Содержимое безопасности модели расширенной информации о безопасности (ASIM) (общедоступная предварительная версия)

Нормализованное содержимое безопасности в Microsoft Sentinel включает правила аналитики, запросы охоты и книги, работающие с унифицирующими средствами синтаксического анализа для нормализации.

Вы можете найти нормализованное встроенное содержимое в коллекциях и решениях Microsoft Sentinel, создать собственное нормализованное содержимое или изменить существующее содержимое для использования нормализованных данных.

В этой статье приведено встроенное содержимое Microsoft Sentinel, которое было настроено для поддержки модели расширенной информации о безопасности (ASIM). Ниже приведены для справки ссылки на репозиторий Microsoft Sentinel на GitHub, однако эти правила также можно найти в коллекции правил аналитики Microsoft Sentinel. Для копирования нужных запросов охоты используйте соответствующие страницы GitHub.

Чтобы понять, как нормализованное содержимое вписывается в архитектуру ASIM, изучите схему архитектуры ASIM.

Совет

Также ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды. Дополнительные сведения см. в разделе Дальнейшие действия.

Внимание

ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Содержимое безопасности для проверки подлинности

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для проверки подлинности.

Правила аналитики

• Потенциальная атака путем распыления пароля (использует нормализацию проверки подлинности)
• Атака методом подбора на учетные данные пользователя (использует нормализацию проверки подлинности)
• Вход пользователя из разных стран или регионов в течение 3 часов (использует нормализацию проверки подлинности)
• Входы с IP-адресов в отключенные учетные записи (использует нормализацию проверки подлинности)

Содержимое безопасности для запросов DNS

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для запросов DNS.

Решения

• DNS Essentials
• Обнаружение уязвимостей Log4j
• Устаревшее обнаружение угроз на основе IOC

Правила аналитики

• (Предварительная версия) TI сопоставляет объект домена с событиями DNS (схема ASIM DNS)
• (Предварительная версия) TI сопоставляет объект IP с событиями DNS (схема ASIM DNS)
• Обнаружено потенциальное использование DGA (ASimDNS)
• Чрезмерное количество DNS-запросов NXDOMAIN (схема ASIM DNS)
• События DNS, связанные с пулами для майнинга (схема ASIM DNS)
• События DNS, связанные с прокси-серверами для ToR (схема ASIM DNS)
• Известные домены Barium
• Известные IP-адреса Barium
• Совпадение по индикаторам компрометации для уязвимостей Exchange Server, о которых было сообщено в марте 2021 г.
• Известные домены и хэши гранита тайфуна
• Известный IP-адрес Seashell Blizzard
• Полночь Метель — доменные и IP-адреса — март 2021 г.
• Известные домены и IP-адреса группы Phosphorus
• Известные домены группы Forest Blizzard — июль 2019 г.
• Маяк сети Solorigate Network
• Изумрудный sleet домены, включенные в очистку DCU
• Известные хэши вредоносных программ Diamond Sleet Comebacker и Klackring
• Известные домены и хэши Ruby Sleet
• Известные домены и хэши NICKEL
• Полночь Метель — домен, хэш и IP-операции ввода-вывода — май 2021 г.
• Маяк сети Solorigate Network

Содержимое безопасности для действий с файлами

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с файлами.

• Устаревшее обнаружение угроз на основе IOC

Правила аналитики

• Хэши программ-троянов SUNBURST и SUPERNOVA (нормализованные события файлов)
• Совпадение по индикаторам компрометации для уязвимостей Exchange Server, о которых было сообщено в марте 2021 г.
• Служба единой системы обмена сообщениями Silk Typehoon, написав подозрительный файл
• Полночь Метель — домен, хэш и IP-операции ввода-вывода — май 2021 г.
• Создание файла журнала SUNSPOT
• Известные хэши вредоносных программ Diamond Sleet Comebacker и Klackring
• Кадет Метель актер МОК - январь 2022 г.
• Полночь IoCs, связанные с backdoor FoggyWeb

Содержимое безопасности сетевого сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с сетевыми сеансами.

Решения

• Основные сведения о сеансах сети
• Обнаружение уязвимостей Log4j
• Устаревшее обнаружение угроз на основе IOC

Правила аналитики

• Эксплойт уязвимости Log4j, также известной как Log4Shell IP IOC
• Чрезмерное число неудачных подключений из одного источника (схема сетевого сеанса ASIM)
• Потенциальная маячковая активность (схема сетевого сеанса ASIM)
• (Предварительная версия) TI сопоставляет объект IP с событиями сетевого сеанса (схема сетевого сеанса ASIM)
• Обнаружено сканирование портов (схема сетевого сеанса ASIM)
• Известные IP-адреса Barium
• Совпадение по индикаторам компрометации для уязвимостей Exchange Server, о которых было сообщено в марте 2021 г.
• [Известный IP-адрес Seashell Blizzard(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Полночь Метель — домен, хэш и IP-операции ввода-вывода — май 2021 г.
• Известные домены группы Forest Blizzard — июль 2019 г.

