進階安全性資訊模型 （ASIM） 安全性內容 （公開預覽）

Microsoft Sentinel 中的正規化安全性內容包括分析規則、搜捕查詢，以及搭配統一正規化剖析器使用的活頁簿。

您可以在Microsoft Sentinel 資源庫和 解決方案中找到標準化的內建內容、建立您自己的正規化內容，或修改現有的內容以使用標準化數據。

本文列出已設定為支援進階安全性資訊模型 （ASIM） 的內建Microsoft Sentinel 內容。 雖然下列提供Microsoft Sentinel GitHub 存放庫的鏈接作為參考，但您也可以在 Microsoft Sentinel Analytics 規則庫中找到這些規則。 使用連結的 GitHub 頁面來複製任何相關的搜捕查詢。

若要了解正規化內容如何放入 ASIM 架構，請參閱 ASIM 架構圖。

提示

另請觀看有關 Microsoft Sentinel 正規化剖析器和正規化內容的深入探討網路研討會，或檢閱投影片。 如需詳細資訊，請參閱後續步驟。

重要

ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

驗證安全性內容

ASIM 正規化支援下列內建驗證內容。

Analytics 規則

• 潛在的密碼噴灑攻擊 （使用驗證正規化）
• 針對使用者認證的暴力密碼破解攻擊 （使用驗證正規化）
• 3 小時內來自不同國家/地區的使用者登入（使用驗證正規化）
• 嘗試登入已停用帳戶的 IP 登入（使用驗證正規化）

DNS 查詢安全性內容

ASIM 正規化支援下列內建 DNS 查詢內容。

方案

• DNS Essentials
• Log4j 弱點偵測
• 舊版 IOC 型威脅偵測

Analytics 規則

• （預覽）TI 將網域實體對應至 DNS 事件 （ASIM DNS 架構）
• （預覽）TI 會將 IP 實體對應至 DNS 事件 （ASIM DNS 架構）
• 偵測到潛在的 DGA （ASimDNS）
• 過多的 NXDOMAIN DNS 查詢 （ASIM DNS 架構）
• 與採礦集區相關的 DNS 事件（ASIM DNS 架構）
• 與 ToR Proxy 相關的 DNS 事件 （ASIM DNS 架構）
• 已知的Barium網域
• 已知的BariumIP位址
• Exchange Server 弱點已披露 2021 年 3 月 IoC 相符專案
• 已知的花崗岩颱風網域和哈希
• 已知的 Seashell 暴風雪 IP
• 午夜暴風雪 - 網域和IP IOC - 2021年3月
• 已知的磷群組網域/IP
• 已知的樹系暴風雪群組網域 - 2019 年 7 月
• Solorigate 網路指標
• DCU 降級中包含的祖母綠 Sleet 網域
• 已知的鑽石 Sleet 複出器和 Klackring 惡意代碼哈希
• 已知的 Ruby Sleet 網域和哈希
• 已知的 NICKEL 網域和哈希
• 午夜暴風雪 - 網域、哈希和IP IOC - 2021年5月
• Solorigate 網路指標

檔案活動安全性內容

ASIM 正規化支援下列內建檔案活動內容。

• 舊版 IOC 型威脅偵測

分析規則

• SUNBURST 和 SUPERNOVA 後門哈希 （標準化檔案事件）
• Exchange Server 弱點已披露 2021 年 3 月 IoC 相符專案
• 絲綢颱風 UM 服務寫入可疑檔案
• 午夜暴風雪 - 網域、哈希和IP IOC - 2021年5月
• SUNSPOT 記錄檔建立
• 已知的鑽石 Sleet 複出器和 Klackring 惡意代碼哈希
• 學員暴風雪演員國際奧會 - 2022 年 1 月
• 午夜暴風雪 IOC 與 FoggyWeb 後門相關

網路會話安全性內容

ASIM 正規化支援下列內建網路會話相關內容。

方案

• 網路會話基本概念
• Log4j 弱點偵測
• 舊版 IOC 型威脅偵測

Analytics 規則

• Log4j 弱點惡意探索，也稱為Log4Shell IP IOC
• 來自單一來源的太多失敗連線 （ASIM 網路工作階段架構）
• 潛在的指標活動 （ASIM 網路工作階段架構）
• （預覽）TI 會將 IP 實體對應至網路工作階段事件 （ASIM 網路工作階段架構）
• 偵測到連接埠掃描 （ASIM 網路作業階段架構）
• 已知的BariumIP位址
• Exchange Server 弱點已披露 2021 年 3 月 IoC 相符專案
• [已知的 Seashell 暴風雪 IP（https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• 午夜暴風雪 - 網域、哈希和IP IOC - 2021年5月
• 已知的樹系暴風雪群組網域 - 2019 年 7 月

