Contenuto di sicurezza avanzato del modello di sicurezza (ASIM) (anteprima pubblica)

Il contenuto di sicurezza normalizzato in Microsoft Sentinel include regole di analisi, query di ricerca e cartelle di lavoro che funzionano con l'unificazione dei parser di normalizzazione.

È possibile trovare contenuti normalizzati, predefiniti nelle raccolte e nelle soluzioni di Microsoft Sentinel, creare contenuti normalizzati o modificare il contenuto esistente per usare i dati normalizzati.

Questo articolo elenca il contenuto predefinito di Microsoft Sentinel configurato per supportare Advanced Security Information Model (ASIM). Mentre i collegamenti al repository GitHub di Microsoft Sentinel vengono forniti di seguito come riferimento, è anche possibile trovare queste regole nella raccolta regole di Microsoft Sentinel Analytics. Usare le pagine GitHub collegate per copiare tutte le query di ricerca pertinenti.

Per comprendere in che modo il contenuto normalizzato si adatta all'architettura ASIM, vedere il diagramma dell'architettura di ASIM.

Suggerimento

Inoltre, watch il webinar di approfondimento su Microsoft Sentinel Normalizzare i parser e il contenuto normalizzato o esaminare le diapositive. Per altre informazioni, vedere Passaggi successivi.

Importante

ASIM è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Contenuto di sicurezza dell'autenticazione

Il contenuto di autenticazione predefinito seguente è supportato per la normalizzazione di ASIM.

Regole di analisi

• Potenziale attacco spray password (usa la normalizzazione dell'autenticazione)
• Attacco di forza bruta alle credenziali utente (Usa la normalizzazione dell'autenticazione)
• Accesso utente da paesi diversi entro 3 ore (Usa la normalizzazione dell'autenticazione)
• Accessi da indirizzi IP che tentano di accedere agli account disabilitati (Usa la normalizzazione dell'autenticazione)

Contenuto della sicurezza delle query DNS

Il contenuto di query DNS predefinito seguente è supportato per la normalizzazione di ASIM.

Soluzioni

• Informazioni di base su DNS
• Rilevamento delle vulnerabilità log4j
• Rilevamento delle minacce basato su IOC legacy

Regole di analisi

• (anteprima) TI mappare l'entità dominio agli eventi DNS (schema DNS ASIM)
• (anteprima) TI esegue il mapping dell'entità IP agli eventi DNS (Schema DNS ASIM)
• Potenziale DGA rilevato (ASimDNS)
• Query DNS NXDOMAIN eccessive (schema DNS ASIM)
• Eventi DNS correlati ai pool di data mining (schema DNS ASIM)
• Eventi DNS correlati ai proxy ToR (schema DNS ASIM)
• Domini barium noti
• Indirizzi IP barium noti
• Exchange Server vulnerabilità divulgate a marzo 2021 Corrispondenza IoC
• Domini e hash di granite noti
• IP di Seashell Blizzard noto
• Midnight Blizzard - Dominio e IOC IP - Marzo 2021
• Domini del gruppo Di fosforo noti/IP
• Domini noti del gruppo Forest Blizzard - Luglio 2019
• Solorigate Network Beacon
• Domini Emerald Sleet inclusi nel takedown DCU
• Hash del malware Diamond Sleet Comebacker e Klackring
• Domini e hash di Ruby Sleet noti
• Domini e hash DI NICKEL noti
• Midnight Blizzard - Domain, Hash e IP IOCs - Maggio 2021
• Solorigate Network Beacon

Contenuto di sicurezza attività file

Il contenuto dell'attività di file predefinito seguente è supportato per la normalizzazione di ASIM.

• Rilevamento delle minacce basato su IOC legacy

Regole di analisi

• Hash backdoor SUNBURST e SUPERNOVA (eventi di file normalizzati)
• Exchange Server vulnerabilità divulgate a marzo 2021 Corrispondenza IoC
• Set Typhoon UM Service che scrive file sospetto
• Midnight Blizzard - Domain, Hash e IP IOCs - Maggio 2021
• Creazione di file di log SUNSPOT
• Hash del malware Diamond Sleet Comebacker e Klackring
• Attore Cadetto Blizzard IOC - Gennaio 2022
• Midnight Blizzard IOCs correlato alla backdoor FoggyWeb

Contenuto della sicurezza della sessione di rete

Il contenuto correlato alla sessione di rete predefinita seguente è supportato per la normalizzazione di ASIM.

Soluzioni

• Nozioni di base sulla sessione di rete
• Rilevamento delle vulnerabilità log4j
• Rilevamento delle minacce basato su IOC legacy

Regole di analisi

• Vulnerabilità log4j exploit aka Log4Shell IP IOC
• Numero eccessivo di connessioni non riuscite da un'unica origine (schema sessione di rete ASIM)
• Potenziale attività di beaconing (schema sessione di rete ASIM)
• (anteprima) TI esegue il mapping dell'entità IP agli eventi sessione di rete (schema di sessione di rete ASIM)
• Analisi delle porte rilevate (schema sessione di rete ASIM)
• Indirizzi IP barium noti
• Exchange Server vulnerabilità divulgate a marzo 2021 Corrispondenza IoC
• [Ip di Seashell Blizzard(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domain, Hash e IP IOCs - Maggio 2021
• Domini noti del gruppo Forest Blizzard - Luglio 2019

Query di ricerca

• Connessione da IP esterno a porte correlate a OMI

Elaborare il contenuto della sicurezza delle attività

Il contenuto dell'attività del processo predefinito seguente è supportato per la normalizzazione di ASIM.

