محتوى أمان نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)

يتضمن محتوى الأمان الذي تمت تسويته في Microsoft Azure Sentinel قواعد التحليلات واستعلامات التتبع والمصنفات التي تعمل مع توحيد محللات التسوية.

يمكنك العثور على المحتوى المُضمّن الذي تمت تسويته في معارض وحلول Microsoft Azure Sentinel، أو إنشاء محتوى تمت تسويته خاص بك، أو تعديل المحتوى الحالي لاستخدام البيانات التي تمت تسويتها.

تسرد هذه المقالة محتوى Microsoft Azure Sentinel المُضمّن الذي تم تكوينه لدعم نموذج معلومات الأمان المتقدم (ASIM). على الرغم من توفير ارتباطات إلى مستودع Microsoft Sentinel GitHub أدناه كمرجع، إلا إنه يمكنك أيضاً العثور على هذه القواعد في معرض قواعد Microsoft Sentinel Analytics. استخدم صفحات GitHub المرتبطة لنسخ أي استعلامات تتبع ذات صلة.

لفهم كيفية ملاءمة المحتوى الذي تمت تسويته داخل بنية ASIM، راجع الرسم التخطيطي لبنية ASIM.

تلميح

شاهد أيضًا ندوة الإنترنت Deep Dive بشأن تسوية Microsoft Azure Sentinel للمحللين والمحتوى الموحد أو راجع الشرائح. لمزيد من المعلومات، راجع الخطوات التالية.

هام

ASIM في وضع PREVIEW حاليًا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

محتوى أمان المصادقة

يتم دعم محتوى المصادقة المُضمّن التالي لتسوية ASIM.

قواعد التحليلات

• الهجوم بنشر كلمة المرور المحتمل (يستخدم تسوية المصادقة)
• هجوم القوة الغاشمة على بيانات اعتماد المستخدم (يستخدم تسوية المصادقة)
• تسجيل دخول المستخدم من بلدان مختلفة في غضون 3 ساعات (يستخدم تسوية المصادقة)
• عمليات تسجيل الدخول من عناوين IP التي تحاول تسجيل الدخول إلى الحسابات المعطلة (يستخدم تسوية المصادقة)

محتوى أمان استعلام DNS

يتم دعم محتوى استعلام DNS المُضمّن التالي لتسوية ASIM.

الحلول

• أساسيات DNS
• الكشف عن الثغرات الأمنية Log4j
• الكشف عن التهديدات القديمة المستندة إلى IOC

قواعد التحليلات

• (معاينة) تعيين TI لكيان المجال إلى أحداث DNS (مخطط ASIM DNS)
• (معاينة) تعيين TI لكيان IP إلى أحداث DNS (مخطط ASIM DNS)
• DGA المحتملة التي تم الكشف عنها (ASimDNS)
• استعلامات NXDOMAIN DNS الزائدة (مخطط ASIM DNS)
• أحداث DNS المتعلقة بتجمعات التنقيب (مخطط ASIM DNS)
• أحداث DNS المتعلقة بوكلاء ToR (مخطط ASIM DNS)
• مجالات Barium المعروفة
• عناوين IP المعروفة لـ Barium
• الكشف عن نقاط ضعف Exchange Server مارس 2021 IoC Match
• مجالات وتجزئات Granite Typhoon المعروفة
• عنوان IP المعروف ل Seashell Blizzard
• منتصف الليل Blizzard - المجال وIP IOCs - مارس 2021
• مجالات مجموعة Phosphorus المعروفة/IP
• مجالات مجموعة غابات الكائنات الثنائية كبيرة الحجم المعروفة - يوليو 2019
• ملحق تتبع الشبكة Solorigate
• مجالات Emerald Sleet المضمنة في القائمة المنسدلة ل DCU
• الماس المعروف Sleet Comebacker وتجزئة البرامج الضارة Klackring
• مجالات وتجزئات Ruby Sleet المعروفة
• مجالات وتجزئات NICKEL المعروفة
• منتصف الليل Blizzard - المجال والتجزئة وIP IOCs - مايو 2021
• ملحق تتبع الشبكة Solorigate

محتوى أمان نشاط الملف

يتم دعم محتوى نشاط الملف المُضمّن التالي لتسوية ASIM.

