Zawartość zabezpieczeń usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

Znormalizowana zawartość zabezpieczeń w usłudze Microsoft Sentinel obejmuje reguły analizy, zapytania wyszukiwania zagrożeń i skoroszyty, które współpracują z analizatorami normalizacji.

Możesz znaleźć znormalizowaną, wbudowaną zawartość w galeriach i rozwiązaniach usługi Microsoft Sentinel, utworzyć własną znormalizowaną zawartość lub zmodyfikować istniejącą zawartość, aby używać znormalizowanych danych.

W tym artykule wymieniono wbudowaną zawartość usługi Microsoft Sentinel skonfigurowaną do obsługi zaawansowanego modelu informacji o zabezpieczeniach (ASIM). Linki do repozytorium GitHub usługi Microsoft Sentinel znajdują się poniżej jako odwołanie, ale te reguły można również znaleźć w galerii reguł usługi Microsoft Sentinel Analytics. Użyj połączonych stron usługi GitHub, aby skopiować wszystkie odpowiednie zapytania wyszukiwania zagrożeń.

Aby dowiedzieć się, jak znormalizowana zawartość mieści się w architekturze ASIM, zapoznaj się z diagramem architektury ASIM.

Porada

Ponadto watch szczegółowe seminarium internetowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy. Aby uzyskać więcej informacji, zobacz Następne kroki.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.

Zawartość zabezpieczeń uwierzytelniania

Poniższa wbudowana zawartość uwierzytelniania jest obsługiwana w przypadku normalizacji karty ASIM.

Reguły analizy

• Potencjalny atak sprayowy haseł (używa normalizacji uwierzytelniania)
• Atak siłowy na poświadczenia użytkownika (Używa normalizacji uwierzytelniania)
• Logowanie użytkownika z różnych krajów w ciągu 3 godzin (używa normalizacji uwierzytelniania)
• Logowania z adresów IP, które próbują zalogować się do wyłączonych kont (używa normalizacji uwierzytelniania)

Zawartość zabezpieczeń zapytań DNS

Poniższa wbudowana zawartość zapytania DNS jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Podstawowe informacje o systemie DNS
• Wykrywanie luk w zabezpieczeniach log4j
• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• (Wersja zapoznawcza) Ti mapuj jednostkę domeny na zdarzenia DNS (schemat DNS ASIM)
• (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia DNS (schemat DNS ASIM)
• Wykryto potencjalne dgA (ASimDNS)
• Nadmierne zapytania DNS NXDOMAIN (schemat DNS ASIM)
• Zdarzenia DNS związane z pulami wyszukiwania (schemat DNS karty ASIM)
• Zdarzenia DNS związane z serwerami proxy toR (schemat DNS ASIM)
• Znane domeny Barium
• Znane adresy IP Barium
• Exchange Server ujawnione luki w zabezpieczeniach z marca 2021 r.
• Znane domeny tajfunu granitowego i skróty
• Znany adres IP Blizzarda seashell
• Midnight Blizzard - Domain and IP IOCs - Marzec 2021
• Znane domeny grupy fosforu/adres IP
• Znane domeny grupy Blizzard lasu — lipiec 2019 r.
• Solorigate Network Beacon
• Domeny ze szmaragdowym zestawem uwzględnionych w starcie DCU
• Znane skróty złośliwego oprogramowania Diamond Sleet Comebacker i Klackring
• Znane domeny i skróty zestawu ruby
• Znane domeny i skróty NIKLU
• Midnight Blizzard - Domain, Hash and IP IOCs - Maj 2021
• Solorigate Network Beacon

Zawartość zabezpieczeń działania pliku

Następująca wbudowana zawartość działania pliku jest obsługiwana w przypadku normalizacji karty ASIM.

• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Skróty backdoor SUNBURST i SUPERNOVA (znormalizowane zdarzenia plików)
• Exchange Server ujawnione luki w zabezpieczeniach z marca 2021 r.
• Silk Typhoon UM Service pisanie podejrzanego pliku
• Midnight Blizzard - Domain, Hash and IP IOCs - Maj 2021
• Tworzenie pliku dziennika SUNSPOT
• Znane skróty złośliwego oprogramowania Diamond Sleet Comebacker i Klackring
• Kadet Blizzard Aktor MKOl - styczeń 2022
• Midnight Blizzard IOCs związane z FoggyWeb backdoor

Zawartość zabezpieczeń sesji sieciowej

Poniższa wbudowana zawartość związana z sesją sieciową jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Podstawowe elementy sesji sieciowej
• Wykrywanie luk w zabezpieczeniach log4j
• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Luka w zabezpieczeniach log4j wykorzystująca lukę w zabezpieczeniach o adresach IP programu Log4Shell
• Nadmierna liczba nieudanych połączeń z jednego źródła (schemat sesji sieciowej ASIM)
• Potencjalne działanie sygnału nawigacyjnego (schemat sesji sieciowej ASIM)
• (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia sesji sieciowej (schemat sesji sieciowej ASIM)
• Wykryto skanowanie portów (schemat sesji sieciowej ASIM)
• Znane adresy IP Barium
• Exchange Server ujawnione luki w zabezpieczeniach z marca 2021 r.
• [Znany seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domain, Hash and IP IOCs - Maj 2021
• Znane domeny grupy Blizzard lasu — lipiec 2019 r.

