Contenido de seguridad del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)

El contenido de seguridad normalizado de Microsoft Sentinel incluye reglas de análisis, consultas de búsqueda y libros que funcionan con analizadores de normalización unificados.

Puede encontrar contenido integrado normalizado en galerías y soluciones de Microsoft Sentinel, crear su propio contenido normalizado o modificar el contenido existente para usar datos normalizados.

En este artículo, se muestra el contenido integrado de Microsoft Sentinel que está configurado para admitir el Modelo avanzado de información de seguridad (ASIM). Aunque se proporcionan vínculos al repositorio de GitHub de Microsoft Sentinel como referencia, también puede encontrar estas reglas en la galería de reglas de Microsoft Sentinel Analytics. Use las páginas de GitHub vinculadas para copiar las consultas de búsqueda pertinentes.

Para entender cómo encaja el contenido normalizado en la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.

Sugerencia

Vea también el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas. Para más información, consulte la sección Pasos siguientes.

Importante

ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Contenido de seguridad de autenticación

El siguiente contenido de autenticación integrado es compatible con la normalización de ASIM.

Reglas de análisis

• Posible ataque de difusión de contraseña (usa la normalización de autenticación)
• Ataque por fuerza bruta contra las credenciales de usuario (usa la normalización de autenticación)
• Inicio de sesión de usuario de diferentes países o regiones en un plazo de 3 horas (usa la normalización de autenticación)
• Inicios de sesión desde direcciones IP que intentan iniciar sesión en cuentas deshabilitadas (usa la normalización de autenticación)

Contenido de seguridad de la actividad del archivo

El siguiente contenido de actividad del archivo integrado es compatible con la normalización de ASIM.

• Detección de amenazas basada en IOC heredados

Reglas de análisis

• Hashes de puerta trasera SUNBURST y SUPERNOVA (eventos de archivos normalizados)

Contenido de seguridad de la actividad del Registro

El siguiente contenido de actividad del Registro integrado es compatible con la normalización de ASIM.

Reglas de análisis

• Posible omisión de UAC de Fodhelper (versión de ASIM)

Consultas de búsqueda

• Conservación a través de la clave del Registro IFEO

Contenido de seguridad de consultas de DNS

El siguiente contenido de consultas de DNS integrado es compatible con la normalización de ASIM.

Soluciones

Reglas de análisis

Aspectos básicos de DNS Detección de vulnerabilidades de Log4j Detección de amenazas basada en IOC heredados

(Versión preliminar) Entidad de dominio de asignación de TI a eventos DNS (esquema DNS de ASIM) (Versión preliminar) Entidad de IP de asignación de TI a eventos DNS (esquema DNS de ASIM) DGA potencial detectado (ASimDNS) Consultas de DNS NXDOMAIN excesivas (esquema DNS de ASIM) Eventos DNS relacionados con grupos de minería de datos (esquema DNS de ASIM) Eventos DNS relacionados con servidores proxy ToR (esquema DNS de ASIM) Dominios de grupo conocidos de Bosque de Blizzard, julio de 2019

Contenido de seguridad de sesión de red

El contenido siguiente relacionado con sesiones de red integrado es compatible con la normalización de ASIM.

Soluciones	Reglas de análisis	Consultas de búsqueda
Elementos esenciales de la sesión de red Detección de vulnerabilidades de Log4j Detección de amenazas basada en IOC heredados	Explotación de vulnerabilidades de seguridad de Log4j, también conocida como IOC de IP de Log4Shell Cantidad excesiva de conexiones con error desde un origen único (esquema de sesión de red de ASIM) Actividad de señalización posible (esquema de sesión de red de ASIM) (versión preliminar) Entidad de IP de asignación de TI a eventos de sesión de red (esquema de sesión de red de ASIM) Examen de puerto detectado (esquema de sesión de red de ASIM) Dominios de grupo conocidos de Bosque de Blizzard, julio de 2019	Conexión de una dirección IP externa a puertos relacionados con OMI

Contenido de seguridad de la actividad del proceso

El siguiente contenido de actividad del proceso integrado es compatible con la normalización de ASIM.

