Sicherheitsinhalte des erweiterten Sicherheitsinformationsmodells (ASIM) (Öffentliche Vorschauversion)

Zu den normalisierten Sicherheitsinhalten in Microsoft Sentinel gehören Analyseregeln, Hunting-Abfragen und Arbeitsmappen, die mit vereinheitlichenden Normalisierungsparsern arbeiten.

Sie finden normalisierte, integrierte Inhalte in Microsoft Sentinel-Katalogen und Lösungen, erstellen Sie Ihre eigenen normalisierten Inhalte, oder ändern Sie bestehende Inhalte, um normalisierte Daten zu verwenden.

In diesem Artikel werden integrierte Microsoft Sentinel-Inhalte aufgelistet, die für die Unterstützung des erweiterten Sicherheitsinformationsmodells (ASIM) konfiguriert wurden. Im Folgenden finden Sie Links zum GitHub-Repository für Microsoft Sentinel, aber Sie können auch im Microsoft Sentinel-Katalog für Analyseregeln nach diesen Regeln suchen. Verwenden Sie die verlinkten GitHub-Seiten, um alle relevanten Hunting-Abfragen zu kopieren.

Informationen dazu, wie normalisierte Inhalte in die ASIM-Architektur passen, finden Sie im Architekturdiagramm zu ASIM.

Tipp

Sehen Sie sich auch das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an. Weitere Informationen finden Sie in den nächsten Schritten.

Wichtig

ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Inhalt der Authentifizierungssicherheit

Der folgende integrierte Authentifizierungsinhalt wird für die ASIM-Normalisierung unterstützt.

Analyseregeln

• Potenzieller Kennwortspray-Angriff (Verwendung der Authentifizierungsnormalisierung)
• Brute-Force-Angriff auf Anmeldeinformationen von Benutzern (Verwendung der Authentifizierungsnormalisierung)
• Benutzeranmeldung aus verschiedenen Ländern innerhalb von 3 Stunden (Verwendung der Authentifizierungsnormalisierung)
• Anmeldungen von IPs, die versuchen, sich bei deaktivierten Konten anzumelden (verwendet die Authentifizierungsnormalisierung)

Sicherheitsinhalt von DNS-Abfragen

Der folgende integrierte DNS-Abfrageinhalt wird für die ASIM-Normalisierung unterstützt.

Lösungen

• DNS-Grundlagen
• Log4j Vulnerability Detection
• Legacy IOC Based Threat Detection

Analyseregeln

• (Vorschau) TI-Zuordnung von Domänenentität zu DNS-Ereignissen (ASIM-DNS-Schema)
• (Vorschau) TI-Zuordnung von IP-Entität zu DNS-Ereignissen (ASIM-DNS-Schema)
• Potenzielle DGA erkannt (ASimDNS)
• Übermäßige NXDOMAIN-DNS-Abfragen (ASIM-DNS-Schema)
• DNS-Ereignisse im Zusammenhang mit Miningpools (ASIM-DNS-Schema)
• DNS-Ereignisse im Zusammenhang mit ToR-Proxys (ASIM-DNS-Schema)
• Bekannte Barium-Domänen
• Bekannte Barium-IP-Adressen
• Exchange Server: im März 2021 offengelegte Sicherheitsrisiken – IoC-Übereinstimmung
• Bekannte Granite Typhoon-Domänen und -Hashes
• Bekannte IP-Adresse für Seashell Blizzard
• Midnight Blizzard – Domänen- und IP-IOCs – März 2021
• Known Phosphorus group domains/IP (Bekannte Phosphorus-Gruppendomänen/IP-Adressen)
• Bekannte Forest Blizzard-Gruppendomänen – Juli 2019
• Solorigate Network Beacon (Solorigate-Netzwerkbeacon)
• Im DCU-Takedown enthaltene Emerald Sleet-Domänen
• Bekannte Diamond Sleet Comebacker- und Klackring-Schadsoftware-Hashes
• Bekannte Ruby Sleet-Domänen und -Hashes
• Bekannte NICKEL-Domänen und -Hashes
• Midnight Blizzard – Domänen-, Hash- und IP-IOCs – Mai 2021
• Solorigate Network Beacon (Solorigate-Netzwerkbeacon)

Sicherheitsinhalt der Dateiaktivität

Der folgende integrierte Dateiaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

• Legacy IOC Based Threat Detection

Analyseregeln

• SUNBURST- und SUPERNOVA-Hintertürhashes (normalisierte Dateiereignisse)
• Exchange Server: im März 2021 offengelegte Sicherheitsrisiken – IoC-Übereinstimmung
• Schreiben verdächtiger Dateien durch den Silk Typhoon UM-Dienst
• Midnight Blizzard – Domänen-, Hash- und IP-IOCs – Mai 2021
• SUNSPOT-Protokolldateierstellung
• Bekannte Diamond Sleet Comebacker- und Klackring-Schadsoftware-Hashes
• Cadet Blizzard Actor IOC – Januar 2022
• Midnight Blizzard IOCs im Zusammenhang mit der FoggyWeb-Hintertür

Sicherheitsinhalte für Netzwerksitzungen

Die folgenden integrierten Inhalte, die mit Netzwerksitzungen zusammenhängen, werden für die ASIM-Normalisierung unterstützt.

