Bagikan melalui

Konten keamanan Model Informasi Keamanan Tingkat Lanjut (ASIM)

Konten keamanan yang dinormalisasi di Microsoft Azure Sentinel mencakup aturan analitik, berburu kueri, dan buku kerja yang berfungsi dengan parser normalisasi pemersatu.

Anda dapat menemukan konten bawaan yang dinormalisasi di galeri dan solusi Microsoft Sentinel, membuat konten yang dinormalisasi sendiri, atau memodifikasi konten yang ada untuk menggunakan data yang dinormalisasi.

Artikel ini mencantumkan konten Microsoft Sentinel bawaan yang telah dikonfigurasi untuk mendukung Model Information Keamanan Tingkat Lanjut (ASIM). Meskipun tautan ke repositori GitHub Microsoft Sentinel disediakan sebagai referensi, Anda juga dapat menemukan aturan ini di galeri aturan Microsoft Azure Sentinel Analytics. Gunakan halaman GitHub yang ditautkan untuk menyalin kueri berburu yang relevan.

Untuk memahami bagaimana konten yang dinormalisasi cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.

Petunjuk / Saran

Tonton juga Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide. Untuk informasi selengkapnya, lihat Langkah berikutnya.

Konten keamanan autentikasi

Konten autentikasi bawaan berikut ini didukung untuk normalisasi ASIM.

Aturan analitik

Konten Keamanan Aktivitas File

Konten aktivitas file bawaan berikut ini didukung untuk normalisasi ASIM.

Aturan Analitik

Konten keamanan aktivitas registri

Konten aktivitas registri bawaan berikut ini didukung untuk normalisasi ASIM.

Aturan analitik

Kueri pemburuan

Konten keamanan kueri DNS

Konten kueri DNS bawaan berikut ini didukung untuk normalisasi ASIM.

Solusi Aturan analitik
DNS Essentials
Deteksi Kerentanan Log4j
Deteksi Ancaman Berbasis IOC Warisan		 Peta TI Entitas domain ke Peristiwa DNS (Skema DNS ASIM)
Entitas IP peta TI ke Peristiwa DNS (Skema DNS ASIM)
Potensi DGA terdeteksi (ASimDNS)
Kueri DNS NXDOMAIN Yang Berlebihan (Skema DNS ASIM)
Peristiwa DNS yang terkait dengan kumpulan penambangan (Skema DNS ASIM)
Peristiwa DNS yang terkait dengan proksi ToR (Skema DNS ASIM)
Domain grup Forest Blizzard yang diketahui - Juli 2019

Konten keamanan sesi jaringan

Konten terkait sesi jaringan bawaan berikut didukung untuk normalisasi ASIM.

Solusi Aturan analitik Kueri pemburuan
Penting Sesi Jaringan
Deteksi Kerentanan Log4j
Deteksi Ancaman Berbasis IOC Warisan		 Eksploitasi kerentanan Log4j alias Log4Shell IP IOC
Jumlah koneksi gagal yang berlebihan dari satu sumber (skema Sesi Jaringan ASIM)
Aktivitas beaconing potensial (skema Sesi Jaringan ASIM)
Ti memetakan entitas IP ke Peristiwa Sesi Jaringan (skema Sesi Jaringan ASIM)
Pemindaian port terdeteksi (skema Sesi Jaringan ASIM)
Domain grup Forest Blizzard yang diketahui - Juli 2019		 Koneksi dari IP eksternal ke Port terkait OMI

Konten Keamanan Aktivitas Proses

Konten aktivitas proses bawaan berikut ini didukung untuk normalisasi ASIM.

Solusi Aturan analitik Kueri pemburuan
Penting Perlindungan Ancaman Titik Akhir
Deteksi Ancaman Berbasis IOC Warisan		 Kemungkinan Penggunaan Alat Recon AdFind (Kejadian Proses yang Dinormalisasi)
Baris perintah proses Windows yang berenkode Base64 (Kejadian Proses yang Dinormalisasi)
Malware di keranjang sampah (Kejadian Proses yang Dinormalisasi)
Midnight Blizzard - eksekusi vbscript rundll32.exe mencurigakan (Kejadian Proses yang Dinormalisasi)
SUNBURST proses turunan SolarWinds yang mencurigakan (Kejadian Proses yang Dinormalisasi)		 Perincian ringkasan harian skrip Cscript (Kejadian Proses yang Dinormalisasi)
Enumerasi pengguna dan grup (Kejadian Proses yang Dinormalisasi)
Exchange PowerShell Snapin Ditambahkan (Kejadian Proses yang Dinormalisasi)
Host Mengekspor Kotak Mail dan Menghapus Ekspor (Kejadian Proses yang Dinormalisasi)
Penggunaan Invoke-PowerShellTcpOneLine (Kejadian Proses yang Dinormalkan)
Nishang Reverse TCP Shell di Base64 (Kejadian Proses yang Dinormalisasi)
Ringkasan pengguna yang dibuat menggunakan tombol baris perintah yang tidak umum/tidak terdokumentasi (Kejadian Proses yang Dinormalisasi)
Unduhan Powercat (Kejadian Proses yang Dinormalisasi)
Unduhan PowerShell (Kejadian Proses yang Dinormalisasi)
Entropi untuk Proses untuk Host tertentu (Kejadian Proses yang Dinormalisasi)
Inventaris SolarWinds (Kejadian Proses yang Dinormalisasi)
Enumerasi yang mencurigakan menggunakan alat Adfind (Kejadian Proses yang Dinormalisasi)
Matikan/Boot Ulang Sistem Windows (Kejadian Proses yang Dinormalisasi)
Certutil (LOLBins dan LOLScripts, kejadian Proses yang Dinormalisasi)
Rundll32 (LOLBins dan LOLScript, Kejadian Proses yang Dinormalisasi)
Proses yang tidak biasa - 5% terbawah (Kejadian Proses yang Dinormalisasi)
Kebingungan Unicode di Baris Perintah

Konten keamanan sesi web

Konten terkait sesi web bawaan berikut didukung untuk normalisasi ASIM.

Solusi Aturan analitik
Deteksi Kerentanan Log4j
Inteligensi Ancaman		 Ti memetakan entitas Domain ke Peristiwa Sesi Web (skema Sesi Web ASIM)
Ti memetakan entitas IP ke Peristiwa Sesi Web (skema Sesi Web ASIM)
Komunikasi potensial dengan nama host berbasis Algoritma Pembuatan Domain (DGA) (skema Sesi Jaringan ASIM)
Klien membuat permintaan web ke file yang berpotensi berbahaya (skema ASIM Web Session)
Host berpotensi menjalankan penambang kripto (skema ASIM Web Session)
Host berpotensi menjalankan alat peretasan (skema ASIM Web Session)
Host berpotensi menjalankan PowerShell untuk mengirim permintaan HTTP (S) (skema ASIM Web Session)
Discord CDN Unduhan File Berisiko (Skema Sesi Web ASIM)
Jumlah kegagalan autentikasi HTTP yang berlebihan dari sumber (skema ASIM Web Session)
Pencarian agen pengguna untuk upaya eksploitasi Log4j

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

  • Last updated on