Advanced Security Information Model (ASIM) biztonsági tartalom (nyilvános előzetes verzió)
A Microsoft Sentinel normalizált biztonsági tartalma elemzési szabályokat, keresési lekérdezéseket és munkafüzeteket tartalmaz, amelyek a normalizálási elemzők egységesítésével működnek.
A Microsoft Sentinel-katalógusokban és - megoldásokban találhat normalizált, beépített tartalmakat, létrehozhat saját normalizált tartalmakat, vagy módosíthatja a meglévő tartalmakat a normalizált adatok használatához.
Ez a cikk az Advanced Security Information Model (ASIM) támogatásához konfigurált beépített Microsoft Sentinel-tartalmakat sorolja fel. Bár a Microsoft Sentinel GitHub-adattárra mutató hivatkozásokat alább találja hivatkozásként, ezeket a szabályokat a Microsoft Sentinel Analytics szabálygyűjteményében is megtalálhatja. A csatolt GitHub-oldalak használatával másolhatja a releváns keresési lekérdezéseket.
Ha szeretné megtudni, hogy a normalizált tartalom hogyan illeszkedik az ASIM-architektúrába, tekintse meg az ASIM-architektúra diagramot.
Tipp
Emellett watch a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content szolgáltatásban, vagy tekintse át a diákat. További információ: Következő lépések.
Fontos
Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.
Hitelesítési biztonsági tartalom
Az ASIM-normalizáláshoz az alábbi beépített hitelesítési tartalom támogatott.
Elemzési szabályok
- Lehetséges jelszópermetes támadás (hitelesítési normalizálást használ)
- Találgatásos támadás a felhasználói hitelesítő adatok ellen (hitelesítési normalizálást használ)
- Felhasználói bejelentkezés különböző országokból 3 órán belül (Hitelesítési normalizálást használ)
- Olyan IP-címekről érkező bejelentkezések, amelyek letiltott fiókokba próbálnak bejelentkezni (hitelesítési normalizálást használ)
DNS-lekérdezés biztonsági tartalma
Az ASIM-normalizáláshoz az alábbi beépített DNS-lekérdezési tartalom támogatott.
Megoldások
Elemzési szabályok
- (Előzetes verzió) TI-leképezési tartomány entitása DNS-eseményekhez (ASIM DNS-séma)
- (Előzetes verzió) TI-leképezési IP-entitás DNS-eseményekre (ASIM DNS-séma)
- Lehetséges DGA észlelve (ASimDNS)
- Túlzott NXDOMAIN DNS-lekérdezések (ASIM DNS-séma)
- A bányászati készletekhez kapcsolódó DNS-események (ASIM DNS-séma)
- ToR-proxykkal kapcsolatos DNS-események (ASIM DNS-séma)
- Ismert báriumtartományok
- Ismert bárium IP-címek
- Exchange Server 2021. márciusi IoC-mérkőzésen közzétett biztonsági rések
- Ismert gránit tájfun tartományok és kivonatok
- Ismert Seashell-hóvihar IP-címe
- Midnight Blizzard – Tartomány- és IP-IOC-k – 2021. március
- Ismert foszforcsoport-tartományok/IP-címek
- Ismert Forest Blizzard-csoporttartományok – 2019. július
- Solorigate Network Beacon
- A DCU-ban foglalt Smaragd Sleet-tartományok
- Ismert Diamond Sleet Comebacker és Klackring malware kivonatok
- Ismert Ruby Sleet-tartományok és kivonatok
- Ismert NICKEL-tartományok és kivonatok
- Midnight Blizzard – Domain, Hash és IP IOCs – 2021. május
- Solorigate Network Beacon
Fájltevékenység biztonsági tartalma
Az ASIM-normalizáláshoz az alábbi beépített fájltevékenység-tartalom támogatott.
Elemzési szabályok
- SUNBURST és SUPERNOVA háttérkivonatok (normalizált fájlesemények)
- Exchange Server 2021. márciusi IoC-mérkőzésen közzétett biztonsági rések
- Silk Typhoon UM Service, gyanús fájl írása
- Midnight Blizzard – Domain, Hash és IP IOCs – 2021. május
- SUNSPOT naplófájl létrehozása
- Ismert Diamond Sleet Comebacker és Klackring malware kivonatok
- Cadet Blizzard actor IOC – 2022. január
- Midnight Blizzard IOC kapcsolódó FoggyWeb backdoor
Hálózati munkamenet biztonsági tartalma
Az ASIM-normalizáláshoz az alábbi beépített hálózati munkamenetekhez kapcsolódó tartalom támogatott.
Megoldások
- Hálózati munkamenet alapvető elemei
- Log4j biztonsági rések észlelése
- Örökölt IOC-alapú fenyegetésészlelés
Elemzési szabályok
- Log4j biztonsági rés kiaknázása, más néven Log4Shell IP IOC
- Túl sok sikertelen kapcsolat egyetlen forrásból (ASIM hálózati munkamenet sémája)
- Lehetséges jelzőtevékenység (ASIM hálózati munkamenet sémája)
- (Előzetes verzió) TI ip-entitás leképezése hálózati munkameneteseményekbe (ASIM hálózati munkamenet sémája)
- Portvizsgálat észlelhető (ASIM hálózati munkamenet sémája)
- Ismert bárium IP-címek
- Exchange Server 2021. márciusi IoC-mérkőzésen közzétett biztonsági rések
- [Ismert SeaShell-hóvihar IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard – Domain, Hash és IP IOCs – 2021. május
- Ismert Forest Blizzard-csoporttartományok – 2019. július
Veszélyforrás-keresési lekérdezések
Folyamattevékenység biztonsági tartalma
Az ASIM-normalizáláshoz az alábbi beépített folyamattevékenység-tartalom támogatott.
