Contenu de la sécurité ASIM (Advanced Security Information Model) (Préversion publique)

Le contenu de sécurité normalisé dans Microsoft Sentinel comprend des règles analytiques, des requêtes de chasse et des classeurs qui fonctionnent avec des analyseurs de normalisation d’unification.

Vous pouvez trouver du contenu normalisé et intégré dans les galeries et les solutionsMicrosoft Sentinel, créer votre propre contenu normalisé ou modifier le contenu existant pour utiliser des données normalisées.

Cet article liste le contenu intégré de Microsoft Sentinel configuré pour prendre en charge le modèle ASIM. Vous pouvez trouver ces règles à partir des liens vers le référentiel GitHub Microsoft Sentinel fourni ci-dessous comme référence, mais également dans la galerie de règles Microsoft Sentinel Analytics. Utilisez les pages GitHub liées pour copier toutes les requêtes de chasse appropriées.

Pour comprendre le fonctionnement du contenu normalisé dans l’architecture ASIM, consultez le Diagramme de l’architecture ASIM.

Conseil

Regardez également le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives. Pour plus d’informations, consultez Étapes suivantes.

Important

ASIM n’est actuellement disponible qu’en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Contenu de sécurité de l’authentification

Le contenu d’authentification intégré suivant est pris en charge pour la normalisation ASIM.

Règles analytiques

• Attaque par pulvérisation de mot de passe potentielle (utilise la normalisation de l’authentification)
• Attaque par force brute contre les informations d’identification de l’utilisateur (utilise la normalisation de l’authentification)
• Connexion de l’utilisateur depuis différents pays dans un délai de 3 heures (utilise la normalisation de l’authentification)
• Connexions à partir d’adresses IP qui tentent de se connecter à des comptes désactivés (utilise la normalisation de l’authentification)

Contenu de sécurité des requêtes DNS

Le contenu de requête DNS intégré suivant est pris en charge pour la normalisation ASIM.

Solutions

• DNS Essentials
• Détection des vulnérabilités Log4j
• Détection des menaces basée sur l’IOC hérité

Règles analytiques

• (Préversion) TI mappe l’entité Domain aux événements DNS (Schéma DNS ASIM)
• (Préversion) TI mappe l’entité IP aux événements DNS (Schéma DNS ASIM)
• DGA potentielle détecté (ASimDNS)
• Trop de requêtes DNS NXDOMAIN (Schéma DNS ASIM)
• Événements DNS liés aux pools d’exploration de données (Schéma DNS ASIM)
• Événements DNS liés aux proxies (Schéma DNS ASIM)
• Domaines Barium connus
• Adresses IP Barium connues
• Des vulnérabilités Exchange Server ont divulgué la correspondance IoC de mars 2021
• Known Granite Typhoon domains and hashes
• Known Seashell Blizzard IP
• Midnight Blizzard - Domain and IP IOCs - March 2021
• Domaines/adresses IP de groupe Phosphorus connus
• Known Forest Blizzard group domains - July 2019
• Balise réseau Solorigate
• Emerald Sleet domains included in DCU takedown
• Known Diamond Sleet Comebacker and Klackring malware hashes
• Known Ruby Sleet domains and hashes
• Domaines et hachages NICKEL connus
• Midnight Blizzard - Domain, Hash and IP IOCs - May 2021
• Balise réseau Solorigate

Contenu de sécurité de l’activité de fichier

Le contenu d’activité du fichier intégré suivant est pris en charge pour la normalisation ASIM.

• Détection des menaces basée sur l’IOC hérité

Règles analytiques

• Hachages de porte dérobée SUNBURST et SUPERNOVA (événements de fichier normalisés)
• Des vulnérabilités Exchange Server ont divulgué la correspondance IoC de mars 2021
• Silk Typhoon UM Service writing suspicious file
• Midnight Blizzard - Domain, Hash and IP IOCs - May 2021
• Création du fichier journal SUNSPOT
• Known Diamond Sleet Comebacker and Klackring malware hashes
• Cadet Blizzard Actor IOC - January 2022
• Midnight Blizzard IOCs related to FoggyWeb backdoor

Contenu de sécurité de la session réseau

Le contenu intégré suivant, associé à la session réseau, est pris en charge pour la normalisation ASIM.

Solutions

• Essentials de session réseau
• Détection des vulnérabilités Log4j
• Détection des menaces basée sur l’IOC hérité

Règles analytiques

• Exploitation des vulnérabilités Log4j ou Log4Shell IP IOC
• Nombre excessif de connexions ayant échoué à partir d’une seule source (schéma de session réseau ASIM)
• Activité de balisage potentielle (schéma de session réseau ASIM)
• (Préversion) TI mappe l’entité IP aux événements de session réseau (schéma de session réseau ASIM)
• Analyse de port détectée (schéma de session réseau ASIM)
• Adresses IP Barium connues
• Des vulnérabilités Exchange Server ont divulgué la correspondance IoC de mars 2021
• [Known Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domain, Hash and IP IOCs - May 2021
• Known Forest Blizzard group domains - July 2019

Requêtes de chasse

• Connexion d’une IP externe à des ports associés à OMI

Contenu de sécurité de l’activité de processus

Le contenu d’activité du processus intégré suivant est pris en charge pour la normalisation ASIM.