Запросы слежения

• Подключение с внешнего IP-адреса к портам, связанным с OMI

Содержимое безопасности для действий с процессами

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с процессами.

Решения

• Основные компоненты Endpoint Threat Protection
• Устаревшее обнаружение угроз на основе IOC

Правила аналитики

• Возможное использование инструмента AdFind Recon (нормализованные события процесса)
• Командные строки процесса Windows в кодировке Base64 (нормализованные события процесса)
• Вредоносные программы в корзине (нормализованные события процесса)
• Полночь Метель — подозрительное rundll32.exe выполнение vbscript (нормализованные события процесса)
• SUNBURST — подозрительные дочерние процессы SolarWinds (нормализованные события процесса)

Запросы слежения

• Ежедневное разбиение сводки сценария cscript (нормализованные события процесса)
• Перечисление пользователей и групп (нормализованные события процесса)
• Добавлена оснастка Exchange PowerShell (нормализованные события процесса)
• Узел экспортирует почтовый ящик и удаляет экспорт (нормализованные события процесса)
• Использование Invoke-PowerShellTcpOneLine (нормализованные события процесса)
• Обратная оболочка TCP Nishang в кодировке Base64 (нормализованные события процесса)
• Сводка о пользователях, созданная с помощью нестандартных или недокументированных параметров командной строки (нормализованные события процесса)
• Загрузка Powercat (нормализованные события процесса)
• Загрузки PowerShell (нормализованные события процесса)
• Энтропия для процессов для заданного узла (нормализованные события процесса)
• Запасы SolarWinds (нормализованные события процесса)
• Подозрительное перечисление с помощью средства AdFind (нормализованные события процесса)
• Завершение работы/перезагрузка системы Windows (нормализованные события процесса)
• Certutil (LOLBins и LOLScripts, нормализованные события процесса)
• Rundll32 (LOLBins и LOLScripts, нормализованные события процесса)
• Нестандартные процессы — нижнее значение 5 % (нормализованные события процесса)
• Маскировка Юникода в командной строке

Содержимое безопасности для действий с реестром

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с реестром.

Правила аналитики

• Потенциальный обход контроля учетных записей Fodhelper (версия ASIM)

Запросы слежения

• Сохранение с помощью раздела реестра IFEO

Содержимое безопасности веб-сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с веб-сеансами.

Решения

• Обнаружение уязвимостей Log4j
• Аналитика угроз

Правила аналитики

• (Предварительная версия) TI сопоставляет объект домена с событиями веб-сеанса (схема веб-сеанса ASIM)
• (Предварительная версия) TI сопоставляет объект IP с событиями веб-сеанса (схема веб-сеанса ASIM)
• Потенциальная связь с именем узла, полученного с помощью алгоритма создания доменов (DGA) (схема сетевого сеанса ASIM)
• Клиент сделал веб-запрос к потенциально вредоносному файлу (схема веб-сеанса ASIM)
• На узле потенциально выполняется майнер криптовалют (схема веб-сеанса ASIM)
• На узле потенциально выполняется средство взлома (схема веб-сеанса ASIM)
• На узле потенциально выполняются сценарии PowerShell для отправки HTTP-запросов (схема веб-сеанса ASIM)
• Загрузка опасного файла Discord CDN (схема веб-сеанса ASIM)
• Чрезмерное число неудачных проверок подлинности HTTP из источника (схема веб-сеанса ASIM)
• Известные домены Barium
• Известные IP-адреса Barium
• Известные домены и хэши Ruby Sleet
• Известный IP-адрес Seashell Blizzard
• Известные домены и хэши NICKEL
• Полночь Метель — доменные и IP-адреса — март 2021 г.
• Полночь Метель — домен, хэш и IP-операции ввода-вывода — май 2021 г.
• Известные домены и IP-адреса группы Phosphorus
• Поиск агента пользователя для попытки использования уязвимости log4j

Следующие шаги

В этой статье рассматривается содержимое модели расширенной информации о безопасности (ASIM).

Дополнительные сведения см. в разделе:

• Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
• Обзор расширенной информационной модели безопасности (ASIM)
• Схемы расширенной информационной модели безопасности (ASIM)
• Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
• Использование расширенной информационной модели безопасности (ASIM)
• Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)