Zapytania dotyczące wyszukiwania zagrożeń

• Połączenie z zewnętrznego adresu IP do portów powiązanych z usługą OMI

Zawartość zabezpieczeń działania procesu

Następująca wbudowana zawartość działania procesu jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Podstawowe elementy programu Endpoint Threat Protection
• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Prawdopodobne użycie narzędzia Recon AdFind (znormalizowane zdarzenia procesu)
• Wiersze poleceń procesu systemu Windows zakodowane w formacie Base64 (znormalizowane zdarzenia procesu)
• Złośliwe oprogramowanie w koszu (znormalizowane zdarzenia procesu)
• Midnight Blizzard — podejrzane rundll32.exe wykonywania skryptu vbscript (znormalizowane zdarzenia procesu)
• SUNBURST podejrzanych procesów podrzędnych SolarWinds (Znormalizowane zdarzenia procesu)

Zapytania dotyczące wyszukiwania zagrożeń

• Podział dziennego podsumowania skryptu CScript (znormalizowane zdarzenia procesu)
• Wyliczanie użytkowników i grup (znormalizowane zdarzenia procesu)
• Dodano przystawkę programu Exchange PowerShell (znormalizowane zdarzenia procesu)
• Eksportowanie skrzynki pocztowej i usuwanie eksportu hosta (znormalizowane zdarzenia procesu)
• Invoke-PowerShellTcpOneLine Usage (Znormalizowane zdarzenia procesu)
• Odwrotna powłoka TCP Nishang w bazie Base64 (znormalizowane zdarzenia procesu)
• Podsumowanie użytkowników utworzonych przy użyciu nietypowych/nieudokumentowanych przełączników wiersza polecenia (znormalizowane zdarzenia procesu)
• Pobieranie usługi Powercat (znormalizowane zdarzenia procesu)
• Pobieranie programu PowerShell (znormalizowane zdarzenia procesu)
• Enropy dla procesów dla danego hosta (znormalizowane zdarzenia procesu)
• Spis SolarWinds (znormalizowane zdarzenia procesu)
• Podejrzane wyliczenie przy użyciu narzędzia Adfind (znormalizowane zdarzenia procesu)
• Zamykanie/ponowne uruchamianie systemu Windows (znormalizowane zdarzenia procesu)
• Certutil (LOLBins i LOLScripts, znormalizowane zdarzenia procesu)
• Rundll32 (LOLBins i LOLScripts, znormalizowane zdarzenia procesu)
• Nietypowe procesy — dolne 5% (znormalizowane zdarzenia procesu)
• Zaciemnianie Unicode w wierszu polecenia

Zawartość zabezpieczeń działań rejestru

Następująca wbudowana zawartość działania rejestru jest obsługiwana w przypadku normalizacji karty ASIM.

Reguły analizy

• Potencjalne obejście kontroli konta użytkownika fodhelper (wersja ASIM)

Zapytania dotyczące wyszukiwania zagrożeń

• Utrwalanie za pomocą klucza rejestru IFEO

Zawartość zabezpieczeń sesji sieci Web

Poniższa wbudowana zawartość związana z sesją internetową jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Wykrywanie luk w zabezpieczeniach log4j
• Analiza zagrożeń

Reguły analizy

• (Wersja zapoznawcza) Ti mapuj jednostkę domeny na zdarzenia sesji sieci Web (schemat sesji sieci Web ASIM)
• (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia sesji internetowej (schemat sesji sieci Web ASIM)
• Potencjalna komunikacja z nazwą hosta opartą na algorytmie generowania domeny (schemat sesji sieciowej ASIM)
• Klient złożył żądanie internetowe do potencjalnie szkodliwego pliku (schemat sesji sieci Web ASIM)
• Host jest potencjalnie uruchomiony górnik kryptograficzny (schemat sesji internetowej ASIM)
• Host może uruchamiać narzędzie hakerskie (schemat sesji internetowej ASIM)
• Host może uruchamiać program PowerShell do wysyłania żądań HTTP(S) (schemat sesji sieci Web ASIM)
• Niezgoda pobieranie ryzykownych plików CDN (schemat sesji internetowej ASIM)
• Nadmierna liczba niepowodzeń uwierzytelniania HTTP ze źródła (schemat sesji sieci Web ASIM)
• Znane domeny Barium
• Znane adresy IP Barium
• Znane domeny i skróty zestawu ruby
• Znany adres IP Blizzarda seashell
• Znane domeny i skróty NIKLU
• Midnight Blizzard - Domain and IP IOCs - Marzec 2021
• Midnight Blizzard - Domain, Hash and IP IOCs - Maj 2021
• Znane domeny grupy fosforu/adres IP
• Wyszukiwanie agenta użytkownika pod kątem próby wykorzystania log4j

Następne kroki

W tym artykule omówiono zawartość usługi Advanced Security Information Model (ASIM).

Aby uzyskać więcej informacji, zobacz:

• Obejrzyj seminarium internetowe Szczegółowe informacje na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Modyfikowanie zawartości usługi Microsoft Sentinel w celu korzystania z analizatorów advanced Security Information Model (ASIM)