ASIM-beveiligingsinhoud (Advanced Security Information Model) (openbare preview)

Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met samenvoeging van normalisatieparsers.

U kunt genormaliseerde, ingebouwde inhoud vinden in galerieën en oplossingen van Microsoft Sentinel, uw eigen genormaliseerde inhoud maken of bestaande inhoud wijzigen om genormaliseerde gegevens te gebruiken.

In dit artikel vindt u een lijst met ingebouwde Microsoft Sentinel-inhoud die is geconfigureerd ter ondersteuning van het Advanced Security Information Model (ASIM). Hoewel koppelingen naar de GitHub-opslagplaats van Microsoft Sentinel hieronder worden weergegeven als referentie, kunt u deze regels ook vinden in de galerie met Microsoft Sentinel Analytics-regels. Gebruik de gekoppelde GitHub-pagina's om relevante opsporingsquery's te kopiëren.

Als u wilt weten hoe genormaliseerde inhoud binnen de ASIM-architectuur past, raadpleegt u het ASIM-architectuurdiagram.

Tip

Bekijk ook de Deep Dive Webinar op Microsoft Sentinel Normalizing Parsers and Normalized Content of bekijk de dia's. Zie voor meer informatie Volgende stappen.

Belangrijk

ASIM is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Beveiligingsinhoud voor verificatie

De volgende ingebouwde verificatie-inhoud wordt ondersteund voor ASIM-normalisatie.

Analyseregels

• Mogelijke aanval op wachtwoordspray (maakt gebruik van verificatienormalisatie)
• Beveiligingsaanval op gebruikersreferenties (maakt gebruik van verificatienormalisatie)
• Gebruikersaanmelding vanuit verschillende landen/regio's binnen 3 uur (maakt gebruik van verificatienormalisatie)
• Aanmeldingen van IP-adressen die aanmeldingen proberen uit te schakelen naar uitgeschakelde accounts (maakt gebruik van verificatienormalisatie)

Dns-querybeveiligingsinhoud

De volgende ingebouwde DNS-queryinhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• DNS Essentials
• Detectie van beveiligingsproblemen in Log4j
• Verouderde bedreigingsdetectie op basis van IOC

Analyseregels

• (Preview) TI wijst domeinentiteit toe aan DNS-gebeurtenissen (ASIM DNS-schema)
• (Preview) TI wijst IP-entiteit toe aan DNS-gebeurtenissen (ASIM DNS-schema)
• Mogelijke DGA gedetecteerd (ASimDNS)
• Overmatige NXDOMAIN DNS-query's (ASIM DNS-schema)
• DNS-gebeurtenissen met betrekking tot mijnbouwgroepen (ASIM DNS-schema)
• DNS-gebeurtenissen met betrekking tot ToR-proxy's (ASIM DNS-schema)
• Bekende Barium-domeinen
• Bekende Barium-IP-adressen
• Exchange Server-beveiligingsproblemen openbaar gemaakt maart 2021 IoC Match
• Bekende Graniet Typhoon-domeinen en hashes
• Bekende Seashell Blizzard IP
• Midnight Blizzard - Domein- en IP-IOC's - maart 2021
• Bekende fosforgroepdomeinen/IP
• Bekende Forest Blizzard-groepsdomeinen - juli 2019
• Solorigate Network Beacon
• Sleet-domeinen van Sleet opgenomen in DCU takedown
• Bekende Diamond Sleet Comebacker en Klackring malware hashes
• Bekende Ruby Sleet-domeinen en hashes
• Bekende NICKEL-domeinen en hashes
• Midnight Blizzard - Domein, Hash en IP-IOC's - mei 2021
• Solorigate Network Beacon

Beveiligingsinhoud voor bestandsactiviteit

De volgende ingebouwde bestandsactiviteitsinhoud wordt ondersteund voor ASIM-normalisatie.

• Verouderde bedreigingsdetectie op basis van IOC

Analyseregels

• SUNBURST en SUPERNOVA backdoor hashes (genormaliseerde bestandsgebeurtenissen)
• Exchange Server-beveiligingsproblemen openbaar gemaakt maart 2021 IoC Match
• Silk Typhoon UM Service die verdacht bestand schrijft
• Midnight Blizzard - Domein, Hash en IP-IOC's - mei 2021
• SUNSPOT-logboekbestand maken
• Bekende Diamond Sleet Comebacker en Klackring malware hashes
• Cadet Blizzard Actor IOC - januari 2022
• Middernacht Blizzard IOC's met betrekking tot FoggyWeb-achterdeur

Beveiligingsinhoud voor netwerksessies

De volgende ingebouwde inhoud voor netwerksessies wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• Netwerksessie essentials
• Detectie van beveiligingsproblemen in Log4j
• Verouderde bedreigingsdetectie op basis van IOC

Analyseregels

• Log4j-beveiligingsprobleem exploit aka Log4Shell IP IOC
• Overmatig aantal mislukte verbindingen van één bron (ASIM-netwerksessieschema)
• Mogelijke beaconing-activiteit (ASIM-netwerksessieschema)
• (Preview) TI wijst IP-entiteit toe aan netwerksessiegebeurtenissen (ASIM-netwerksessieschema)
• Poortscan gedetecteerd (ASIM-netwerksessieschema)
• Bekende Barium-IP-adressen
• Exchange Server-beveiligingsproblemen openbaar gemaakt maart 2021 IoC Match
• [Bekende Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domein, Hash en IP-IOC's - mei 2021
• Bekende Forest Blizzard-groepsdomeinen - juli 2019

