Asim-säkerhetsinnehåll (Advanced Security Information Model) (Offentlig förhandsversion)

Normaliserat säkerhetsinnehåll i Microsoft Sentinel innehåller analysregler, jaktfrågor och arbetsböcker som fungerar med enhetlig normaliseringsparsers.

Du kan hitta normaliserat, inbyggt innehåll i Microsoft Sentinel-gallerier och -lösningar, skapa ditt eget normaliserade innehåll eller ändra befintligt innehåll så att det använder normaliserade data.

Den här artikeln innehåller inbyggt Microsoft Sentinel-innehåll som har konfigurerats för att stödja ASIM (Advanced Security Information Model). Länkar till Microsoft Sentinel GitHub-lagringsplatsen finns nedan som referens, men du kan också hitta dessa regler i Microsoft Sentinel Analytics-regelgalleriet. Använd de länkade GitHub-sidorna för att kopiera relevanta jaktfrågor.

Information om hur normaliserat innehåll passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Dricks

Titta också på webbseminariet djupdykning på Microsoft Sentinel Normalisera parsers och normaliserat innehåll eller granska bilderna. Mer information finns under Nästa steg.

Viktigt!

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Säkerhetsinnehåll för autentisering

Följande inbyggda autentiseringsinnehåll stöds för ASIM-normalisering.

Analysregler

• Potentiell lösenordssprayattack (använder autentiseringsnormalisering)
• Brute force-attack mot användarautentiseringsuppgifter (använder autentiseringsnormalisering)
• Användarinloggning från olika länder/regioner inom 3 timmar (använder autentiseringsnormalisering)
• Inloggningar från IP-adresser som försöker logga in på inaktiverade konton (använder autentiseringsnormalisering)

DNS-frågesäkerhetsinnehåll

Följande inbyggda DNS-frågeinnehåll stöds för ASIM-normalisering.

Lösningar

• DNS Essentials
• Log4j Sårbarhetsidentifiering
• Äldre IOK-baserad hotidentifiering

Analysregler

• (Förhandsversion) TI mappar domänentitet till DNS-händelser (ASIM DNS-schema)
• (Förhandsversion) TI mappar IP-entitet till DNS-händelser (ASIM DNS-schema)
• Potentiell DGA har identifierats (ASimDNS)
• Överdrivna NXDOMAIN DNS-frågor (ASIM DNS-schema)
• DNS-händelser relaterade till gruvpooler (ASIM DNS-schema)
• DNS-händelser relaterade till ToR-proxyservrar (ASIM DNS-schema)
• Kända Barium-domäner
• Kända Barium IP-adresser
• Sårbarheter i Exchange Server som avslöjades mars 2021 IoC-matchning
• Kända Granite Typhoon domäner och hashvärden
• Kända Seashell Blizzard IP
• Midnight Blizzard – Domän och IP-IOCs – mars 2021
• Kända fosforgruppdomäner/IP
• Kända Forest Blizzard-gruppdomäner – juli 2019
• Solorigate Network Beacon
• Emerald Sleet-domäner som ingår i DCU-borttagning
• Kända Diamond Sleet Comebacker och Klackring malware hashes
• Kända Ruby Sleet-domäner och hashvärden
• Kända NICKEL-domäner och hashvärden
• Midnight Blizzard – Domän, Hash och IP IOCs – maj 2021
• Solorigate Network Beacon

Säkerhetsinnehåll för filaktivitet

Följande inbyggda filaktivitetsinnehåll stöds för ASIM-normalisering.

• Äldre IOK-baserad hotidentifiering

Analysregler

• SUNBURST- och SUPERNOVA-bakdörrshashvärden (normaliserade filhändelser)
• Sårbarheter i Exchange Server som avslöjades mars 2021 IoC-matchning
• Silk Typhoon UM Service skriver misstänkt fil
• Midnight Blizzard – Domän, Hash och IP IOCs – maj 2021
• SKAPA SUNSPOT-loggfil
• Kända Diamond Sleet Comebacker och Klackring malware hashes
• Cadet Blizzard Skådespelare IOK - Januari 2022
• Midnight Blizzard IOCs relaterade till FoggyWeb bakdörr

Säkerhetsinnehåll för nätverkssessioner

Följande inbyggda nätverkssessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar

• Grundläggande om nätverkssession
• Log4j Sårbarhetsidentifiering
• Äldre IOK-baserad hotidentifiering

Analysregler

• Log4j sårbarhetsexploatering aka Log4Shell IP IOC
• Överdrivet antal misslyckade anslutningar från en enda källa (ASIM-nätverkssessionsschema)
• Potentiell beaconing-aktivitet (ASIM-nätverkssessionsschema)
• (Förhandsversion) TI mappar IP-entitet till nätverkssessionshändelser (ASIM-nätverkssessionsschema)
• Portgenomsökning har identifierats (ASIM-nätverkssessionsschema)
• Kända Barium IP-adresser
• Sårbarheter i Exchange Server som avslöjades mars 2021 IoC-matchning
• [Kända Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard – Domän, Hash och IP IOCs – maj 2021
• Kända Forest Blizzard-gruppdomäner – juli 2019

Jaktfrågor

• Anslutning från extern IP-adress till OMI-relaterade portar

Bearbeta aktivitetssäkerhetsinnehåll

Följande inbyggda processaktivitetsinnehåll stöds för ASIM-normalisering.