Solutions

• Éléments essentiels de la protection contre les menaces de point de terminaison
• Détection des menaces basée sur l’IOC hérité

Règles analytiques

• Utilisation probable de l’outil de rapprochement AdFind (événements de processus normalisés)
• Lignes de commande du processus Windows encodées en Base64 (événements de processus normalisés)
• Programme malveillant dans la corbeille (événements de processus normalisés)
• Midnight Blizzard - suspicious rundll32.exe execution of vbscript (Normalized Process Events)
• Processus enfants SolarWinds suspects SUNBURST (événements de processus normalisés)

Requêtes de chasse

• Décomposition du résumé quotidien de script cscript (événements de processus normalisés)
• Énumération des utilisateurs et des groupes (événements de processus normalisés)
• Ajout du composant logiciel enfichable PowerShell Exchange (événements de processus normalisés)
• Hôte exportant la boîte aux lettres et supprimant l’exportation (événements de processus normalisés)
• Utilisation d’Invoke-PowerShellTcpOneLine (événements de processus normalisés)
• Interpréteur de commandes TCP inverse Nishang dans Base64 (Normalized Process Events)
• Résumé des utilisateurs créés à l’aide de commutateurs de ligne de commande non communs/non documentés (événements de processus normalisés)
• Téléchargement Powercat (événements de processus normalisés)
• Téléchargements PowerShell (événements de processus normalisés)
• Entropie pour les processus d’un hôte donné (événements de processus normalisés)
• Inventaire SolarWinds (événements de processus normalisés)
• Énumération suspecte à l’aide de l’outil Adfind (événements de processus normalisés)
• Arrêt/redémarrage du système Windows (événements de processus normalisés)
• Certutil (LOLBins et LOLScripts, événements de processus normalisés)
• Rundll32 (LOLBins et LOLScripts, événements de processus normalisés)
• Processus inhabituels – 5 % inférieurs (événements de processus normalisés)
• Obfuscation Unicode dans la ligne de commande

Contenu de sécurité de l’activité de Registre

Le contenu d’activité du registre intégré suivant est pris en charge pour la normalisation ASIM.

Règles analytiques

• Ignorer l’UAC Fodhelper potentiel (version ASIM)

Requêtes de chasse

• Persistance via la clé de Registre IFEO

Contenu de sécurité de la session réseau

Le contenu intégré suivant, associé à la session web, est pris en charge pour la normalisation ASIM.

Solutions

• Détection des vulnérabilités Log4j
• Renseignement sur les menaces

Règles analytiques

• (Préversion) TI mappe l’entité Domain aux événements de session web (schéma de session web ASIM)
• (Préversion) TI mappe l’entité IP aux événements de session web (schéma de session web ASIM)
• Communication potentielle avec un nom d’hôte basé sur un algorithme de génération de domaine (DGA) (schéma de session réseau ASIM)
• Un client a envoyé une demande web à un fichier potentiellement dangereux (schéma de session web ASIM)
• Un hôte exécute potentiellement un mineur de chiffrement (schéma de session web ASIM)
• Un hôte exécute potentiellement un outil de piratage (schéma de session web ASIM)
• Un hôte exécute potentiellement PowerShell pour envoyer des requêtes HTTP(S) (schéma de session web ASIM)
• Discordance de téléchargement de fichier à risque (schéma de session web ASIM)
• Nombre excessif d’échecs d’authentification HTTP à partir d’une source (schéma de session web ASIM)
• Domaines Barium connus
• Adresses IP Barium connues
• Known Ruby Sleet domains and hashes
• Known Seashell Blizzard IP
• Domaines et hachages NICKEL connus
• Midnight Blizzard - Domain and IP IOCs - March 2021
• Midnight Blizzard - Domain, Hash and IP IOCs - May 2021
• Domaines/adresses IP de groupe Phosphorus connus
• Recherche d’agent utilisateur pour la tentative d’exploitation de log4j

Étapes suivantes

Cet article présente le contenu d’ASIM (Advanced Security Information Model).

Pour plus d'informations, consultez les pages suivantes :

• Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
• Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
• Schémas de l’Advanced SIEM Information Model (ASIM)
• Analyseurs de l’Advanced SIEM Information Model (ASIM)
• Utilisation du modèle Advanced Security Information Model (ASIM)
• Modification du contenu Microsoft Sentinel pour utiliser les analyseurs du modèle ASIM (Advanced Security Information Model)