محتوى أمان نموذج معلومات الأمان المتقدم (ASIM)

يتضمن محتوى الأمان الذي تمت تسويته في Microsoft Sentinel قواعد التحليلات واستعلامات التتبع والمصنفات التي تعمل مع توحيد محللات التسوية.

يمكنك العثور على محتوى تمت تسويته ومضمن في المعارض والحلول Microsoft Sentinel أو إنشاء المحتوى الذي تمت تسويته أو تعديل المحتوى الموجود لاستخدام البيانات التي تمت تسويتها.

تسرد هذه المقالة محتوى Microsoft Sentinel المضمن الذي تم تكوينه لدعم نموذج معلومات الأمان المتقدم (ASIM). بينما يتم توفير ارتباطات إلى مستودع GitHub Microsoft Sentinel كمرجع، يمكنك أيضا العثور على هذه القواعد في معرض قواعد Microsoft Sentinel Analytics. استخدم صفحات GitHub المرتبطة لنسخ أي استعلامات تتبع ذات صلة.

لفهم كيفية ملاءمة المحتوى الذي تمت تسويته داخل بنية ASIM، راجع الرسم التخطيطي لبنية ASIM.

تلميح

شاهد أيضا ندوة الغوص العميق على Microsoft Sentinel تسوية المحللات والمحتوى الذي تمت تسويته أو راجع الشرائح. لمزيد من المعلومات، راجع الخطوات التالية.

محتوى أمان المصادقة

يتم دعم محتوى المصادقة المضمن التالي لتطبيع ASIM.

قواعد التحليلات

• هجوم رش كلمة المرور المحتمل (يستخدم تسوية المصادقة)
• هجوم القوة الغاشمة على بيانات اعتماد المستخدم (يستخدم تسوية المصادقة)
• تسجيل دخول المستخدم من بلدان/مناطق مختلفة في غضون 3 ساعات (يستخدم تسوية المصادقة)
• عمليات تسجيل الدخول من عناوين IP التي تحاول تسجيل الدخول إلى الحسابات المعطلة (يستخدم تسوية المصادقة)

محتوى أمان نشاط الملف

يتم دعم محتوى نشاط الملف المضمن التالي لتسوية ASIM.

• الكشف عن التهديدات القديمة المستندة إلى IOC

قواعد التحليلات

• تجزئات المستند الخلفي SUNBURST و SUPERNOVA (أحداث الملفات التي تمت تسويتها)

محتوى أمان نشاط التسجيل

يتم دعم محتوى نشاط التسجيل المضمن التالي لتطبيع ASIM.

قواعد التحليلات

• تجاوز Fodhelper UAC المحتمل (إصدار ASIM)

استعلامات التتبع

• الاستمرار عبر مفتاح تسجيل IFEO

محتوى أمان استعلام DNS

يتم دعم محتوى استعلام DNS المضمن التالي لتطبيع ASIM.

حلول	قواعد التحليلات
أساسيات DNS الكشف عن الثغرات الأمنية Log4j الكشف عن التهديدات القديمة المستندة إلى IOC	TI تعيين كيان المجال إلى أحداث DNS (مخطط ASIM DNS) TI تعيين كيان IP إلى أحداث DNS (مخطط ASIM DNS) تم الكشف عن DGA المحتملة (ASimDNS) استعلامات NXDOMAIN DNS الزائدة (مخطط ASIM DNS) أحداث DNS المتعلقة بتجمعات التعدين (مخطط ASIM DNS) أحداث DNS المتعلقة بوكلاء ToR (مخطط ASIM DNS) مجالات مجموعة غابة ثلجية معروفة - يوليو 2019

محتوى أمان جلسة عمل الشبكة

يتم دعم المحتوى المضمن التالي المتعلق بجلسة عمل الشبكة لتطبيع ASIM.

حلول	قواعد التحليلات	استعلامات التتبع
أساسيات جلسة عمل الشبكة الكشف عن الثغرات الأمنية Log4j الكشف عن التهديدات القديمة المستندة إلى IOC	استغلال ثغرة أمنية Log4j باسم Log4Shell IP IOC العدد الزائد للاتصالات الفاشلة من مصدر واحد (مخطط جلسة شبكة ASIM) نشاط التنبيهات المحتملة (مخطط جلسة شبكة ASIM) TI تعيين كيان IP إلى أحداث جلسة عمل الشبكة (مخطط جلسة شبكة ASIM) تم الكشف عن فحص المنفذ (مخطط جلسة شبكة ASIM) مجالات مجموعة غابة ثلجية معروفة - يوليو 2019	الاتصال من IP الخارجي إلى المنافذ ذات الصلة ب OMI

معالجة محتوى أمان النشاط

يتم دعم محتوى نشاط العملية المضمن التالي لتطبيع ASIM.