Lösungen

• Grundlegendes zu Netzwerksitzungen
• Log4j Vulnerability Detection
• Legacy IOC Based Threat Detection

Analyseregeln

• Log4j-Exploit-Sicherheitslücke (auch bekannt als Log4Shell-IP-IOC)
• Zu hohe Anzahl fehlgeschlagener Verbindungen aus einer einzigen Quelle (ASIM-Netzwerksitzungsschema)
• Potenzielle Beaconingaktivität (ASIM-Netzwerksitzungsschema)
• (Vorschau) TI-Zuordnung der IP-Entität zu Netzwerksitzungsereignissen (ASIM-Netzwerksitzungsschema)
• Portscan erkannt (ASIM-Netzwerksitzungsschema)
• Bekannte Barium-IP-Adressen
• Exchange Server: im März 2021 offengelegte Sicherheitsrisiken – IoC-Übereinstimmung
• [Bekannte IP-Adresse für Seashell Blizzard (https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard – Domänen-, Hash- und IP-IOCs – Mai 2021
• Bekannte Forest Blizzard-Gruppendomänen – Juli 2019

Hunting-Abfragen

• Verbindungen externer IP-Adressen mit OMI-bezogenen Ports

Sicherheitsinhalte für Prozessaktivitäten

Der folgende integrierte Prozessaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

Lösungen

• Endpoint Threat Protection Essentials
• Legacy IOC Based Threat Detection

Analyseregeln

• Wahrscheinliche Verwendung des AdFind Recon-Tools (normalisierte Prozessereignisse)
• Base64-codierte Windows-Prozessbefehlszeilen (normalisierte Prozessereignisse)
• Schadsoftware im Papierkorb (normalisierte Prozessereignisse)
• Midnight Blizzard – verdächtige rundll32.exe-Ausführung von vbscript (normalisierte Prozessereignisse)
• SUNBURST – verdächtige untergeordnete SolarWinds-Prozesse (normalisierte Prozessereignisse)

Hunting-Abfragen

• Aufschlüsselung der täglichen Zusammenfassung des CScript-Skripts (normalisierte Prozessereignisse)
• Enumeration von Benutzern und Gruppen (normalisierte Prozessereignisse)
• Exchange PowerShell-Snap-In hinzugefügt (normalisierte Prozessereignisse)
• Host exportiert Postfach und Entfernen des Exports (normalisierte Prozessereignisse)
• Invoke-PowerShellTcpOneLine-Syntax (normalisierte Prozessereignisse)
• Nishang Reverse TCP Shell in Base64 (normalisierte Prozessereignisse)
• Zusammenfassung der Benutzer, die mit ungewöhnlichen/nicht dokumentierten Befehlszeilenschaltern erstellt wurden (normalisierte Prozessereignisse)
• Powercat-Download (normalisierte Prozessereignisse)
• PowerShell-Downloads (normalisierte Prozessereignisse)
• Entropie für Prozesse für einen bestimmten Host (normalisierte Prozessereignisse)
• SolarWinds-Inventar (normalisierte Prozessereignisse)
• Verdächtige Enumeration mithilfe des Adfind-Tools (normalisierte Prozessereignisse)
• Herunterfahren/Neustarten des Windows-Systems (normalisierte Prozessereignisse)
• Certutil (LOLBins und LOLScripts, normalisierte Prozessereignisse)
• Rundll32 (LOLBins und LOLScripts, normalisierte Prozessereignisse)
• Ungewöhnliche Prozesse – unter 5 % (normalisierte Prozessereignisse)
• Unicode Obfuscation in der Befehlszeile

Sicherheitsinhalte für Registrierungsaktivitäten

Der folgende integrierte Registrierungsaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

Analyseregeln

• Potenzielle Fodhelper-UAC-Umgehung (ASIM-Version)

Hunting-Abfragen

• Persistieren über IFEO-Registrierungsschlüssel

Sicherheitsinhalte für Websitzungen

Der folgende integrierte Websitzungsinhalt wird für die ASIM-Normalisierung unterstützt.

Lösungen

• Log4j Vulnerability Detection
• Threat Intelligence

Analyseregeln

• (Vorschau) TI-Zuordnung der Domänenentität zu Websitzungsereignissen (ASIM-Websitzungsschema)
• (Vorschau) TI-Zuordnung der IP-Entität zu Websitzungsereignissen (ASIM-Websitzungsschema)
• Potenzielle Kommunikation mit einem DGA-basierten (Domain Generation Algorithm) Hostnamen (ASIM-Netzwerksitzungsschema)
• Ein Client hat eine Webanforderung an eine potenziell schädliche Datei (ASIM-Websitzungsschema) gestellt
• Auf einem Host wird möglicherweise ein Crypto-Miner (ASIM-Websitzungsschema) ausgeführt
• Auf einem Host wird möglicherweise ein Hackingtool (ASIM-Websitzungsschema) ausgeführt
• Auf einem Host wird möglicherweise PowerShell ausgeführt, um HTTP(S)-Anforderungen zu senden (ASIM-Websitzungsschema)
• Discord CDN: Riskanter Dateidownload (ASIM-Websitzungsschema)
• Übermäßige Anzahl von HTTP-Authentifizierungsfehlern von einer Quelle (ASIM-Websitzungsschema)
• Bekannte Barium-Domänen
• Bekannte Barium-IP-Adressen
• Bekannte Ruby Sleet-Domänen und -Hashes
• Bekannte IP-Adresse für Seashell Blizzard
• Bekannte NICKEL-Domänen und -Hashes
• Midnight Blizzard – Domänen- und IP-IOCs – März 2021
• Midnight Blizzard – Domänen-, Hash- und IP-IOCs – Mai 2021
• Known Phosphorus group domains/IP (Bekannte Phosphorus-Gruppendomänen/IP-Adressen)
• Benutzer-Agent-Suche nach log4j-Exploitversuch

Nächste Schritte

In diesem Artikel werden die Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) erläutert.

Weitere Informationen finden Sie unter

• Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
• Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Verwenden des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)
• Ändern von Microsoft Sentinel-Inhalten zur Verwendung der ASIM-Parser (erweitertes Sicherheitsinformationsmodells)