محتوى أمان نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)

يتضمن محتوى الأمان الذي تمت تسويته في Microsoft Sentinel قواعد التحليلات واستعلامات التتبع والمصنفات التي تعمل باستخدام توحيد محللات الوضع الطبيعي.

يمكنك العثور على المحتوى المُضمّن الذي تمت تسويته في معارض وحلول Microsoft Azure Sentinel، أو إنشاء محتوى تمت تسويته خاص بك، أو تعديل المحتوى الحالي لاستخدام البيانات التي تمت تسويتها.

تسرد هذه المقالة محتوى Microsoft Azure Sentinel المُضمّن الذي تم تكوينه لدعم نموذج معلومات الأمان المتقدم (ASIM). بينما يتم توفير ارتباطات إلى مستودع Microsoft Sentinel GitHub كمرجع، يمكنك أيضا العثور على هذه القواعد في معرض قواعد Microsoft Sentinel Analytics. استخدم صفحات GitHub المرتبطة لنسخ أي استعلامات تتبع ذات صلة.

لفهم طريقة تناسب المحتوى العادي ضمن بنية ASIM، راجع مخطط بنية ASIM.

تلميح

شاهد أيضاً ندوة الإنترنت المتعمقة حول محللات تسوية Microsoft Azure Sentinel والمحتوى الذي تمت تسويته أو راجع الشرائح. لمزيد من المعلومات، راجع الخطوات التالية.

هام

ASIM في وضع PREVIEW حاليًا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

محتوى أمان المصادقة

يتم دعم محتوى المصادقة المُضمّن التالي لتسوية ASIM.

قواعد التحليلات

• الهجوم بنشر كلمة المرور المحتمل (يستخدم تسوية المصادقة)
• هجوم القوة الغاشمة على بيانات اعتماد المستخدم (يستخدم تسوية المصادقة)
• تسجيل دخول المستخدم من بلدان/مناطق مختلفة في غضون 3 ساعات (يستخدم تسوية المصادقة)
• عمليات تسجيل الدخول من عناوين IP التي تحاول تسجيل الدخول إلى الحسابات المعطلة (يستخدم تسوية المصادقة)

محتوى أمان نشاط الملف

يتم دعم محتوى نشاط الملف المُضمّن التالي لتسوية ASIM.

• الكشف عن التهديدات القديمة المستندة إلى IOC

قواعد التحليلات

• تجزئات تقنية الباب الخلفي SUNBURST وSUPERNOVA (أحداث الملفات التي تمت تسويتها)

محتوى أمان نشاط التسجيل

يتم دعم محتوى نشاط التسجيل المُضمّن التالي لتسوية ASIM.

قواعد التحليلات

• تجاوز Fodhelper UAC المحتمل (إصدار ASIM)

باستعلامات الاصطياد

• الاستمرار عبر مفتاح تسجيل IFEO

محتوى أمان استعلام DNS

يتم دعم محتوى استعلام DNS المُضمّن التالي لتسوية ASIM.

الحلول	قواعد التحليلات
أساسيات DNS الكشف عن الثغرات الأمنية Log4j الكشف عن التهديدات القديمة المستندة إلى IOC	(معاينة) تعيين TI لكيان المجال إلى أحداث DNS (مخطط ASIM DNS) (معاينة) تعيين TI لكيان IP إلى أحداث DNS (مخطط ASIM DNS) DGA المحتملة التي تم الكشف عنها (ASimDNS) استعلامات NXDOMAIN DNS الزائدة (مخطط ASIM DNS) أحداث DNS المتعلقة بتجمعات التنقيب (مخطط ASIM DNS) أحداث DNS المتعلقة بوكلاء ToR (مخطط ASIM DNS) مجالات مجموعة غابة ثلجية معروفة - يوليو 2019

محتوى أمان جلسة الشبكة

يتم دعم المحتوى التالي المرتبط بجلسة الشبكة المُضمّنة لتسوية ASIM.

الحلول	قواعد التحليلات	باستعلامات الاصطياد
أساسيات جلسة عمل الشبكة الكشف عن الثغرات الأمنية Log4j الكشف عن التهديدات القديمة المستندة إلى IOC	استغلال الثغرة الأمنية Log4j المعروفة باسم Log4Shell IP IOC زيادة عدد الاتصالات الفاشلة من مصدر واحد (مخطط جلسة شبكة ASIM) نشاط تتبع الشبكة المحتمل (مخطط جلسة شبكة ASIM) (معاينة) تعيين TI لكيان IP إلى أحداث جلسة الشبكة (مخطط جلسة شبكة ASIM) تم الكشف عن فحص المنفذ (مخطط جلسة شبكة ASIM) مجالات مجموعة غابة ثلجية معروفة - يوليو 2019	الاتصال من IP الخارجي إلى المنافذ ذات الصلة بـ OMI

معالجة محتوى أمان النشاط

يتم دعم محتوى نشاط العملية المُضمّن التالي لتسوية ASIM.