Lösningar

• Endpoint Threat Protection Essentials
• Äldre IOK-baserad hotidentifiering

Analysregler

• Sannolik användning av AdFind Recon Tool (normaliserade processhändelser)
• Base64-kodade kommandorader för Windows-process (normaliserade processhändelser)
• Skadlig kod i papperskorgen (normaliserade processhändelser)
• Midnight Blizzard – misstänkt rundll32.exe körning av vbscript (normaliserade processhändelser)
• SUNBURST misstänkta SolarWinds-underordnade processer (normaliserade processhändelser)

Jaktfrågor

• Daglig sammanfattningssammanfattning för Cscript-skript (normaliserade processhändelser)
• Uppräkning av användare och grupper (normaliserade processhändelser)
• Exchange PowerShell Snapin har lagts till (normaliserade processhändelser)
• Värd som exporterar postlåda och tar bort export (normaliserade processhändelser)
• Invoke-PowerShellTcpOneLine-användning (normaliserade processhändelser)
• Nishang Reverse TCP Shell i Base64 (normaliserade processhändelser)
• Sammanfattning av användare som skapats med hjälp av ovanliga/odokumenterade kommandoradsväxlar (normaliserade processhändelser)
• Powercat-nedladdning (normaliserade processhändelser)
• PowerShell-nedladdningar (normaliserade processhändelser)
• Entropi för processer för en viss värd (normaliserade processhändelser)
• SolarWinds-inventering (normaliserade processhändelser)
• Misstänkt uppräkning med hjälp av verktyget Adfind (normaliserade processhändelser)
• Avstängning/omstart av Windows-system (normaliserade processhändelser)
• Certutil (LOLBins och LOLScripts, normaliserade processhändelser)
• Rundll32 (LOLBins och LOLScripts, normaliserade processhändelser)
• Ovanliga processer – nedersta 5 % (normaliserade processhändelser)
• Unicode Obfuscation i kommandoraden

Säkerhetsinnehåll för registeraktivitet

Följande inbyggda registeraktivitetsinnehåll stöds för ASIM-normalisering.

Analysregler

• Potentiell Fodhelper UAC Bypass (ASIM-version)

Jaktfrågor

• Spara via IFEO-registernyckel

Säkerhetsinnehåll för webbsessioner

Följande inbyggda webbsessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar

• Log4j Sårbarhetsidentifiering
• Hotinformation

Analysregler

• (Förhandsversion) TI mappar domänentitet till webbsessionshändelser (ASIM-webbsessionsschema)
• (Förhandsversion) TI mappar IP-entitet till webbsessionshändelser (ASIM-webbsessionsschema)
• Potentiell kommunikation med ett DGA-baserat värdnamn (ASIM Network Session-schema)
• En klient gjorde en webbbegäran till en potentiellt skadlig fil (ASIM-webbsessionsschema)
• En värd kör potentiellt en kryptominerare (ASIM-webbsessionsschema)
• En värd kör potentiellt ett hackningsverktyg (ASIM-webbsessionsschema)
• En värd kör eventuellt PowerShell för att skicka HTTP-begäranden (ASIM-webbsessionsschema)
• Discord CDN Risky File Download (ASIM Web Session Schema)
• För många HTTP-autentiseringsfel från en källa (ASIM-webbsessionsschema)
• Kända Barium-domäner
• Kända Barium IP-adresser
• Kända Ruby Sleet-domäner och hashvärden
• Kända Seashell Blizzard IP
• Kända NICKEL-domäner och hashvärden
• Midnight Blizzard – Domän och IP-IOCs – mars 2021
• Midnight Blizzard – Domän, Hash och IP IOCs – maj 2021
• Kända fosforgruppdomäner/IP
• Sök efter log4j-exploateringsförsök för användaragent

Nästa steg

I den här artikeln beskrivs ASIM-innehållet (Advanced Security Information Model).

Mer information finns i:

• Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parsare och normaliserat innehåll eller granska bilderna
• Översikt över Advanced Security Information Model (ASIM)
• ASIM-scheman (Advanced Security Information Model)
• Asim-parsers (Advanced Security Information Model)
• Använda ASIM (Advanced Security Information Model)
• Ändra Microsoft Sentinel-innehåll till att använda ASIM-parsarna (Advanced Security Information Model)