• الكشف عن التهديدات القديمة المستندة إلى IOC

قواعد التحليلات

• تجزئات SUNBURST وSUPERNOVA الباب الخلفي (أحداث الملف الطبيعي)
• تم الكشف عن الثغرات الأمنية في خادم Exchange في آذار (مارس) 2021 مطابقة IoC
• خدمة Silk Typhoon UM لكتابة ملف مشبوه
• منتصف الليل Blizzard - المجال والتجزئة وIP IOCs - مايو 2021
• إنشاء ملف سجل SUNSPOT
• الماس المعروف Sleet Comebacker وتجزئة البرامج الضارة Klackring
• Cadet Blizzard Actor IOC - يناير 2022
• منتصف الليل Blizzard IOCs المتعلقة بالباب الخلفي FoggyWeb

محتوى أمان جلسة الشبكة

يتم دعم المحتوى التالي المرتبط بجلسة الشبكة المُضمّنة لتسوية ASIM.

الحلول

• أساسيات جلسة عمل الشبكة
• الكشف عن الثغرات الأمنية Log4j
• الكشف عن التهديدات القديمة المستندة إلى IOC

قواعد التحليلات

• استغلال الثغرة الأمنية Log4j المعروفة باسم Log4Shell IP IOC
• زيادة عدد الاتصالات الفاشلة من مصدر واحد (مخطط جلسة شبكة ASIM)
• نشاط تتبع الشبكة المحتمل (مخطط جلسة شبكة ASIM)
• (معاينة) تعيين TI لكيان IP إلى أحداث جلسة الشبكة (مخطط جلسة شبكة ASIM)
• تم الكشف عن فحص المنفذ (مخطط جلسة شبكة ASIM)
• عناوين IP المعروفة لـ Barium
• الكشف عن نقاط ضعف Exchange Server مارس 2021 IoC Match
• [عنوان IP المعروف عن الكائنات الثنائية كبيرة الحجم ل Seashell(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• منتصف الليل Blizzard - المجال والتجزئة وIP IOCs - مايو 2021
• مجالات مجموعة غابات الكائنات الثنائية كبيرة الحجم المعروفة - يوليو 2019

باستعلامات الاصطياد

• الاتصال من IP الخارجي إلى المنافذ ذات الصلة بـ OMI

معالجة محتوى أمان النشاط

يتم دعم محتوى نشاط العملية المُضمّن التالي لتسوية ASIM.

الحلول

• أساسيات الحماية من التهديدات لنقطة النهاية
• الكشف عن التهديدات القديمة المستندة إلى IOC

قواعد التحليلات

• استخدام أداة AdFind Recon المحتمل (أحداث العملية التي تمت تسويتها)
• أسطر أوامر عملية Windows المرمزة Base64 (أحداث العملية التي تمت تسويتها)
• البرامج الضارة في سلة المحذوفات (أحداث العملية التي تمت تسويتها)
• ثلج منتصف الليل - تنفيذ rundll32.exe مشبوه ل vbscript (أحداث العملية التي تمت تسويتها)
• عمليات SUNBURST المريبة التابعة لـ SolarWinds (أحداث العملية التي تمت تسويتها)