Soluzioni

• Endpoint Threat Protection Essentials
• Rilevamento delle minacce basato su IOC legacy

Regole di analisi

• Probabile utilizzo dello strumento di ricognizione AdFind (eventi di processo normalizzati)
• Righe di comando del processo Windows con codifica Base64 (Eventi di processo normalizzati)
• Malware nel cestino (Eventi di processo normalizzati)
• Midnight Blizzard - Esecuzione sospetta rundll32.exe di vbscript (Eventi di processo normalizzati)
• Processi figlio sunBURST sospetti SolarWinds (eventi di processo normalizzati)

Query di ricerca

• Suddivisione giornaliera del riepilogo dello script Cscript (Eventi di processo normalizzati)
• Enumerazione di utenti e gruppi (Eventi di processo normalizzati)
• Aggiunta di Snapin di Exchange PowerShell (eventi di processo normalizzati)
• Esportazione della cassetta postale host e rimozione dell'esportazione (eventi di processo normalizzati)
• Utilizzo invoke-PowerShellTcpOneLine (eventi di processo normalizzati)
• Nishang Reverse TCP Shell in Base64 (eventi di processo normalizzati)
• Riepilogo degli utenti creati usando opzioni di riga di comando non documentate/non documentate (Eventi di processo normalizzati)
• Download di Powercat (eventi di processo normalizzati)
• Download di PowerShell (Eventi di processo normalizzati)
• Entropy per processi per un determinato host (eventi di processo normalizzati)
• Inventario SolarWinds (eventi di processo normalizzati)
• Enumerazione sospetta con lo strumento Adfind (Eventi di processo normalizzati)
• Arresto/riavvio del sistema Windows (eventi di processo normalizzati)
• Certutil (LOLBins e LOLScripts, Normalizzati Eventi di processo)
• Rundll32 (LOLBins e LOLScripts, normalizzati eventi di processo)
• Processi non comuni - inferiore al 5% (Eventi di processo normalizzati)
• Offuscamento Unicode nella riga di comando

Contenuto della sicurezza delle attività del Registro di sistema

Il contenuto dell'attività del Registro di sistema predefinito seguente è supportato per la normalizzazione di ASIM.

Regole di analisi

• Potenziale bypass dell'interfaccia utente fodhelper (versione ASIM)

Query di ricerca

• Salvataggio permanente tramite la chiave del Registro di sistema IFEO

Contenuto della sicurezza della sessione Web

Il contenuto correlato alla sessione Web predefinita seguente è supportato per la normalizzazione di ASIM.

Soluzioni

• Rilevamento delle vulnerabilità log4j
• Intelligence per le minacce

Regole di analisi

• (anteprima) TI mappa l'entità dominio agli eventi sessione Web (schema sessione Web ASIM)
• (anteprima) TI esegue il mapping dell'entità IP agli eventi sessione Web (schema sessione Web ASIM)
• Comunicazione potenziale con un nome host basato su DGA (Domain Generation Algorithm) (schema di sessione di rete ASIM)
• Un client ha effettuato una richiesta Web a un file potenzialmente dannoso (schema sessione Web ASIM)
• Un host esegue potenzialmente un minatore di crittografia (schema sessione Web ASIM)
• Un host esegue potenzialmente uno strumento di hacking (schema sessione Web ASIM)
• Un host esegue potenzialmente PowerShell per inviare richieste HTTP (schema sessione Web ASIM)
• Download del file di rischio della rete CDN Discord (schema sessione Web ASIM)
• Numero eccessivo di errori di autenticazione HTTP da un'origine (schema sessione Web ASIM)
• Domini barium noti
• Indirizzi IP barium noti
• Domini e hash di Ruby Sleet noti
• IP di Seashell Blizzard noto
• Domini e hash DI NICKEL noti
• Midnight Blizzard - Dominio e IOC IP - Marzo 2021
• Midnight Blizzard - Domain, Hash e IP IOCs - Maggio 2021
• Domini del gruppo Di fosforo noti/IP
• Ricerca agente utente per il tentativo di sfruttamento log4j

Passaggi successivi

Questo articolo illustra il contenuto di Advanced Security Information Model (ASIM).

Per altre informazioni, vedere:

• Guardare il webinar di approfondimento su Microsoft Sentinel Normalizzare i parser e il contenuto normalizzato o esaminare le diapositive
• Panoramica di Advanced Security Information Model (ASIM)
• Schemi di Advanced Security Information Model (ASIM)
• Parser advanced Security Information Model (ASIM)
• Uso del modello di informazioni di sicurezza avanzate (ASIM)
• Modifica del contenuto di Microsoft Sentinel per l'uso dei parser advanced Security Information Model (ASIM)