Megoldások
Elemzési szabályok
- Valószínű AdFind recon tool usage (normalizált folyamatesemények)
- Base64 kódolású Windows-folyamat parancssorai (Normalizált folyamatesemények)
- Kártevők a lomtárban (normalizált folyamatesemények)
- Midnight Blizzard – gyanús rundll32.exe vbscript végrehajtása (normalizált folyamatesemények)
- SUNBURST gyanús SolarWinds gyermekfolyamatok (Normalizált folyamatesemények)
Veszélyforrás-keresési lekérdezések
- Cscript-szkript napi összefoglaló lebontása (Normalizált folyamatesemények)
- Felhasználók és csoportok számbavétele (Normalizált folyamatesemények)
- Exchange PowerShell beépülő modul hozzáadva (normalizált folyamatesemények)
- Gazdagép exportálása postaláda és exportálás eltávolítása (normalizált folyamatesemények)
- Invoke-PowerShellTcpOneLine-használat (normalizált folyamatesemények)
- Nishang Fordított TCP-rendszerhéj a Base64-ben (normalizált folyamatesemények)
- Nem gyakori/nem dokumentált parancssori kapcsolókkal létrehozott felhasználók összegzése (Normalizált folyamatesemények)
- Powercat-letöltés (normalizált folyamatesemények)
- PowerShell-letöltések (normalizált folyamatesemények)
- Entrópia egy adott gazdagép folyamataihoz (normalizált folyamatesemények)
- SolarWinds Inventory (Normalizált folyamatesemények)
- Gyanús enumerálás az Adfind eszközzel (normalizált folyamatesemények)
- Windows rendszer leállítása/újraindítása (normalizált folyamatesemények)
- Certutil (LOLBins és LOLScripts, normalizált folyamatesemények)
- Rundll32 (LOLBinek és LOLScriptek, normalizált folyamatesemények)
- Nem gyakori folyamatok – alsó 5% (Normalizált folyamatesemények)
- Unicode-elfedés a parancssorban
Beállításjegyzék-tevékenység biztonsági tartalma
Az ASIM normalizálásához az alábbi beépített beállításjegyzék-tevékenységtartalom támogatott.
Elemzési szabályok
Veszélyforrás-keresési lekérdezések
Webes munkamenet biztonsági tartalma
Az ASIM normalizálásához az alábbi beépített webes munkamenetekhez kapcsolódó tartalmak támogatottak.
Megoldások
Elemzési szabályok
- (Előzetes verzió) TI-leképezési tartományentitás webes munkamenetesemények (ASIM webes munkamenet sémája)
- (Előzetes verzió) TI ip-entitás leképezése webes munkameneteseményekbe (ASIM webes munkamenet sémája)
- Lehetséges kommunikáció egy DGA-alapú gazdagépnévvel (ASIM hálózati munkamenetséma)
- Egy ügyfél webes kérést küldött egy potenciálisan káros fájlra (ASIM webes munkamenet sémája)
- A gazdagép potenciálisan kriptovaluta bányászt futtat (ASIM webes munkamenet sémája)
- A gazdagép valószínűleg hackelési eszközt futtat (ASIM webes munkamenet sémája)
- A gazdagép valószínűleg a PowerShellt futtatja HTTP-kérések (ASIM webes munkamenetséma) küldéséhez
- CdN kockázatos fájl letöltésének diszkontolása (ASIM webes munkamenetséma)
- Túl sok HTTP-hitelesítési hiba egy forrásból (ASIM webes munkamenet sémája)
- Ismert báriumtartományok
- Ismert bárium IP-címek
- Ismert Ruby Sleet-tartományok és kivonatok
- Ismert SeaShell Blizzard IP
- Ismert NICKEL-tartományok és kivonatok
- Midnight Blizzard - Domain és IP IOCs - Március 2021
- Midnight Blizzard - Domain, Hash és IP IOCs - Május 2021
- Ismert foszforcsoport-tartományok/IP-címek
- A felhasználói ügynök a log4j kihasználtsági kísérletére keres
Következő lépések
Ez a cikk az Advanced Security Information Model (ASIM) tartalmát ismerteti.
További információkért lásd:
- Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Elemzők és normalizált tartalom normalizálása szolgáltatásában , vagy tekintse át a diákat
- Az Advanced Security Information Model (ASIM) áttekintése
- Advanced Security Information Model- (ASIM-) sémák
- Advanced Security Information Model (ASIM) elemzők
- Az Advanced Security Information Model (ASIM) használata
- Microsoft Sentinel-tartalom módosítása az Advanced Security Information Model (ASIM) elemzők használatára