Obsah zabezpečení modelu ASIM (Advanced Security Information Model)

Normalizovaný obsah zabezpečení v Microsoft Sentinel zahrnuje analytická pravidla, dotazy proaktivního vyhledávání a sešity, které pracují se sjednocujícími analyzátory normalizace.

Normalizovaný předdefinovaný obsah najdete v galeriích a řešeních Microsoft Sentinel, můžete vytvořit vlastní normalizovaný obsah nebo upravit existující obsah tak, aby používal normalizovaná data.

Tento článek obsahuje předdefinovaný obsah Microsoft Sentinel, který byl nakonfigurován pro podporu modelu ASIM (Advanced Security Information Model). Odkazy na úložiště Microsoft Sentinel GitHub jsou k dispozici jako reference, ale tato pravidla najdete také v galerii pravidel Microsoft Sentinel Analytics. Pomocí propojených stránek GitHubu zkopírujte všechny relevantní dotazy proaktivního vyhledávání.

Informace o tom, jak normalizovaný obsah zapadá do architektury ASIM, najdete v diagramu architektury ASIM.

Tip

Podívejte se také na podrobný webinář o Microsoft Sentinel normalizace analyzátorů a normalizovaného obsahu nebo si prohlédněte snímky. Další informace najdete v tématu Další kroky.

Obsah zabezpečení ověřování

Následující předdefinovaný obsah ověřování je podporován pro normalizaci ASIM.

Analytická pravidla

Obsah zabezpečení aktivity souborů

Následující předdefinovaný obsah aktivity souborů je podporován pro normalizaci ASIM.

Analytická pravidla

Obsah zabezpečení aktivit registru

Následující předdefinovaný obsah aktivit registru je podporován pro normalizaci ASIM.

Analytická pravidla

Dotazy proaktivního vyhledávání

Obsah zabezpečení dotazů DNS

Normalizace ASIM podporuje následující předdefinovaný obsah dotazů DNS.

Řešení Analytická pravidla
Základy DNS
Detekce ohrožení zabezpečení Log4j
Detekce hrozeb na základě IOC starší verze		 Ti mapovat entitu domény na události DNS (schéma ASIM DNS)
Entita IP adresy ti mapuje na události DNS (schéma ASIM DNS)
Potenciální zjištěná dga (ASimDNS)
Nadměrné množství dotazů DNS NXDOMAIN (schéma DNS ASIM)
Události DNS související s fondy dolování (schéma DNS ASIM)
Události DNS související s proxy servery ToR (schéma DNS ASIM)
Známé domény skupiny Blizzard doménové struktury – červenec 2019

Obsah zabezpečení síťové relace

Normalizace ASIM podporuje následující předdefinovaný obsah související se síťovými relacemi.

Řešení Analytická pravidla Dotazy proaktivního vyhledávání
Základy síťových relací
Detekce ohrožení zabezpečení Log4j
Detekce hrozeb na základě IOC starší verze		 Zneužití ohrožení zabezpečení Log4j neboli Log4Shell IP IOC
Nadměrný počet neúspěšných připojení z jednoho zdroje (schéma síťové relace ASIM)
Potenciální aktivita signálu (schéma síťové relace ASIM)
Entita IP adresy ti mapuje na události síťové relace (schéma síťové relace ASIM)
Zjištění kontroly portů (schéma síťové relace ASIM)
Známé domény skupiny Blizzard doménové struktury – červenec 2019		 Připojení z externí IP adresy k portům souvisejícím s OMI

Obsah zabezpečení aktivity procesu

Následující předdefinovaný obsah aktivity procesů je podporován pro normalizaci ASIM.

Řešení Analytická pravidla Dotazy proaktivního vyhledávání
Základy ochrany před internetovými útoky koncového bodu
Detekce hrozeb na základě IOC starší verze		 Pravděpodobné použití nástroje AdFind Recon (normalizované události procesu)
Příkazové řádky procesů s kódováním Base64 ve Windows (normalizované události procesu)
Malware v koši (normalizované události procesu)
Midnight Blizzard – podezřelé rundll32.exe spuštění vbscriptu (normalizované události procesu)
Podezřelé podřízené procesy solarWinds (normalizované události procesů)		 Denní souhrnný rozpis skriptu CScript (normalizované události procesu)
Výčet uživatelů a skupin (normalizované události procesu)
Přidaný modul snapin Exchange PowerShellu (normalizované události procesu)
Export poštovní schránky hostitele a odebrání exportu (normalizované události procesu)
Použití Invoke-PowerShellTcpOneLine (normalizované události procesu)
Reverzní prostředí TCP v Prostředí Nishang v Base64 (normalizované události procesu)
Souhrn uživatelů vytvořených pomocí neobvyklých/nezdokumentovaných přepínačů příkazového řádku (normalizované události procesu)
Stažení Powercatu (normalizované události procesu)
Stažení PowerShellu (normalizované události procesu)
Entropie pro procesy pro daného hostitele (normalizované události procesu)
Inventář SolarWinds (normalizované události procesu)
Podezřelý výčet pomocí nástroje Adfind (normalizované události procesu)
Vypnutí/restartování systému Windows (normalizované události procesu)
Certutil (LOLBins a LOLScripts, normalizované události procesu)
Rundll32 (LOLBins a LOLScripts, normalizované události procesu)
Méně časté procesy – dolních 5 % (normalizované události procesu)
Obfuskace unicode v příkazovém řádku

Obsah zabezpečení webové relace

Normalizace ASIM podporuje následující předdefinovaný obsah související s webovou relací.

Řešení Analytická pravidla
Detekce ohrožení zabezpečení Log4j
Analýza hrozeb		 Ti mapovat entitu domény na události webové relace (schéma webové relace ASIM)
Entita IP adresy MAP TI na události webové relace (schéma webové relace ASIM)
Potenciální komunikace s názvem hostitele založeným na algoritmu generování domény (DGA) (schéma síťové relace ASIM)
Klient vytvořil webový požadavek na potenciálně škodlivý soubor (schéma webové relace ASIM)
Na hostiteli je potenciálně spuštěný kryptografický miner (schéma webové relace ASIM)
Na hostiteli je potenciálně spuštěný nástroj pro hacking (schéma webové relace ASIM).
Hostitel potenciálně používá PowerShell k odesílání požadavků HTTP(S) (schéma webové relace ASIM).
Discord CDN Risky File Download (schéma webové relace ASIM)
Nadměrný počet selhání ověřování HTTP ze zdroje (schéma webové relace ASIM)
Uživatelský agent vyhledá pokus o zneužití Log4j.

Další kroky

Další informace najdete tady:

  • Last updated on