Conteúdo de segurança ASIM (Advanced Security Information Model) (Visualização pública)

O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras de análise, consultas de caça e pastas de trabalho que funcionam com analisadores de normalização unificadores.

Você pode encontrar conteúdo interno normalizado nas galerias e soluções do Microsoft Sentinel, criar seu próprio conteúdo normalizado ou modificar o conteúdo existente para usar dados normalizados.

Este artigo lista o conteúdo interno do Microsoft Sentinel que foi configurado para oferecer suporte ao ASIM (Advanced Security Information Model). Embora os links para o repositório GitHub do Microsoft Sentinel sejam fornecidos abaixo como referência, você também pode encontrar essas regras na galeria de regras do Microsoft Sentinel Analytics. Use as páginas vinculadas do GitHub para copiar quaisquer consultas de caça relevantes.

Para entender como o conteúdo normalizado se encaixa na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.

Gorjeta

Assista também ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides. Para obter mais informações, veja Passos seguintes.

Importante

ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Conteúdo de segurança de autenticação

O seguinte conteúdo de autenticação interna é suportado para normalização do ASIM.

Regras de análise

• Potencial ataque de pulverização de senha (usa normalização de autenticação)
• Ataque de força bruta contra credenciais de usuário (usa normalização de autenticação)
• Login de usuário de diferentes países/regiões dentro de 3 horas (Usa normalização de autenticação)
• Entradas de IPs que tentam entrar em contas desabilitadas (Usa normalização de autenticação)

Conteúdo de segurança de consulta DNS

O seguinte conteúdo de consulta DNS interno é suportado para normalização do ASIM.

Soluções

• DNS Essentials
• Deteção de vulnerabilidade do Log4j
• Deteção de ameaças legada baseada no COI

Regras de análise

• (Pré-visualização) Entidade de domínio do mapa TI para eventos DNS (esquema DNS ASIM)
• (Pré-visualização) TI mapeia entidade IP para eventos DNS (esquema DNS ASIM)
• DGA potencial detetada (ASimDNS)
• Consultas DNS NXDOMAIN excessivas (esquema DNS ASIM)
• Eventos DNS relacionados a pools de mineração (Esquema DNS ASIM)
• Eventos DNS relacionados a proxies ToR (ASIM DNS Schema)
• Domínios de bário conhecidos
• Endereços IP de bário conhecidos
• Vulnerabilidades do Exchange Server divulgadas em março de 2021 IoC Match
• Domínios e hashes conhecidos do Tufão do Granito
• Conhecido Seashell Blizzard IP
• Midnight Blizzard - IOCs de Domínio e IP - março 2021
• Domínios conhecidos do grupo Fósforo/IP
• Domínios conhecidos do grupo Forest Blizzard - julho 2019
• Beacon de rede Solorigate
• Domínios Emerald Sleet incluídos na remoção do DCU
• Hashes conhecidos do malware Diamond Sleet Comebacker e Klackring
• Domínios e hashes conhecidos do Ruby Sleet
• Domínios e hashes conhecidos do NICKEL
• Midnight Blizzard - IOCs de domínio, hash e IP - maio 2021
• Beacon de rede Solorigate

Conteúdo de segurança da Atividade de Arquivo

O seguinte conteúdo interno de atividade de arquivo é suportado para normalização do ASIM.

• Deteção de ameaças legada baseada no COI

Regras do Google Analytics

• Hashes backdoor SUNBURST e SUPERNOVA (Eventos de Arquivo Normalizado)
• Vulnerabilidades do Exchange Server divulgadas em março de 2021 IoC Match
• Silk Typhoon UM Service escrevendo arquivo suspeito
• Midnight Blizzard - IOCs de domínio, hash e IP - maio 2021
• Criação do arquivo de log SUNSPOT
• Hashes conhecidos do malware Diamond Sleet Comebacker e Klackring
• Cadete Blizzard Ator IOC - janeiro 2022
• IOCs da Midnight Blizzard relacionados ao backdoor FoggyWeb

Conteúdo de segurança da sessão de rede

O seguinte conteúdo interno relacionado à sessão de rede é suportado para normalização do ASIM.

Soluções

• Noções básicas de sessão de rede
• Deteção de vulnerabilidade do Log4j
• Deteção de ameaças legada baseada no COI

Regras de análise

• Exploração da vulnerabilidade Log4j, também conhecida como Log4Shell IP IOC
• Número excessivo de conexões com falha de uma única fonte (esquema de sessão de rede ASIM)
• Atividade potencial de beaconing (esquema de sessão de rede ASIM)
• (Pré-visualização) TI mapeia entidade IP para eventos de sessão de rede (esquema de sessão de rede ASIM)
• Varredura de porta detetada (esquema de sessão de rede ASIM)
• Endereços IP de bário conhecidos
• Vulnerabilidades do Exchange Server divulgadas em março de 2021 IoC Match
• [Conhecido Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - IOCs de domínio, hash e IP - maio 2021
• Domínios conhecidos do grupo Forest Blizzard - julho 2019

Consultas de investigação

• Conexão de IP externo a portas relacionadas ao OMI

Conteúdo de segurança da atividade de processo

O seguinte conteúdo de atividade de processo interno é suportado para normalização do ASIM.

