Contenu de sécurité ASIM (Advanced Security Information Model)

Le contenu de sécurité normalisé dans Microsoft Sentinel inclut des règles d’analyse, des requêtes de repérage et des classeurs qui fonctionnent avec des analyseurs de normalisation d’unification.

Vous pouvez trouver du contenu normalisé et intégré dans Microsoft Sentinel galeries et solutions, créer votre propre contenu normalisé ou modifier le contenu existant pour utiliser des données normalisées.

Cet article répertorie le contenu Microsoft Sentinel intégré qui a été configuré pour prendre en charge le modèle ASIM (Advanced Security Information Model). Bien que des liens vers le référentiel GitHub Microsoft Sentinel soient fournis en tant que référence, vous pouvez également trouver ces règles dans la galerie de règles Microsoft Sentinel Analytics. Utilisez les pages GitHub liées pour copier toutes les requêtes de chasse pertinentes.

Pour comprendre comment le contenu normalisé s’intègre dans l’architecture ASIM, reportez-vous au diagramme de l’architecture ASIM.

Conseil

Regardez également le webinaire de plongée approfondie sur Microsoft Sentinel normalisation des analyseurs et du contenu normalisé ou passez en revue les diapositives. Pour plus d’informations, consultez la section Étapes suivantes.

Contenu de sécurité d’authentification

Le contenu d’authentification intégré suivant est pris en charge pour la normalisation ASIM.

Règles d’analyse

• Attaque par pulvérisation de mot de passe potentielle (utilise la normalisation de l’authentification)
• Attaque par force brute contre les informations d’identification de l’utilisateur (utilise la normalisation de l’authentification)
• Connexion utilisateur à partir de différents pays/régions dans les 3 heures (utilise la normalisation de l’authentification)
• Connexions à partir d’adresses IP qui tentent de se connecter à des comptes désactivés (utilise la normalisation de l’authentification)

Contenu de sécurité de l’activité de fichier

Le contenu d’activité de fichier intégré suivant est pris en charge pour la normalisation ASIM.

• Détection des menaces basée sur l’IOC héritée

Règles d’analyse

• Hachages de porte dérobée SUNBURST et SUPERNOVA (événements de fichier normalisés)

Contenu de sécurité de l’activité du registre

Le contenu d’activité de Registre intégré suivant est pris en charge pour la normalisation ASIM.

Règles d’analyse

• Contournement de l’UAC Fodhelper potentiel (version ASIM)

Requêtes de chasse

• Persistance via une clé de Registre IFEO

Contenu de sécurité des requêtes DNS

Le contenu de requête DNS intégré suivant est pris en charge pour la normalisation ASIM.

Solutions

Règles d’analyse

DNS Essentials Détection des vulnérabilités Log4j Détection des menaces basée sur l’IOC héritée

Mappez une entité de domaine à des événements DNS (schéma DNS ASIM) Mappez une entité IP à des événements DNS (schéma DNS ASIM) Détection de DGA potentielle (ASimDNS) Nombre excessif de requêtes DNS NXDOMAIN (schéma DNS ASIM) Événements DNS liés aux pools d’exploration de données (schéma DNS ASIM) Événements DNS liés aux proxys ToR (schéma DNS ASIM) Domaines de groupe de forêt Blizzard connus - Juillet 2019

Contenu de sécurité de session réseau

Le contenu de session réseau intégré suivant est pris en charge pour la normalisation ASIM.

Solutions	Règles d’analyse	Requêtes de chasse
Bases de la session réseau Détection des vulnérabilités Log4j Détection des menaces basée sur l’IOC héritée	Exploit de vulnérabilité Log4j alias LOG4Shell IP IOC Nombre excessif de connexions ayant échoué à partir d’une source unique (schéma de session réseau ASIM) Activité de balise potentielle (schéma de session réseau ASIM) Mappez une entité IP à des événements de session réseau (schéma de session réseau ASIM) Analyse de port détectée (schéma de session réseau ASIM) Domaines de groupe de forêt Blizzard connus - Juillet 2019	Connexion à partir d’une adresse IP externe à des ports OMI

Contenu de sécurité de l’activité de traitement

Le contenu d’activité de processus intégré suivant est pris en charge pour la normalisation ASIM.

Solutions	Règles d’analyse	Requêtes de chasse
Endpoint Threat Protection Essentials Détection des menaces basée sur l’IOC héritée	Utilisation probable de l’outil De reconquête AdFind (événements de processus normalisés) Lignes de commande de processus Windows codées en base64 (événements de processus normalisés) Programmes malveillants dans la corbeille (événements de processus normalisés) Blizzard de minuit : exécution suspecte rundll32.exe de vbscript (événements de processus normalisés) Processus enfants solarWinds suspects SUNBURST (événements de processus normalisés)	Résumé quotidien du script Cscript (événements de processus normalisés) Énumération d’utilisateurs et de groupes (événements de processus normalisés) Ajout d’un composant logiciel enfichable Exchange PowerShell (événements de processus normalisés) Hôte d’exportation de boîtes aux lettres et suppression d’exportation (événements de processus normalisés) Utilisation d’Invoke-PowerShellTcpOneLine (événements de processus normalisés) Interpréteur de commandes TCP inverse Nishang en base64 (événements de processus normalisés) Résumé des utilisateurs créés à l’aide de commutateurs de ligne de commande rares/non documentés (événements de processus normalisés) Téléchargement Powercat (événements de processus normalisés) Téléchargements PowerShell (événements de processus normalisés) Entropie des processus pour un hôte donné (événements de processus normalisés) Inventaire SolarWinds (événements de processus normalisés) Énumération suspecte à l’aide de l’outil Adfind (événements de processus normalisés) Arrêt/redémarrage du système Windows (événements de processus normalisés) Certutil (LOLBins et LOLScripts, événements de processus normalisés) Rundll32 (LOLBins et LOLScripts, événements de processus normalisés) Processus inhabituels - 5 % inférieur (événements de processus normalisés) Obfuscation Unicode dans la ligne de commande

Contenu de sécurité de session web

Le contenu de session web intégré suivant est pris en charge pour la normalisation ASIM.

Solutions

Règles d’analyse

Détection des vulnérabilités Log4j Threat Intelligence

Mappez une entité de domaine à des événements de session web (schéma de session web ASIM) Mappez une entité IP à des événements de session web (schéma de session web ASIM) Communication potentielle avec un nom d’hôte basé sur un algorithme de génération de domaine (DGA) (schéma de session réseau ASIM) Un client a effectué une requête web à un fichier potentiellement dangereux (schéma de session web ASIM) Un hôte exécute potentiellement un mineur de chiffrement (schéma de session web ASIM) Un hôte exécute potentiellement un outil de piratage (schéma de session web ASIM) Un hôte exécute potentiellement PowerShell pour envoyer des requêtes HTTP(S) (schéma de session web ASIM) Téléchargement de fichiers à risque CDN Discord (schéma de session web ASIM) Nombre excessif d’échecs d’authentification HTTP à partir d’une source (schéma de session web ASIM) Recherche de l’agent utilisateur pour la tentative d’exploitation Log4j

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Regardez le webinaire approfondi sur Microsoft Sentinel normalisation des analyseurs et du contenu normalisé ou passez en revue les diapositives
• Vue d’ensemble du modèle ASIM (Advanced Security Information Model)
• Schémas ASIM (Advanced Security Information Model)
• Analyseurs ASIM (Advanced Security Information Model)
• Utilisation du modèle ASIM (Advanced Security Information Model)
• Modification Microsoft Sentinel contenu pour utiliser les analyseurs ASIM (Advanced Security Information Model)