Soluciones	Reglas de análisis	Consultas de búsqueda
Información esencial de protección contra amenazas de punto de conexión Detección de amenazas basada en IOC heredados	Probable uso de la herramienta AdFind Recon (eventos de proceso normalizados) Líneas de comandos de procesos de Windows codificadas en Base64 (eventos de proceso normalizados) Malware en la papelera de reciclaje (eventos de proceso normalizados) Medianoche de Blizzard: ejecución sospechosa de rundll32.exe de vbscript (eventos de proceso normalizados) SUNBURST: procesos secundarios sospechosos de SolarWinds (eventos de proceso normalizados)	Desglose de resumen diario de scripts de Cscript (eventos de proceso normalizados) Enumeración de usuarios y grupos (eventos de proceso normalizados) Complemento de Exchange PowerShell agregado (eventos de proceso normalizados) Host exportando buzón y quitando exportación (eventos de proceso normalizados) Uso de Invoke-PowerShellTcpOneLine (eventos de proceso normalizados) Shell TCP inverso en Base64 (eventos de proceso normalizados) Resumen de usuarios creados mediante modificadores de línea de comandos poco comunes o no documentados (eventos de proceso normalizados) Descarga de Powercat (eventos de proceso normalizados) Descargas de PowerShell (eventos de proceso normalizados) Entropía para los procesos de un host determinado (eventos de proceso normalizados) Inventario de SolarWinds (eventos de proceso normalizados) Enumeración sospechosa mediante la herramienta Adfind (eventos de proceso normalizados) Apagado/reinicio del sistema de Windows (eventos de proceso normalizados) Certutil (LOLBins y LOLScripts, eventos de proceso normalizados) Rundll32 (LOLBins y LOLScripts, eventos de proceso normalizados) Procesos poco comunes: inferiores al 5 % (eventos de proceso normalizados) Ofuscación Unicode en la línea de comandos

Contenido de seguridad de la sesión web

El contenido siguiente relacionado con sesiones web integrado es compatible con la normalización de ASIM.

Soluciones

Reglas de análisis

Detección de vulnerabilidades de Log4j Inteligencia sobre amenazas

(versión preliminar) Entidad de dominio de asignación de TI a eventos de sesión web (esquema de sesión web de ASIM) (Versión preliminar) Entidad de IP de asignación de TI a eventos de sesión web (esquema de sesión web de ASIM) Comunicación posible con un nombre de host basado en el algoritmo de generación de dominios (DGA) (esquema de sesión de red de ASIM) Un cliente hizo una solicitud web a un archivo posiblemente dañino (esquema de sesión web de ASIM) Un host ejecuta posiblemente una minería criptográfica (esquema de sesión web de ASIM) Un host ejecuta posiblemente una herramienta de piratería (esquema de sesión web de ASIM) Un host ejecuta posiblemente PowerShell para enviar solicitudes HTTP(S) (esquema de sesión web de ASIM) Descarga de archivos de riesgo de CND de Discord (esquema de sesión web de ASIM) Número excesivo de errores de autenticación HTTP desde un origen (esquema de sesión web de ASIM) Búsqueda del agente de usuario para el intento de explotación de Log4j

Pasos siguientes

Para más información, consulte:

• Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
• Introducción al Modelo avanzado de información de seguridad (ASIM)
• Esquemas del Modelo avanzado de información de seguridad (ASIM)
• Analizadores del Modelo avanzado de información de seguridad (ASIM)
• Uso del modelo avanzado de información de seguridad (ASIM)
• Modificación del contenido de Microsoft Sentinel para usar los analizadores del Modelo avanzado de información de seguridad (ASIM)