Soluções

• Fundamentos da Proteção contra Ameaças de Pontos Finais
• Deteção de ameaças legada baseada no COI

Regras de análise

• Provável uso da ferramenta AdFind Recon (eventos de processo normalizados)
• Linhas de comando de processo do Windows codificadas em Base64 (Eventos de Processo Normalizado)
• Malware na lixeira (Eventos de Processo Normalizado)
• Midnight Blizzard - execução suspeita de rundll32.exe de vbscript (Eventos de Processo Normalizado)
• SUNBURST processos filho suspeitos do SolarWinds (Eventos de Processo Normalizado)

Consultas de investigação

• Detalhamento de resumo diário do script Cscript (Eventos de Processo Normalizado)
• Enumeração de usuários e grupos (Eventos de Processo Normalizado)
• Snapin do Exchange PowerShell adicionado (eventos de processo normalizados)
• Host exportando caixa de correio e removendo exportação (eventos de processo normalizado)
• Uso de Invoke-PowerShellTcpOneLine (Eventos de Processo Normalizado)
• Nishang Reverse TCP Shell em Base64 (Eventos de Processo Normalizado)
• Resumo dos usuários criados usando opções de linha de comando incomuns/não documentadas (Eventos de Processo Normalizado)
• Download do Powercat (Eventos de processo normalizados)
• Downloads do PowerShell (Eventos de Processo Normalizado)
• Entropia para processos para um determinado host (eventos de processo normalizados)
• Inventário da SolarWinds (eventos de processo normalizados)
• Enumeração suspeita usando a ferramenta Adfind (Eventos de processo normalizados)
• Desligamento/reinicialização do sistema Windows (eventos de processo normalizados)
• Certutil (LOLBins e LOLScripts, eventos de processo normalizados)
• Rundll32 (LOLBins e LOLScripts, eventos de processo normalizados)
• Processos incomuns - 5% inferiores (Eventos de Processo Normalizado)
• Ofuscação Unicode na linha de comando

Conteúdo de segurança da atividade de registo

O seguinte conteúdo interno da atividade do registro é suportado para normalização do ASIM.

Regras de análise

• Potencial Fodhelper UAC Bypass (Versão ASIM)

Consultas de investigação

• Persistindo via chave de registro IFEO

Conteúdo de segurança da sessão da Web

O seguinte conteúdo interno relacionado à sessão da Web é suportado para normalização do ASIM.

Soluções

• Deteção de vulnerabilidade do Log4j
• Inteligência de ameaças

Regras de análise

• (Pré-visualização) Mapa de TI Entidade de domínio para eventos de sessão da Web (esquema de sessão da Web ASIM)
• (Pré-visualização) TI mapeia entidade IP para eventos de sessão da Web (esquema ASIM Web Session)
• Comunicação potencial com um nome de host baseado em algoritmo de geração de domínio (DGA) (esquema de sessão de rede ASIM)
• Um cliente fez uma solicitação da Web para um arquivo potencialmente prejudicial (esquema ASIM Web Session)
• Um host está potencialmente executando um minerador de criptografia (esquema ASIM Web Session)
• Um host está potencialmente executando uma ferramenta de hacking (esquema ASIM Web Session)
• Um host está potencialmente executando o PowerShell para enviar solicitações HTTP(S) (esquema ASIM Web Session)
• Download do arquivo Discord CDN Risky (esquema de sessão da Web ASIM)
• Número excessivo de falhas de autenticação HTTP de uma origem (esquema ASIM Web Session)
• Domínios de bário conhecidos
• Endereços IP de bário conhecidos
• Domínios e hashes conhecidos do Ruby Sleet
• Conhecido Seashell Blizzard IP
• Domínios e hashes conhecidos do NICKEL
• Midnight Blizzard - IOCs de Domínio e IP - março 2021
• Midnight Blizzard - IOCs de domínio, hash e IP - maio 2021
• Domínios conhecidos do grupo Fósforo/IP
• Pesquisa de agente de usuário para tentativa de exploração do log4j

Próximos passos

Este artigo discute o conteúdo do ASIM (Advanced Security Information Model).

Para obter mais informações, consulte:

• Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
• Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
• Esquemas ASIM (Advanced Security Information Model)
• Analisadores ASIM (Advanced Security Information Model)
• Usando o modelo avançado de informações de segurança (ASIM)
• Modificando o conteúdo do Microsoft Sentinel para usar os analisadores ASIM (Advanced Security Information Model)