Zawartość zabezpieczeń usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

Znormalizowana zawartość zabezpieczeń w usłudze Microsoft Sentinel obejmuje reguły analizy, zapytania wyszukiwania zagrożeń i skoroszyty, które współpracują z ujednoliceniem analizatorów normalizacji.

Można znaleźć znormalizowaną, wbudowaną zawartość w galeriach i rozwiązaniach usługi Microsoft Sentinel, utworzyć własną znormalizowaną zawartość lub zmodyfikować istniejącą zawartość, aby używać znormalizowanych danych.

W tym artykule wymieniono wbudowaną zawartość usługi Microsoft Sentinel skonfigurowaną do obsługi zaawansowanego modelu informacji o zabezpieczeniach (ASIM). Linki do repozytorium GitHub usługi Microsoft Sentinel znajdują się poniżej jako odwołanie, ale te reguły można również znaleźć w galerii reguł usługi Microsoft Sentinel Analytics. Użyj połączonych stron usługi GitHub, aby skopiować wszystkie odpowiednie zapytania wyszukiwania zagrożeń.

Aby zrozumieć, jak znormalizowana zawartość pasuje do architektury ASIM, zapoznaj się z diagramem architektury ASIM.

Napiwek

Obejrzyj również seminarium internetowe deep dive na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy. Aby uzyskać więcej informacji, zobacz Następne kroki.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Zawartość zabezpieczeń uwierzytelniania

Następująca wbudowana zawartość uwierzytelniania jest obsługiwana w przypadku normalizacji karty ASIM.

Reguły analizy

• Potencjalny atak sprayu haseł (używa normalizacji uwierzytelniania)
• Atak siłowy na poświadczenia użytkownika (używa normalizacji uwierzytelniania)
• Logowanie użytkownika z różnych krajów/regionów w ciągu 3 godzin (używa normalizacji uwierzytelniania)
• Logowania z adresów IP, które próbują zalogować się do wyłączonych kont (używa normalizacji uwierzytelniania)

Zawartość zabezpieczeń zapytań DNS

Następująca wbudowana zawartość zapytania DNS jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Podstawy systemu DNS
• Wykrywanie luk w zabezpieczeniach log4j
• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• (Wersja zapoznawcza) Ti mapuj jednostkę domeny na zdarzenia DNS (schemat DNS ASIM)
• (Wersja zapoznawcza) Ti mapuj jednostkę IP na zdarzenia DNS (schemat DNS ASIM)
• Wykryto potencjalne dga (ASimDNS)
• Nadmierne zapytania DNS NXDOMAIN (schemat DNS ASIM)
• Zdarzenia DNS związane z pulami wyszukiwania (schemat DNS ASIM)
• Zdarzenia DNS związane z serwerami proxy toR (schemat DNS ASIM)
• Znane domeny barium
• Znane adresy IP Barium
• Ujawnione luki w zabezpieczeniach serwera Exchange Server z marca 2021 r.
• Znane domeny tajfunu granitu i skróty
• Znany adres IP blizzarda seashell
• Midnight Blizzard - Domain and IP IOCs - Marzec 2021
• Znane domeny grupy fosforu/adres IP
• Znane domeny grupy Forest Blizzard — lipiec 2019 r.
• Solorigate Network Beacon
• Szmaragdowe domeny zestawów zawarte w starciu DCU
• Znane skróty złośliwego oprogramowania Diamond Sleet Comebacker i Klackring
• Znane domeny i skróty zestawu języka Ruby
• Znane domeny i skróty NIKLU
• Midnight Blizzard — domena, skróty i IOC IP — maj 2021 r.
• Solorigate Network Beacon

Zawartość zabezpieczeń działania pliku

Następująca wbudowana zawartość działania pliku jest obsługiwana w przypadku normalizacji karty ASIM.

• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Skróty backdoor SUNBURST i SUPERNOVA (znormalizowane zdarzenia plików)
• Ujawnione luki w zabezpieczeniach serwera Exchange Server z marca 2021 r.
• Silk Typhoon UM Service zapisywania podejrzanego pliku
• Midnight Blizzard — domena, skróty i IOC IP — maj 2021 r.
• Tworzenie pliku dziennika SUNSPOT
• Znane skróty złośliwego oprogramowania Diamond Sleet Comebacker i Klackring
• Cadet Blizzard Aktor MKOl - styczeń 2022
• Midnight Blizzard IOCs związane z FoggyWeb backdoor

Zawartość zabezpieczeń sesji sieciowej

Następująca wbudowana zawartość związana z sesją sieciową jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Podstawy sesji sieciowej
• Wykrywanie luk w zabezpieczeniach log4j
• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Luka w zabezpieczeniach log4j wykorzystująca lukę w zabezpieczeniach typu Log4Shell ip IOC
• Nadmierna liczba nieudanych połączeń z jednego źródła (schemat sesji sieciowej ASIM)
• Potencjalne działanie sygnału nawigacyjnego (schemat sesji sieciowej ASIM)
• (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia sesji sieciowej (schemat sesji sieciowej ASIM)
• Wykryto skanowanie portów (schemat sesji sieciowej ASIM)
• Znane adresy IP Barium
• Ujawnione luki w zabezpieczeniach serwera Exchange Server z marca 2021 r.
• [Znany seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard — domena, skróty i IOC IP — maj 2021 r.
• Znane domeny grupy Forest Blizzard — lipiec 2019 r.

