Konten keamanan Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)

Konten keamanan yang dinormalisasi di Microsoft Sentinel mencakup aturan analitik, kueri perburuan, dan buku kerja yang berfungsi dengan pengurai normalisasi penyatu.

Anda dapat menemukan konten bawaan yang dinormalisasi di galeri dan solusi Microsoft Sentinel, membuat konten yang dinormalisasi sendiri, atau memodifikasi konten yang ada untuk menggunakan data yang dinormalisasi.

Artikel ini mencantumkan konten Microsoft Sentinel bawaan yang telah dikonfigurasi untuk mendukung Model Information Keamanan Tingkat Lanjut (ASIM). Selain tautan ke repositori GitHub Microsoft Sentinel yang disediakan di bawah ini sebagai referensi, Anda juga dapat menemukan aturan ini di galeri aturan Microsoft Sentinel Analytics. Gunakan halaman GitHub yang ditautkan untuk menyalin kueri berburu yang relevan.

Untuk memahami bagaimana konten yang dinormalisasi cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.

Tip

Tonton juga Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide. Untuk informasi selengkapnya, lihat Langkah berikutnya.

Penting

ASIM saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Konten keamanan autentikasi

Konten autentikasi bawaan berikut ini didukung untuk normalisasi ASIM.

Aturan analitik

• Potensi Serangan Spray Kata Sandi (Menggunakan Normalisasi Autentikasi)
• Serangan brute force terhadap info masuk pengguna (Menggunakan Normalisasi Autentikasi)
• Login pengguna dari berbagai negara dalam waktu 3 jam (Menggunakan Normalisasi Autentikasi)
• Rincian masuk dari IP yang mencoba rincian masuk ke akun yang dinonaktifkan (Menggunakan Normalisasi Autentikasi)

Konten keamanan kueri DNS

Konten kueri DNS bawaan berikut ini didukung untuk normalisasi ASIM.

Solusi

• DNS Essentials
• Deteksi Kerentanan Log4j
• Deteksi Ancaman Berbasis IOC Warisan

Aturan analitik

• (Pratinjau) TI memetakan Entitas domain ke Peristiwa DNS (Skema DNS ASIM)
• (Pratinjau) Entitas IP peta TI ke Peristiwa DNS (Skema DNS ASIM)
• Potensi DGA terdeteksi (ASimDNS)
• Kueri DNS NXDOMAIN Yang Berlebihan (Skema DNS ASIM)
• Peristiwa DNS yang terkait dengan kumpulan penambangan (Skema DNS ASIM)
• Peristiwa DNS yang terkait dengan proksi ToR (Skema DNS ASIM)
• Domain Barium yang diketahui
• Alamat IP Barium yang diketahui
• Kerentanan Exchange Server Diungkapkan Maret 2021 Pencocokan IoC
• Domain dan hash Granit Typhoon yang diketahui
• IP Seashell Blizzard yang diketahui
• Midnight Blizzard - Domain dan IP IOC - Maret 2021
• Dikenal domain/IP grup Fosfor
• Domain grup Forest Blizzard yang diketahui - Juli 2019
• Suar Jaringan Solorigate
• Domain Emerald Sleet yang disertakan dalam penghapusan DCU
• Dikenal Diamond Sleet Comebacker dan hash malware Klackring
• Domain dan hash Ruby Sleet yang diketahui
• Domain dan hash NICKEL yang dikenal
• Midnight Blizzard - Domain, Hash, dan IP IOCs - Mei 2021
• Suar Jaringan Solorigate

Konten Keamanan Aktivitas File

Konten aktivitas file bawaan berikut ini didukung untuk normalisasi ASIM.

• Deteksi Ancaman Berbasis IOC Warisan

Aturan Analitik

• SUNBURST dan SUPERNOVA backdoor hashes (Peristiwa File Normalisasi)
• Kerentanan Exchange Server Diungkapkan Maret 2021 Pencocokan IoC
• Layanan Silk Typhoon UM menulis file yang mencurigakan
• Midnight Blizzard - Domain, Hash, dan IP IOCs - Mei 2021
• Pembuatan file log SUNSPOT
• Dikenal Diamond Sleet Comebacker dan hash malware Klackring
• Cadet Blizzard Actor IOC - Januari 2022
• Midnight Blizzard IOCs terkait dengan backdoor FoggyWeb

Konten keamanan sesi jaringan

Konten terkait sesi jaringan bawaan berikut didukung untuk normalisasi ASIM.

Solusi

• Penting Sesi Jaringan
• Deteksi Kerentanan Log4j
• Deteksi Ancaman Berbasis IOC Warisan

Aturan analitik

• Eksploitasi kerentanan Log4j alias Log4Shell IP IOC
• Jumlah koneksi gagal yang berlebihan dari satu sumber (skema Sesi Jaringan ASIM)
• Aktivitas beaconing potensial (skema Sesi Jaringan ASIM)
• (Pratinjau) Entitas IP peta TI ke Peristiwa Sesi Jaringan (skema Sesi Jaringan ASIM)
• Pemindaian port terdeteksi (skema Sesi Jaringan ASIM)
• Alamat IP Barium yang diketahui
• Kerentanan Exchange Server Diungkapkan Maret 2021 Pencocokan IoC
• [Dikenal Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domain, Hash, dan IP IOCs - Mei 2021
• Domain grup Forest Blizzard yang diketahui - Juli 2019

Kueri pemburuan

• Koneksi dari IP eksternal ke Port terkait OMI

Konten Keamanan Aktivitas Proses

Konten aktivitas proses bawaan berikut ini didukung untuk normalisasi ASIM.