باستعلامات الاصطياد

• تفصيل الملخص اليومي للبرنامج النصي Cscript (أحداث العملية التي تمت تسويتها)
• تعداد المستخدمين والمجموعات (أحداث العملية التي تمت تسويتها)
• Exchange PowerShell Snapin التي تمت إضافتها (أحداث العملية التي تمت تسويتها)
• استضافة علبة البريد المصدرة وإزالة التصدير (أحداث العملية التي تمت تسويتها)
• استدعاء استخدام-PowerShellTcpOneLine (أحداث العملية التي تمت تسويتها)
• Nishang Reverse TCP Shell في Base64 (أحداث العملية التي تمت تسويتها)
• ملخص للمستخدمين الذين تم إنشاؤهم باستخدام رموز تبديل سطر أوامر غير شائعة/غير موثقة (أحداث العملية التي تمت تسويتها)
• تنزيل Powercat (أحداث العملية التي تمت تسويتها)
• تنزيلات PowerShell (أحداث العملية التي تمت تسويتها)
• إنتروبيا العمليات لمضيف معين (أحداث العملية التي تمت تسويتها)
• مخزون SolarWinds (أحداث العملية التي تمت تسويتها)
• تعداد مريب باستخدام أداة Adfind (أحداث العملية التي تمت تسويتها)
• إيقاف تشغيل/إعادة تشغيل نظام Windows (أحداث العملية التي تمت تسويتها)
• Certutil (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها)
• Rundll32 (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها)
• عمليات غير شائعة - أدنى 5٪ (أحداث العملية التي تمت تسويتها)
• Unicode Obfuscation في سطر الأوامر

محتوى أمان نشاط التسجيل

يتم دعم محتوى نشاط التسجيل المُضمّن التالي لتسوية ASIM.

قواعد التحليلات

• تجاوز Fodhelper UAC المحتمل (إصدار ASIM)

باستعلامات الاصطياد

• الاستمرار عبر مفتاح تسجيل IFEO

محتوى أمان جلسة ويب

يتم دعم المحتوى المُضمّن التالي المتعلق بجلسة الويب لتسوية ASIM.

الحلول

• الكشف عن الثغرات الأمنية Log4j
• تحليل ذكي للمخاطر

قواعد التحليلات

• (معاينة) تعيين TI لكيان المجال إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM)
• (معاينة) تعيين TI لكيان IP إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM)
• الاتصال المحتمل مع اسم مضيف يستند إلى خوارزمية إنشاء المجال (DGA) (مخطط جلسة شبكة ASIM)
• قدم عميل طلب ويب إلى ملف قد يكون ضاراً (مخطط جلسة ويب ASIM)
• من المحتمل أن يقوم المضيف بتشغيل جامع التشفير (مخطط جلسة عمل ويب ASIM)
• من المحتمل أن يقوم المضيف بتشغيل أداة اختراق (مخطط جلسة ويب ASIM)
• من المحتمل أن يقوم المضيف بتشغيل PowerShell لإرسال طلبات HTTP(S) (مخطط جلسة ويب ASIM)
• تنزيل ملف Discord CDN غير آمن (مخطط جلسة ويب ASIM)
• زيادة عدد حالات فشل مصادقة HTTP من مصدر (مخطط جلسة ويب ASIM)
• مجالات Barium المعروفة
• عناوين IP المعروفة لـ Barium
• مجالات وتجزئات Ruby Sleet المعروفة
• عنوان IP المعروف ل Seashell Blizzard
• مجالات وتجزئات NICKEL المعروفة
• منتصف الليل Blizzard - المجال وIP IOCs - مارس 2021
• منتصف الليل Blizzard - المجال والتجزئة وIP IOCs - مايو 2021
• مجالات مجموعة Phosphorus المعروفة/IP
• بحث عميل مستخدم عن محاولة استغلال log4j

الخطوات التالية

تتناول هذه المقالة محتوى نموذج معلومات الأمان المتقدم (ASIM).

لمزيد من المعلومات، انظر:

• شاهد ندوة Deep Dive عبر الإنترنت حول أدوات تحليل التسوية والمحتوى الخاضع للتسوية في Microsoft Sentinel، أو راجع شرائح العرض التقديمي
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)
• استخدام نموذج معلومات الأمان المتقدم (ASIM)
• تعديل محتوى Microsoft Sentinel لاستخدام أدوات تحليل نموذج معلومات الأمان المتقدم (ASIM)