセキュリティ コンテンツには、統合された正規化パーサーで使用できる分析ルール、ハンティング クエリ、ブックが含まれています。
Microsoft Sentinel のギャラリーやで正規化された組み込みのコンテンツを見つけること、独自の正規化されたコンテンツを作成すること、正規化されたデータを使用するために既存のコンテンツを変更することができます。
この記事では、Advanced Security Information Model (ASIM) をサポートするように構成された組み込みの Microsoft Sentinel コンテンツを紹介します。 Microsoft Sentinel GitHub リポジトリへのリンクは下に参照として掲載していますが、これらのルールは Microsoft Sentinel Analytics ルール ギャラリーでも見つけることができます。 ルールに関連するハンティング クエリをコピーするには、リンクされた GitHub ページを使用してください。
正規化されたコンテンツが ASIM アーキテクチャにどのように適合するかを理解するには、ASIM アーキテクチャの図を参照してください。
ヒント
また、Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。 詳細については、「次のステップ」を参照してください。
重要
現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
認証のセキュリティ コンテンツ
ASIM の正規化では、次の組み込みの認証コンテンツがサポートされています。
分析ルール
- 潜在的なパスワード スプレー攻撃 (認証正規化を使用)
- Brute force attack against user credentials (Uses Authentication Normalization) (ユーザー資格情報に対するブルート フォース攻撃 (認証正規化を使用))
- 3 時間以内に異なる国/地域からのユーザー ログイン (認証正規化を使用)
- Sign-ins from IPs that attempt sign-ins to disabled accounts (Uses Authentication Normalization) (無効なアカウントへのサインインを試行する IP からのサインイン (認証正規化を使用))
DNS クエリのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みの DNS クエリ コンテンツがサポートされています。
ソリューション
分析ルール
- (プレビュー) TI のドメイン エンティティの DNS イベントへのマッピング (ASIM DNS スキーマ)
- (プレビュー) TI の IP エンティティの DNS イベントへのマッピング (ASIM DNS スキーマ)
- 潜在的 DGA の検出 (ASimDNS)
- 過度の NXDOMAIN DNS クエリ (ASIM DNS スキーマ)
- マイニング プールに関連する DNS イベント (ASIM DNS スキーマ)
- ToR プロキシに関連する DNS イベント (ASIM DNS スキーマ)
- Known Barium domains (既知の Barium ドメイン)
- Known Barium IP addresses (既知の Barium IP アドレス)
- Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
- 既知の Granite Typhoon のドメインとハッシュ
- 既知の Seashell Blizzard の IP
- Midnight Blizzard - ドメインと IP の IOC - 2021 年 3 月
- 既知の Phosphorus グループ ドメイン/IP
- 既知の Forest Blizzard のグループ ドメイン - 2019 年 7 月
- Solorigate ネットワーク ビーコン
- DCU 削除に含まれる Emerald Sleet ドメイン
- 既知の Diamond Sleet Comebacker および Klackring のマルウェア ハッシュ
- 既知の Ruby Sleet のドメインとハッシュ
- 既知の NICKEL ドメインとハッシュ
- Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
- Solorigate ネットワーク ビーコン
ファイル アクティビティのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのファイル アクティビティ コンテンツがサポートされています。
分析ルール:
- SUNBURST and SUPERNOVA backdoor hashes (Normalized File Events) (SUNBURST と SUPERNOVA のバックドア ハッシュ (正規化されたファイル イベント))
- Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
- Silk Typhoon UM Service の疑わしいファイル書き込み
- Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
- SUNSPOT log file creation (SUNSPOT ログ ファイルの作成)
- 既知の Diamond Sleet Comebacker および Klackring のマルウェア ハッシュ
- Cadet Blizzard アクターの IOC - 2022 年 1月
- FoggyWeb バックドアに関連する、Midnight Blizzard の IOC
ネットワーク セッションのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのネットワーク セッション関連コンテンツがサポートされています。
ソリューション
分析ルール
- Log4Shell IP IOC と呼ばれる Log4j 脆弱性の悪用
- 1 つのソースからの過剰な数の失敗した接続 (ASIM ネットワーク セッション スキーマ)
- 潜在的なビーコン アクティビティ (ASIM ネットワーク セッション スキーマ)
- (プレビュー) TI の IP エンティティのネットワーク セッション イベントのマッピング (ASIM ネットワーク セッション スキーマ)
