Obsah zabezpečení advanced Security Information Model (ASIM)

Normalizovaný obsah zabezpečení v Microsoft Sentinelu zahrnuje analytická pravidla, dotazy proaktivního vyhledávání a sešity, které pracují s sjednocením analyzátorů normalizace.

Můžete najít normalizovaný, integrovaný obsah v galeriích a řešeních Microsoft Sentinelu, vytvořit vlastní normalizovaný obsah nebo upravit existující obsah tak, aby používal normalizovaná data.

Tento článek uvádí integrovaný obsah služby Microsoft Sentinel, který je nakonfigurovaný tak, aby podporoval model ASIM (Advanced Security Information Model). Odkazy na úložiště GitHub pro Microsoft Sentinel jsou k dispozici jako referenční informace, ale tato pravidla najdete také v galerii pravidel analýzy Microsoft Sentinelu. Pomocí propojených stránek GitHubu zkopírujte všechny relevantní dotazy proaktivního vyhledávání.

Informace o tom, jak normalizovaný obsah zapadá do architektury ASIM, najdete v diagramu architektury ASIM.

Návod

Podívejte se také na podrobný webinář o normalizaci parserů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky. Další informace najdete v části Další kroky.

Obsah zabezpečení ověřování

Pro normalizaci ASIM se podporuje následující předdefinovaný obsah ověřování.

Analytická pravidla

• Potenciální útok password spray (používá normalizaci ověřování)
• Útok hrubou silou na přihlašovací údaje uživatele (používá normalizaci ověřování)
• Přihlášení uživatele z různých zemí nebo oblastí do 3 hodin (používá normalizaci ověřování)
• Přihlášení z IP adres, které se pokoušejí přihlásit k zakázaným účtům (používá normalizaci ověřování)

Obsah zabezpečení aktivit souborů

Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivity souboru.

• Starší detekce hrozeb založených na IOC

Analytická pravidla

• Hodnoty hash backdooru SUNBURST a SUPERNOVA (normalizované události souborů)

Obsah zabezpečení aktivit registru

Následující integrovaný obsah aktivity registru je podporován pro normalizaci ASIM.

Analytická pravidla

• Potenciální obejití nástroje UAC fodhelper (verze ASIM)

Proaktivní dotazy

• Zachování klíče registru IFEO

Obsah zabezpečení dotazů DNS

Pro normalizaci ASIM se podporuje následující integrovaný obsah dotazů DNS.

Řešení	Analytická pravidla
Základy DNS Detekce ohrožení zabezpečení Log4j Starší detekce hrozeb založených na IOC	TI mapuje entitu domény na události DNS (schéma ASIM DNS) Entita TI mapuje IP na události DNS (schéma ASIM DNS) Potenciální dga zjistila (ASimDNS) Nadměrné dotazy DNS NXDOMAIN (schéma ASIM DNS) Události DNS související s dolováním fondů (schéma ASIM DNS) Události DNS související s proxy servery ToR (schéma ASIM DNS) Známé domény skupiny Forest Blizzard – červenec 2019

Obsah zabezpečení relace sítě

Pro normalizaci ASIM se podporuje následující integrovaný obsah související se síťovými relacemi.

Řešení	Analytická pravidla	Proaktivní dotazy
Základy síťových relací Detekce ohrožení zabezpečení Log4j Starší detekce hrozeb založených na IOC	Ohrožení zabezpečení Log4j zneužít ip adresu IOC log4Shellu Nadměrný počet neúspěšných připojení z jednoho zdroje (schéma síťové relace ASIM) Potenciální aktivita signálu (schéma síťové relace ASIM) Entita TI mapuje IP na události síťové relace (schéma síťové relace ASIM) Zjistilo se prohledávání portů (schéma síťové relace ASIM) Známé domény skupiny Forest Blizzard – červenec 2019	Připojení z externí IP adresy k portům souvisejícím s OMI

Obsah zabezpečení aktivit procesů

Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivity procesu.

Řešení	Analytická pravidla	Proaktivní dotazy
Základní informace o službě Endpoint Threat Protection Starší detekce hrozeb založených na IOC	Pravděpodobné využití nástroje AdFind Recon (normalizované události procesu) Příkazové řádky procesu Windows kódované v base64 (normalizované události procesu) Malware v koši (normalizované události procesu) Půlnoc Blizzard – podezřelé rundll32.exe spuštění vbscriptu (normalizované události procesu) SUNBURST podezřelé podřízené procesy SolarWinds (normalizované události procesu)	Rozpis denního souhrnu skriptů jazyka CScript (normalizované události procesu) Výčet uživatelů a skupin (normalizované události procesu) Přidání modulu snapin Prostředí Exchange PowerShell (normalizované události procesu) Hostitel exportující poštovní schránku a odebrání exportu (normalizované události procesu) Využití Invoke-PowerShellTcpOneLine (normalizované události procesu) Reverzní prostředí TCP Nishang v Base64 (normalizované události procesu) Souhrn uživatelů vytvořených pomocí neobvyklých nebo nezdokumentovaných přepínačů příkazového řádku (normalizované události procesu) Stažení Powercatu (normalizované události procesu) Stažení PowerShellu (normalizované události procesu) Entropie pro procesy pro daného hostitele (normalizované události procesu) Inventář SolarWinds (normalizované události procesu) Podezřelý výčet pomocí nástroje Adfind (Normalizované události procesu) Vypnutí nebo restartování systému Windows (normalizované události procesu) Certutil (LOLBins a LOLScripts, normalizované události procesu) Rundll32 (LOLBins a LOLScripts, normalizované události procesu) Neobvyklé procesy – nejnižší 5 % (normalizované události procesu) Obfuskace Unicode v příkazovém řádku

Obsah zabezpečení webové relace

Pro normalizaci ASIM se podporuje následující integrovaný obsah související s webovou relací.

Řešení

Analytická pravidla

Detekce ohrožení zabezpečení Log4j Analýza hrozeb

Entita TI mapuje doménu na události webové relace (schéma webové relace ASIM) Entita TI mapuje IP na události webové relace (schéma webové relace ASIM) Potenciální komunikace s názvem hostitele založeným na algoritmu generování domény (DGA) (schéma síťové relace ASIM) Klient provedl webový požadavek na potenciálně škodlivý soubor (schéma webové relace ASIM) Hostitel potenciálně spouští kryptografický miner (schéma webové relace ASIM) Hostitel může spustit nástroj pro hacking (schéma webové relace ASIM). Hostitel může spouštět PowerShell pro odesílání požadavků HTTP(S) (schéma webové relace ASIM). Stažení rizikového souboru CDN discordu (schéma webové relace ASIM) Nadměrný počet selhání ověřování HTTP ze zdroje (schéma webové relace ASIM) Hledání pokusů o zneužití Log4j pomocí uživatelského agenta

Další kroky

Další informace naleznete v tématu:

• Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
• Přehled rozšířeného modelu informací o zabezpečení (ASIM)
• Schémata advanced Security Information Model (ASIM)
• Analyzátory advanced security information model (ASIM)
• Použití modelu ADVANCED Security Information Model (ASIM)
• Úprava obsahu Microsoft Sentinelu tak, aby používal analyzátory ADVANCED Security Information Model (ASIM)