Sicherheitsinhalte des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)

Normalisierte Sicherheitsinhalte in Microsoft Sentinel umfassen Analyseregeln, Huntingabfragen und Arbeitsmappen, die mit vereinheitlichenden Normalisierungsparsern funktionieren.

Sie können normalisierte, integrierte Inhalte in Microsoft Sentinel Katalogen und Lösungen finden, eigene normalisierte Inhalte erstellen oder vorhandene Inhalte ändern, um normalisierte Daten zu verwenden.

In diesem Artikel werden integrierte Microsoft Sentinel Inhalte aufgeführt, die für die Unterstützung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) konfiguriert wurden. Während Links zum Microsoft Sentinel GitHub-Repository als Referenz bereitgestellt werden, finden Sie diese Regeln auch im Microsoft Sentinel Analytics-Regelkatalog. Verwenden Sie die verknüpften GitHub-Seiten, um alle relevanten Hunting-Abfragen zu kopieren.

Informationen dazu, wie normalisierte Inhalte in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.

Tipp

Sehen Sie sich auch das Deep Dive-Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder sehen Sie sich die Folien an. Weitere Informationen finden Sie unter: Nächste Schritte.

Inhalt der Authentifizierungssicherheit

Der folgende integrierte Authentifizierungsinhalt wird für die ASIM-Normalisierung unterstützt.

Analyseregeln

• Potenzieller Kennwortsprayangriff (verwendet Authentifizierungsnormalisierung)
• Brute-Force-Angriff auf Benutzeranmeldeinformationen (verwendet Authentifizierungsnormalisierung)
• Benutzeranmeldung aus verschiedenen Ländern/Regionen innerhalb von 3 Stunden (verwendet Authentifizierungsnormalisierung)
• Anmeldungen von IP-Adressen, die versuchen, sich bei deaktivierten Konten anzumelden (verwendet Authentifizierungsnormalisierung)

Inhalt der Dateiaktivitätssicherheit

Der folgende integrierte Dateiaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

• Legacy-IOC-basierte Bedrohungserkennung

Analyseregeln

• BACKDOOR-Hashes für SUNBURST und SUPERNOVA (normalisierte Dateiereignisse)

Sicherheitsinhalt der Registrierungsaktivität

Die folgenden integrierten Registrierungsaktivitätsinhalte werden für die ASIM-Normalisierung unterstützt.

Analyseregeln

• Potenzielle Fodhelper-UAC-Umgehung (ASIM-Version)

Hunting-Abfragen

• Beibehalten über den IFEO-Registrierungsschlüssel

Inhalt der DNS-Abfragesicherheit

Die folgenden integrierten DNS-Abfrageinhalte werden für die ASIM-Normalisierung unterstützt.

Lösungen

Analyseregeln

DNS Essentials Log4j-Sicherheitsrisikoerkennung Legacy-IOC-basierte Bedrohungserkennung

TI: Zuordnen einer Domänenentität zu DNS-Ereignissen (ASIM-DNS-Schema) TI: Zuordnen einer IP-Entität zu DNS-Ereignissen (ASIM-DNS-Schema) Potenzielle DGA erkannt (ASimDNS) Übermäßige NXDOMAIN-DNS-Abfragen (ASIM-DNS-Schema) DNS-Ereignisse im Zusammenhang mit Miningpools (ASIM DNS-Schema) DNS-Ereignisse im Zusammenhang mit ToR-Proxys (ASIM DNS-Schema) Bekannte Forest Blizzard-Gruppendomänen – Juli 2019

Inhalt der Netzwerksitzungssicherheit

Die folgenden integrierten Netzwerksitzungsinhalte werden für die ASIM-Normalisierung unterstützt.