Opsporingsquery's

• Verbinding van externe IP naar OMI-gerelateerde poorten

Beveiligingsinhoud voor procesactiviteit

De volgende ingebouwde inhoud van procesactiviteit wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• Endpoint Threat Protection Essentials
• Verouderde bedreigingsdetectie op basis van IOC

Analyseregels

• Waarschijnlijk gebruik van adFind Recon Tool (genormaliseerde procesgebeurtenissen)
• Met Base64 gecodeerde Windows-procesopdrachten (genormaliseerde procesgebeurtenissen)
• Malware in de prullenbak (genormaliseerde procesgebeurtenissen)
• Middernacht-blizzard - verdachte rundll32.exe uitvoering van vbscript (genormaliseerde procesgebeurtenissen)
• SUNBURST suspicious SolarWinds child processes (Normalized Process Events)

Opsporingsquery's

• Dagelijkse samenvattingsanalyse van Cscript-script (genormaliseerde procesgebeurtenissen)
• Opsomming van gebruikers en groepen (genormaliseerde procesgebeurtenissen)
• Exchange PowerShell-module toegevoegd (genormaliseerde procesgebeurtenissen)
• Postvak exporteren hosten en exporteren verwijderen (genormaliseerde procesgebeurtenissen)
• Invoke-PowerShellTcpOneLine-gebruik (genormaliseerde procesgebeurtenissen)
• Nishang Reverse TCP Shell in Base64 (genormaliseerde procesgebeurtenissen)
• Samenvatting van gebruikers die zijn gemaakt met ongebruikelijke/niet-gedocumenteerde opdrachtregelopties (genormaliseerde procesgebeurtenissen)
• Powercat Downloaden (genormaliseerde procesgebeurtenissen)
• PowerShell-downloads (genormaliseerde procesgebeurtenissen)
• Entropie voor processen voor een bepaalde host (genormaliseerde procesgebeurtenissen)
• SolarWinds Inventory (genormaliseerde procesgebeurtenissen)
• Verdachte inventarisatie met behulp van het hulpprogramma Adfind (genormaliseerde procesgebeurtenissen)
• Windows-systeem afsluiten/opnieuw opstarten (genormaliseerde procesgebeurtenissen)
• Certutil (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
• Rundll32 (LOLBins en LOLScripts, Genormaliseerde procesgebeurtenissen)
• Ongebruikelijke processen - laagste 5% (genormaliseerde procesgebeurtenissen)
• Unicode-verdoofing in opdrachtregel

Beveiligingsinhoud van registeractiviteit

De volgende ingebouwde inhoud van registeractiviteiten wordt ondersteund voor ASIM-normalisatie.

Analyseregels

• Mogelijke Fodhelper UAC Bypass (ASIM-versie)

Opsporingsquery's

• Persistent maken via IFEO-registersleutel

Beveiligingsinhoud voor websessies

De volgende ingebouwde websessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• Detectie van beveiligingsproblemen in Log4j
• Bedreigingsinformatie

Analyseregels

• (Preview) TI wijst domeinentiteit toe aan websessiegebeurtenissen (ASIM-websessieschema)
• (Preview) TI wijst IP-entiteit toe aan websessiegebeurtenissen (ASIM-websessieschema)
• Mogelijke communicatie met een op DGA (Domain Generation Algorithm) gebaseerde hostnaam (ASIM Network Session Schema)
• Een client heeft een webaanvraag ingediend bij een mogelijk schadelijk bestand (ASIM-websessieschema)
• Een host kan een cryptominer uitvoeren (ASIM-websessieschema)
• Een host voert mogelijk een hacking-hulpprogramma uit (ASIM-websessieschema)
• Een host voert mogelijk PowerShell uit om HTTP(S)-aanvragen (ASIM-websessieschema) te verzenden
• Discord CDN Risky File Download (ASIM Web Session Schema)
• Overmatig aantal HTTP-verificatiefouten van een bron (ASIM-websessieschema)
• Bekende Barium-domeinen
• Bekende Barium-IP-adressen
• Bekende Ruby Sleet-domeinen en hashes
• Bekende Seashell Blizzard IP
• Bekende NICKEL-domeinen en hashes
• Midnight Blizzard - Domein- en IP-IOC's - maart 2021
• Midnight Blizzard - Domein, Hash en IP-IOC's - mei 2021
• Bekende fosforgroepdomeinen/IP
• Gebruikersagent zoeken naar log4j-exploitatiepoging

Volgende stappen

In dit artikel wordt de inhoud van Advanced Security Information Model (ASIM) besproken.

Zie voor meer informatie:

• Bekijk de Deep Dive Webinar op Microsoft Sentinel Normalizing Parsers and Normalized Content of bekijk de dia's
• Overzicht van Advanced Security Information Model (ASIM)
• ASIM-schema's (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• Het Advanced Security Information Model (ASIM) gebruiken
• Microsoft Sentinel-inhoud wijzigen om de ASIM-parsers (Advanced Security Information Model) te gebruiken