Zapytania dotyczące wyszukiwania zagrożeń

• Połączenie z zewnętrznego adresu IP do portów powiązanych z usługą OMI

Zawartość zabezpieczeń działań procesów

Następująca wbudowana zawartość działania procesu jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Podstawy programu Endpoint Threat Protection
• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Prawdopodobne użycie narzędzia Recon AdFind (znormalizowane zdarzenia procesu)
• Wiersze poleceń procesu systemu Windows zakodowane w formacie Base64 (znormalizowane zdarzenia procesu)
• Złośliwe oprogramowanie w koszu (znormalizowane zdarzenia procesu)
• Midnight Blizzard — podejrzane rundll32.exe wykonywanie skryptu vbscript (Znormalizowane zdarzenia procesów)
• SUNBURST podejrzanych procesów podrzędnych SolarWinds (znormalizowane zdarzenia procesów)

Zapytania dotyczące wyszukiwania zagrożeń

• Podział dziennego podsumowania skryptu cscript (znormalizowane zdarzenia procesów)
• Wyliczanie użytkowników i grup (znormalizowane zdarzenia procesu)
• Dodano przystawkę programu Exchange PowerShell (znormalizowane zdarzenia procesu)
• Eksportowanie skrzynki pocztowej hosta i usuwanie eksportu (znormalizowane zdarzenia procesu)
• Invoke-PowerShellTcpOneLine Usage (Znormalizowane zdarzenia procesu)
• Odwrotna powłoka TCP Nishang w base64 (znormalizowane zdarzenia procesu)
• Podsumowanie użytkowników utworzonych przy użyciu nietypowych/nieudokumentowanych przełączników wiersza polecenia (znormalizowane zdarzenia procesu)
• Pobieranie usługi Powercat (znormalizowane zdarzenia procesu)
• Pobieranie programu PowerShell (znormalizowane zdarzenia procesów)
• Entropia procesów dla danego hosta (znormalizowane zdarzenia procesu)
• Zapasy SolarWinds (znormalizowane zdarzenia procesów)
• Podejrzane wyliczenie przy użyciu narzędzia Adfind (znormalizowane zdarzenia procesu)
• Zamykanie/ponowne uruchamianie systemu Windows (znormalizowane zdarzenia procesu)
• Certutil (LOLBins i LOLScripts, znormalizowane zdarzenia procesów)
• Rundll32 (LOLBins i LOLScripts, Znormalizowane zdarzenia procesów)
• Nietypowe procesy — dolne 5% (znormalizowane zdarzenia procesów)
• Zaciemnianie Unicode w wierszu polecenia

Zawartość zabezpieczeń działań rejestru

Następująca wbudowana zawartość działania rejestru jest obsługiwana w przypadku normalizacji karty ASIM.

Reguły analizy

• Potencjalne obejście kontroli dostępu użytkownika fodhelper (wersja ASIM)

Zapytania dotyczące wyszukiwania zagrożeń

• Utrwalanie za pomocą klucza rejestru IFEO

Zawartość zabezpieczeń sesji sieci Web

Następująca wbudowana zawartość związana z sesją internetową jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

• Wykrywanie luk w zabezpieczeniach log4j
• Analiza zagrożeń

Reguły analizy

• (Wersja zapoznawcza) Ti mapuje jednostkę domeny na zdarzenia sesji sieci Web (schemat sesji sieci Web ASIM)
• (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia sesji internetowej (schemat sesji internetowej ASIM)
• Potencjalna komunikacja z nazwą hosta opartą na algorytmie generowania domeny (schemat sesji sieciowej ASIM)
• Klient złożył żądanie internetowe do potencjalnie szkodliwego pliku (schemat sesji internetowej ASIM)
• Host potencjalnie uruchamia górnik kryptograficzny (schemat sesji internetowej ASIM)
• Host potencjalnie uruchamia narzędzie hakerskie (schemat sesji internetowej ASIM)
• Host potencjalnie uruchamia program PowerShell do wysyłania żądań HTTP(S) (schemat sesji internetowej ASIM)
• Niezgoda pobieranie ryzykownych plików CDN (schemat sesji internetowej ASIM)
• Nadmierna liczba niepowodzeń uwierzytelniania HTTP ze źródła (schemat sesji internetowej ASIM)
• Znane domeny barium
• Znane adresy IP Barium
• Znane domeny i skróty zestawu języka Ruby
• Znany adres IP blizzarda seashell
• Znane domeny i skróty NIKLU
• Midnight Blizzard - Domain and IP IOCs - Marzec 2021
• Midnight Blizzard — domena, skróty i IOC IP — maj 2021 r.
• Znane domeny grupy fosforu/adres IP
• Wyszukiwanie agenta użytkownika pod kątem próby wykorzystania log4j

Następne kroki

W tym artykule omówiono zawartość usługi Advanced Security Information Model (ASIM).

Aby uzyskać więcej informacji, zobacz:

• Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Modyfikowanie zawartości usługi Microsoft Sentinel w celu używania analizatorów advanced Security Information Model (ASIM)