Solusi

• Endpoint Threat Protection Essentials
• Deteksi Ancaman Berbasis IOC Warisan

Aturan analitik

• Kemungkinan Penggunaan Alat Recon AdFind (Kejadian Proses yang Dinormalisasi)
• Baris perintah proses Windows yang berenkode Base64 (Kejadian Proses yang Dinormalisasi)
• Malware di keranjang sampah (Kejadian Proses yang Dinormalisasi)
• Midnight Blizzard - rundll32.exe mencurigakan eksekusi vbscript (Kejadian Proses yang Dinormalisasi)
• SUNBURST proses turunan SolarWinds yang mencurigakan (Kejadian Proses yang Dinormalisasi)

Kueri pemburuan

• Perincian ringkasan harian skrip Cscript (Kejadian Proses yang Dinormalisasi)
• Enumerasi pengguna dan grup (Kejadian Proses yang Dinormalisasi)
• Exchange PowerShell Snapin Ditambahkan (Kejadian Proses yang Dinormalisasi)
• Host Mengekspor Kotak Mail dan Menghapus Ekspor (Kejadian Proses yang Dinormalisasi)
• Penggunaan Invoke-PowerShellTcpOneLine (Kejadian Proses yang Dinormalkan)
• Nishang Reverse TCP Shell di Base64 (Kejadian Proses yang Dinormalisasi)
• Ringkasan pengguna yang dibuat menggunakan tombol baris perintah yang tidak umum/tidak terdokumentasi (Kejadian Proses yang Dinormalisasi)
• Unduhan Powercat (Kejadian Proses yang Dinormalisasi)
• Unduhan PowerShell (Kejadian Proses yang Dinormalisasi)
• Entropi untuk Proses untuk Host tertentu (Kejadian Proses yang Dinormalisasi)
• Inventaris SolarWinds (Kejadian Proses yang Dinormalisasi)
• Enumerasi yang mencurigakan menggunakan alat Adfind (Kejadian Proses yang Dinormalisasi)
• Matikan/Boot Ulang Sistem Windows (Kejadian Proses yang Dinormalisasi)
• Certutil (LOLBins dan LOLScripts, kejadian Proses yang Dinormalisasi)
• Rundll32 (LOLBins dan LOLScript, Kejadian Proses yang Dinormalisasi)
• Proses yang tidak biasa - 5% terbawah (Kejadian Proses yang Dinormalisasi)
• Kebingungan Unicode di Baris Perintah

Konten keamanan aktivitas registri

Konten aktivitas registri bawaan berikut ini didukung untuk normalisasi ASIM.

Aturan analitik

• Potensi Fodhelper UAC Bypass (Versi ASIM)

Kueri pemburuan

• Bertahan Melalui Kunci Registri IFEO

Konten keamanan sesi web

Konten terkait sesi web bawaan berikut didukung untuk normalisasi ASIM.

Solusi

• Deteksi Kerentanan Log4j
• Inteligensi Ancaman

Aturan analitik

• (Pratinjau) TI memetakan Entitas domain ke Peristiwa Sesi Web (skema ASIM Web Session)
• (Pratinjau) Entitas IP peta TI ke Peristiwa Sesi Web (skema ASIM Web Session)
• Komunikasi potensial dengan nama host berbasis Algoritma Pembuatan Domain (DGA) (skema Sesi Jaringan ASIM)
• Klien membuat permintaan web ke file yang berpotensi berbahaya (skema ASIM Web Session)
• Host berpotensi menjalankan penambang kripto (skema ASIM Web Session)
• Host berpotensi menjalankan alat peretasan (skema ASIM Web Session)
• Host berpotensi menjalankan PowerShell untuk mengirim permintaan HTTP (S) (skema ASIM Web Session)
• Discord CDN Unduhan File Berisiko (Skema Sesi Web ASIM)
• Jumlah kegagalan autentikasi HTTP yang berlebihan dari sumber (skema ASIM Web Session)
• Domain Barium yang diketahui
• Alamat IP Barium yang diketahui
• Domain dan hash Ruby Sleet yang diketahui
• IP Seashell Blizzard yang diketahui
• Domain dan hash NICKEL yang dikenal
• Midnight Blizzard - Domain dan IP IOC - Maret 2021
• Midnight Blizzard - Domain, Hash, dan IP IOCs - Mei 2021
• Dikenal domain/IP grup Fosfor
• Pencarian agen pengguna untuk upaya eksploitasi log4j

Langkah berikutnya

Artikel ini membahas konten Model Informasi Keamanan Tingkat Lanjut (ASIM).

Untuk informasi selengkapnya, lihat:

• Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
• Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Menggunakan Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Memodifikasi konten Microsoft Sentinel untuk menggunakan pengurai Model Information Keamanan Tingkat Lanjut (ASIM)