搜捕查詢

• 從外部IP連線到 OMI 相關埠

處理活動安全性內容

ASIM 正規化支援下列內建進程活動內容。

方案

• Endpoint Threat Protection Essentials
• 舊版 IOC 型威脅偵測

Analytics 規則

• 可能 AdFind 對帳工具使用方式 （標準化進程事件）
• Base64 編碼的 Windows 行程命令行 （標準化進程事件）
• 資源回收站中的惡意代碼 （標準化進程事件）
• 午夜暴風雪 - 可疑rundll32.exe執行 vbscript （標準化進程事件）
• SUNBURST 可疑的 SolarWinds 子進程 （標準化進程事件）

搜捕查詢

• Cscript 文稿每日摘要明細 （標準化進程事件）
• 使用者與群組的列舉 （標準化進程事件）
• 已新增 Exchange PowerShell 嵌入式管理單元 （標準化進程事件）
• 主機匯出信箱和移除匯出 （標準化進程事件）
• Invoke-PowerShellTcpOneLine 使用方式 （標準化進程事件）
• Base64 中的 Nishang 反向 TCP 殼層 （標準化進程事件）
• 使用不常見/ 未記載命令列參數建立的使用者摘要 （標準化進程事件）
• Powercat 下載 （標準化進程事件）
• PowerShell 下載 （標準化進程事件）
• 指定主機之進程的 Entropy （標準化進程事件）
• SolarWinds 清查 （標準化進程事件）
• 使用 Adfind 工具的可疑列舉 （標準化進程事件）
• Windows 系統關機/重新啟動 （標準化進程事件）
• Certutil （LOLBins 和 LOLScripts，標準化進程事件）
• Rundll32 （LOLBins 和 LOLScripts，標準化進程事件）
• 不常見的行程 - 底部 5% （標準化進程事件）
• 命令行中的 Unicode 混淆

登錄活動安全性內容

ASIM 正規化支援下列內建登錄活動內容。

Analytics 規則

• 潛在的 Fodhelper UAC 略過 （ASIM 版本）

搜捕查詢

• 透過 IFEO 登錄機碼保存

Web 工作話安全性內容

ASIM 正規化支援下列內建 Web 工作階段相關內容。

方案

• Log4j 弱點偵測
• 威脅情報

Analytics 規則

• （預覽）TI 會將網域實體對應至 Web 工作階段事件 （ASIM Web 工作階段架構）
• （預覽）TI 會將 IP 實體對應至 Web 工作階段事件 （ASIM Web 工作階段架構）
• 與網域產生演算法 （DGA） 型主機名的潛在通訊 （ASIM 網路工作架構）
• 用戶端向可能有害的檔案提出 Web 要求（ASIM Web 工作階段架構）
• 主機可能正在執行密碼編譯礦工 （ASIM Web 會話架構）
• 主機可能正在執行駭客工具 （ASIM Web 工作階段架構）
• 主機可能會執行 PowerShell 來傳送 HTTP（S） 要求（ASIM Web 會話架構）
• 不和諧的 CDN 風險檔案下載 （ASIM Web 工作階段架構）
• 來源的 HTTP 驗證失敗過多（ASIM Web 工作階段架構）
• 已知的Barium網域
• 已知的BariumIP位址
• 已知的 Ruby Sleet 網域和哈希
• 已知的 Seashell 暴風雪 IP
• 已知的 NICKEL 網域和哈希
• 午夜暴風雪 - 網域和IP IOC - 2021年3月
• 午夜暴風雪 - 網域、哈希和IP IOC - 2021年5月
• 已知的磷群組網域/IP
• 使用者代理程式搜尋log4j惡意探索嘗試

下一步

本文討論進階安全性資訊模型 (ASIM) 內容。

如需詳細資訊，請參閱

• 請觀看有關 Microsoft Sentinel 標準化剖析器和標準化內容的深入探討網路研討會，或檢閱投影片
• 進階安全性資訊模型 (ASIM) 概觀
• 進階安全性資訊模型 (ASIM) 結構描述
• 進階安全性資訊模型 (ASIM) 剖析器
• 使用進階安全性資訊模型 （ASIM）
• 修改Microsoft Sentinel 內容以使用進階安全性資訊模型 （ASIM） 剖析器