الحلول	قواعد التحليلات	باستعلامات الاصطياد
أساسيات الحماية من التهديدات لنقطة النهاية الكشف عن التهديدات القديمة المستندة إلى IOC	استخدام أداة AdFind Recon المحتمل (أحداث العملية التي تمت تسويتها) أسطر أوامر عملية Windows المرمزة Base64 (أحداث العملية التي تمت تسويتها) البرامج الضارة في سلة المحذوفات (أحداث العملية التي تمت تسويتها) ثلجي منتصف الليل - تنفيذ rundll32.exe مريبة ل vbscript (أحداث العملية العادية) عمليات SUNBURST المريبة التابعة لـ SolarWinds (أحداث العملية التي تمت تسويتها)	تفصيل الملخص اليومي للبرنامج النصي Cscript (أحداث العملية التي تمت تسويتها) تعداد المستخدمين والمجموعات (أحداث العملية التي تمت تسويتها) Exchange PowerShell Snapin التي تمت إضافتها (أحداث العملية التي تمت تسويتها) استضافة علبة البريد المصدرة وإزالة التصدير (أحداث العملية التي تمت تسويتها) استدعاء استخدام-PowerShellTcpOneLine (أحداث العملية التي تمت تسويتها) Nishang Reverse TCP Shell في Base64 (أحداث العملية التي تمت تسويتها) ملخص للمستخدمين الذين تم إنشاؤهم باستخدام رموز تبديل سطر أوامر غير شائعة/غير موثقة (أحداث العملية التي تمت تسويتها) تنزيل Powercat (أحداث العملية التي تمت تسويتها) تنزيلات PowerShell (أحداث العملية التي تمت تسويتها) إنتروبيا العمليات لمضيف معين (أحداث العملية التي تمت تسويتها) مخزون SolarWinds (أحداث العملية التي تمت تسويتها) تعداد مريب باستخدام أداة Adfind (أحداث العملية التي تمت تسويتها) إيقاف تشغيل/إعادة تشغيل نظام Windows (أحداث العملية التي تمت تسويتها) Certutil (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها) Rundll32 (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها) عمليات غير شائعة - أدنى 5٪ (أحداث العملية التي تمت تسويتها) Unicode Obfuscation في سطر الأوامر

محتوى أمان جلسة ويب

يتم دعم المحتوى المُضمّن التالي المتعلق بجلسة الويب لتسوية ASIM.

الحلول

قواعد التحليلات

الكشف عن الثغرات الأمنية Log4j التحليل الذكي للمخاطر

(معاينة) تعيين TI لكيان المجال إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM) (معاينة) تعيين TI لكيان IP إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM) الاتصال المحتمل مع اسم مضيف يستند إلى خوارزمية إنشاء المجال (DGA) (مخطط جلسة شبكة ASIM) قدم عميل طلب ويب إلى ملف قد يكون ضاراً (مخطط جلسة ويب ASIM) من المحتمل أن يقوم المضيف بتشغيل جامع التشفير (مخطط جلسة عمل ويب ASIM) من المحتمل أن يقوم المضيف بتشغيل أداة اختراق (مخطط جلسة ويب ASIM) من المحتمل أن يقوم المضيف بتشغيل PowerShell لإرسال طلبات HTTP(S) (مخطط جلسة ويب ASIM) تنزيل ملف Discord CDN غير آمن (مخطط جلسة ويب ASIM) زيادة عدد حالات فشل مصادقة HTTP من مصدر (مخطط جلسة ويب ASIM) بحث وكيل المستخدم عن محاولة استغلال Log4j

الخطوات التالية

لمزيد من المعلومات، راجع:

• شاهد ندوة الإنترنت المتعمقة حول محللات تسوية Microsoft Azure Sentinel والمحتوى الذي تمت تسويته أو راجع الشرائح
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• محللات نموذج معلومات الأمان المتقدم (ASIM)
• استخدام نموذج معلومات الأمان المتقدم (ASIM)
• تعديل محتوى Microsoft Sentinel لاستخدام أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)