Lösungen	Analyseregeln	Hunting-Abfragen
Grundlegendes zu Netzwerksitzungen Log4j-Sicherheitsrisikoerkennung Legacy-IOC-basierte Bedrohungserkennung	Log4j-Sicherheitsrisiko exploit alias Log4Shell IP IOC Übermäßige Anzahl fehlerhafter Verbindungen von einer einzelnen Quelle (ASIM-Netzwerksitzungsschema) Potenzielle Beaconing-Aktivität (ASIM-Netzwerksitzungsschema) TI zuordnen einer IP-Entität zu Netzwerksitzungsereignissen (ASIM-Netzwerksitzungsschema) Portüberprüfung erkannt (ASIM-Netzwerksitzungsschema) Bekannte Forest Blizzard-Gruppendomänen – Juli 2019	Verbindung von einer externen IP-Adresse zu OMI-bezogenen Ports

Sicherheitsinhalte der Prozessaktivität

Der folgende integrierte Prozessaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

Lösungen	Analyseregeln	Hunting-Abfragen
Endpoint Threat Protection Essentials Legacy-IOC-basierte Bedrohungserkennung	Wahrscheinliche Verwendung des AdFind Recon-Tools (normalisierte Prozessereignisse) Base64-codierte Windows-Prozessbefehlszeilen (normalisierte Prozessereignisse) Schadsoftware im Papierkorb (normalisierte Prozessereignisse) Midnight Blizzard – verdächtige rundll32.exe Ausführung von vbscript (normalisierte Prozessereignisse) SUNBURST verdächtige untergeordnete SolarWinds-Prozesse (normalisierte Prozessereignisse)	Tägliche Zusammenfassung des Cscript-Skripts (normalisierte Prozessereignisse) Enumeration von Benutzern und Gruppen (normalisierte Prozessereignisse) Exchange PowerShell Snapin hinzugefügt (normalisierte Prozessereignisse) HostExporting Mailbox and Removing Exporting Export Invoke-PowerShellTcpOneLine-Verwendung (normalisierte Prozessereignisse) Nishang Reverse TCP Shell in Base64 (normalisierte Prozessereignisse) Zusammenfassung der Benutzer, die mit ungewöhnlichen/nicht dokumentierten Befehlszeilenoptionen (normalisierte Prozessereignisse) erstellt wurden Powercat-Download (normalisierte Prozessereignisse) PowerShell-Downloads (normalisierte Prozessereignisse) Entropie für Prozesse für einen bestimmten Host (normalisierte Prozessereignisse) SolarWinds Inventory (normalisierte Prozessereignisse) Verdächtige Enumeration mithilfe des Adfind-Tools (normalisierte Prozessereignisse) Herunterfahren/Neustart des Windows-Systems (normalisierte Prozessereignisse) Certutil (LOLBins und LOLScripts, normalisierte Prozessereignisse) Rundll32 (LOLBins und LOLScripts, normalisierte Prozessereignisse) Ungewöhnliche Prozesse – untere 5 % (normalisierte Prozessereignisse) Unicode-Obfuskation in der Befehlszeile

Inhalt der Websitzungssicherheit

Die folgenden integrierten Websitzungsinhalte werden für die ASIM-Normalisierung unterstützt.

Lösungen

Analyseregeln

Log4j-Sicherheitsrisikoerkennung Threat Intelligence

TI zuordnen einer Domänenentität zu Websitzungsereignissen (ASIM-Websitzungsschema) TI zuordnen der IP-Entität zu Websitzungsereignissen (ASIM-Websitzungsschema) Potenzielle Kommunikation mit einem DGA-basierten Hostnamen (Domänengenerierungsalgorithmus) (ASIM-Netzwerksitzungsschema) Ein Client hat eine Webanforderung an eine potenziell schädliche Datei gesendet (ASIM-Websitzungsschema) Ein Host führt potenziell einen Kryptominer (ASIM-Websitzungsschema) aus. Ein Host führt potenziell ein Hacking-Tool (ASIM-Websitzungsschema) aus. Ein Host führt möglicherweise PowerShell aus, um HTTP(S)-Anforderungen zu senden (ASIM-Websitzungsschema) Discord CDN Risky File Download (ASIM-Websitzungsschema) Übermäßige Anzahl von HTTP-Authentifizierungsfehlern aus einer Quelle (ASIM-Websitzungsschema) Benutzer-Agent-Suche nach Log4j-Ausnutzungsversuch

Nächste Schritte

Weitere Informationen finden Sie unter:

• Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
• Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Advanced Security Information Model (ASIM)-Schemas
• ASIM-Parser (Advanced Security Information Model)
• Verwenden des advanced Security Information Model (ASIM)
• Ändern Microsoft Sentinel Inhaltes zur Verwendung der ASIM-Parser (Advanced Security Information Model)