- ポート スキャンが検出されました (ASIM ネットワーク セッション スキーマ)
- Known Barium IP addresses (既知の Barium IP アドレス)
- Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
- [既知の Seashell Blizzard の IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
- 既知の Forest Blizzard のグループ ドメイン - 2019 年 7 月
ハンティング クエリ
プロセス アクティビティのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのプロセス アクティビティ コンテンツがサポートされています。
ソリューション
分析ルール
- Probable AdFind Recon Tool の使用 (正規化されたプロセス イベント)
- Base64 でエンコードされた Windows プロセスのコマンド ライン (正規化されたプロセス イベント)
- ごみ箱内のマルウェア (正規化されたプロセス イベント)
- Midnight Blizzard - vbscript の疑わしい rundll32.exe の実行 (正規化されたプロセス イベント)
- SUNBURST の疑わしい SolarWinds 子プロセス (正規化されたプロセス イベント)
ハンティング クエリ
- Cscript スクリプトの毎日の概要の内訳 (正規化されたプロセス イベント)
- ユーザーとグループの列挙 (正規化されたプロセス イベント)
- Exchange PowerShell スナップインの追加 (正規化されたプロセス イベント)
- メールボックスのエクスポートとエクスポートの削除を行うホスト (正規化されたプロセス イベント)
- Invoke-PowerShellTcpOneLine の使用 (正規化されたプロセス イベント)
- Base64 の Nishang リバース TCP シェル (正規化されたプロセス イベント)
- 一般的でない/ドキュメントに記載されていないコマンド ライン スイッチを使用して作成されたユーザーの概要 (正規化されたプロセス イベント)
- Powercat のダウンロード (正規化されたプロセス イベント)
- PowerShell のダウンロード (正規化されたプロセス イベント)
- 特定のホストのプロセスのエントロピ (正規化されたプロセス イベント)
- SolarWinds インベントリ (正規化されたプロセス イベント)
- Adfind ツールを使用した疑わしい列挙型 (正規化されたプロセス イベント)
- Windows システムのシャットダウン/再起動 (正規化されたプロセス イベント)
- Certutil (LOLBins と LOLScripts、正規化されたプロセス イベント)
- Rundll32 (LOLBins と LOLScripts、正規化されたプロセス イベント)
- 一般的でないプロセス - 下位 5% (正規化されたプロセス イベント)
- Unicode Obfuscation in Command Line (コマンドラインでの Unicode の難読化)
レジストリ アクティビティのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのレジストリ アクティビティ コンテンツがサポートされています。
分析ルール
ハンティング クエリ
Web セッションのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みの Web セッション関連コンテンツがサポートされています。
ソリューション
分析ルール
- (プレビュー) TI のドメイン エンティティの Web セッション イベントのマッピング (ASIM Web セッション スキーマ)
- (プレビュー) TI の IP エンティティの Web セッション イベントのマッピング (ASIM Web セッション スキーマ)
- ドメイン生成アルゴリズム (DGA) ベースのホスト名による可能性のある通信 (ASIM ネットワーク セッション スキーマ)
- クライアントが潜在的に有害なファイルに対して Web 要求を行った (ASIM Web セッション スキーマ)
- ホストがクリプト マイナーを実行している可能性がある (ASIM Web セッション スキーマ)
- ホストがハッキング ツールを実行している可能性がある (ASIM Web セッション スキーマ)
- ホストが、HTTP(S) 要求を送信する PowerShell を実行している可能性がある (ASIM Web セッションスキーマ)
- 不一致 CDN 危険なファイルのダウンロード (ASIM Web セッション スキーマ)
- ソースからの HTTP 認証エラーの数が過剰 (ASIM Web セッション スキーマ)
- Known Barium domains (既知の Barium ドメイン)
- Known Barium IP addresses (既知の Barium IP アドレス)
- 既知の Ruby Sleet のドメインとハッシュ
- 既知の Seashell Blizzard の IP
- 既知の NICKEL ドメインとハッシュ
- Midnight Blizzard - ドメインと IP の IOC - 2021 年 3 月
- Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
- 既知の Phosphorus グループ ドメイン/IP
- log4j 悪用試行のユーザー エージェント検索
次のステップ
この記事では、Advanced Security Information Model (ASIM) コンテンツについて説明します。
詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) のパーサー
- Advanced Security Information Model (ASIM) の使用
- Advanced Security Information Model (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する | Microsoft Docs