حلول	قواعد التحليلات	استعلامات التتبع
أساسيات الحماية من التهديدات لنقطة النهاية الكشف عن التهديدات القديمة المستندة إلى IOC	استخدام أداة AdFind Recon المحتمل (أحداث العملية التي تمت تسويتها) أسطر أوامر عملية Windows المرمزة Base64 (أحداث العملية التي تمت تسويتها) البرامج الضارة في سلة المحذوفات (أحداث العملية التي تمت تسويتها) العاصفة الثلجية في منتصف الليل - تنفيذ rundll32.exe مريب ل vbscript (أحداث العملية التي تمت تسويتها) العمليات التابعة ل SUNBURST المشبوهة SolarWinds (أحداث العملية التي تمت تسويتها)	تصنيف موجز يومي للبرنامج النصي Cscript (أحداث العملية التي تمت تسويتها) تعداد المستخدمين والمجموعات (أحداث العملية التي تمت تسويتها) تمت إضافة Exchange PowerShell Snapin (أحداث العملية التي تمت تسويتها) استضافة علبة البريد المصدرة وإزالة التصدير (أحداث العملية التي تمت تسويتها) Invoke-PowerShellTcpOneLine Usage (أحداث العملية التي تمت تسويتها) Nishang عكس TCP Shell في Base64 (أحداث العملية التي تمت تسويتها) ملخص المستخدمين الذين تم إنشاؤهم باستخدام مفاتيح سطر الأوامر غير الشائعة/غير الموثقة (أحداث العملية التي تمت تسويتها) تنزيل Powercat (أحداث العملية التي تمت تسويتها) تنزيلات PowerShell (أحداث العملية التي تمت تسويتها) Entropy للعمليات لمضيف معين (أحداث العملية التي تمت تسويتها) مخزون SolarWinds (أحداث العملية التي تمت تسويتها) التعداد المشبوه باستخدام أداة Adfind (أحداث العملية التي تمت تسويتها) إيقاف تشغيل/إعادة تشغيل نظام Windows (أحداث العملية التي تمت تسويتها) Certutil (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها) Rundll32 (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها) عمليات غير شائعة - أدنى 5٪ (أحداث العملية التي تمت تسويتها) تعتيم Unicode في سطر الأوامر

محتوى أمان جلسة ويب

يتم دعم المحتوى المضمن التالي المتعلق بجلسة الويب لتطبيع ASIM.

حلول

قواعد التحليلات

الكشف عن الثغرات الأمنية Log4j التحليل الذكي للمخاطر

TI تعيين كيان المجال إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM) TI تعيين كيان IP إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM) الاتصال المحتمل مع اسم مضيف يستند إلى خوارزمية إنشاء المجال (DGA) (مخطط جلسة شبكة ASIM) قدم العميل طلب ويب إلى ملف يحتمل أن يكون ضارا (مخطط جلسة ويب ASIM) من المحتمل أن يقوم المضيف بتشغيل منجم تشفير (مخطط جلسة ويب ASIM) من المحتمل أن يقوم المضيف بتشغيل أداة اختراق (مخطط جلسة ويب ASIM) من المحتمل أن يقوم المضيف بتشغيل PowerShell لإرسال طلبات HTTP (S) (مخطط جلسة ويب ASIM) تنزيل ملف CDN محفوف بالمخاطر (مخطط جلسة ويب ASIM) العدد الزائد لفشل مصادقة HTTP من مصدر (مخطط جلسة ويب ASIM) بحث عامل المستخدم عن محاولة استغلال Log4j

الخطوات التالية

لمزيد من المعلومات، اطلع على:

• شاهد ندوة ويب الغوص العميق على Microsoft Sentinel تسوية المحللات والمحتوى الذي تمت تسويته أو مراجعة الشرائح
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• محللات نموذج معلومات الأمان المتقدم (ASIM)
• استخدام نموذج معلومات الأمان المتقدم (ASIM)
• تعديل محتوى Microsoft Sentinel لاستخدام محللات نموذج معلومات الأمان المتقدم (ASIM)