Contenuto di sicurezza ASIM (Advanced Security Information Model)

Il contenuto di sicurezza normalizzato in Microsoft Sentinel include regole di analisi, query di ricerca e cartelle di lavoro che funzionano con i parser di normalizzazione unificanti.

È possibile trovare contenuto predefinito normalizzato in Microsoft Sentinel raccolte e soluzioni, creare contenuto normalizzato o modificare il contenuto esistente per usare dati normalizzati.

Questo articolo elenca il contenuto predefinito Microsoft Sentinel configurato per supportare il modello ASIM (Advanced Security Information Model). Anche se i collegamenti al repository Microsoft Sentinel GitHub sono forniti come riferimento, è anche possibile trovare queste regole nella raccolta di regole di Microsoft Sentinel Analytics. Usare le pagine GitHub collegate per copiare tutte le query di ricerca pertinenti.

Per informazioni sul contenuto normalizzato all'interno dell'architettura ASIM, vedere il diagramma dell'architettura ASIM.

Consiglio

Guardare anche il webinar Deep Dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e contenuto normalizzato) o esaminare le diapositive. Per ulteriori informazioni, vedere Passaggi successivi.

Contenuto di sicurezza dell'autenticazione

Il contenuto di autenticazione predefinito seguente è supportato per la normalizzazione ASIM.

Regole di analisi

• Potenziale attacco con password spray (usa la normalizzazione dell'autenticazione)
• Attacco di forza bruta contro le credenziali utente (usa la normalizzazione dell'autenticazione)
• Accesso utente da paesi/aree geografiche diversi entro 3 ore (usa la normalizzazione dell'autenticazione)
• Accessi da indirizzi IP che tentano di accedere agli account disabilitati (usa la normalizzazione dell'autenticazione)

Contenuto di sicurezza dell'attività file

Il contenuto dell'attività file predefinito seguente è supportato per la normalizzazione ASIM.

• Rilevamento delle minacce basato su IOC legacy

Regole di analisi

• Hash backdoor SUNBURST e SUPERNOVA (eventi file normalizzati)

Contenuto della sicurezza delle attività del Registro di sistema

Il contenuto dell'attività predefinita del Registro di sistema seguente è supportato per la normalizzazione ASIM.

Regole di analisi

• Bypass UAC di Fodhelper potenziale (versione ASIM)

Ricerca di query

• Salvataggio permanente tramite la chiave del Registro di sistema IFEO

Contenuto della sicurezza delle query DNS

Il contenuto di query DNS predefinito seguente è supportato per la normalizzazione ASIM.

Soluzioni	Regole di analisi
Informazioni di base su DNS Rilevamento vulnerabilità Log4j Rilevamento delle minacce basato su IOC legacy	TI esegue il mapping dell'entità di dominio agli eventi DNS (schema DNS ASIM) TI esegue il mapping dell'entità IP agli eventi DNS (schema DNS ASIM) Potenziale DGA rilevato (ASimDNS) Query DNS NXDOMAIN eccessive (schema DNS ASIM) Eventi DNS correlati ai pool di data mining (schema DNS ASIM) Eventi DNS correlati ai proxy ToR (schema DNS ASIM) Domini del gruppo Blizzard foresta noti - Luglio 2019

Contenuto di sicurezza della sessione di rete

Il contenuto predefinito della sessione di rete seguente è supportato per la normalizzazione ASIM.

Soluzioni	Regole di analisi	Ricerca di query
Informazioni di base sulla sessione di rete Rilevamento vulnerabilità Log4j Rilevamento delle minacce basato su IOC legacy	Exploit di vulnerabilità Log4j noto anche come Log4Shell IP IOC Numero eccessivo di connessioni non riuscite da una singola origine (schema della sessione di rete ASIM) Potenziale attività di beaconing (schema della sessione di rete ASIM) L'entità IP di TI viene mappata agli eventi della sessione di rete (schema della sessione di rete ASIM) Rilevamento dell'analisi delle porte (schema della sessione di rete ASIM) Domini del gruppo Blizzard foresta noti - Luglio 2019	Connessione da un indirizzo IP esterno a porte correlate all'OMI

Elaborare il contenuto di sicurezza delle attività

Il contenuto dell'attività di processo predefinito seguente è supportato per la normalizzazione ASIM.

Soluzioni	Regole di analisi	Ricerca di query
Endpoint Threat Protection Essentials Rilevamento delle minacce basato su IOC legacy	Probabile utilizzo dello strumento AdFind Recon (eventi di processo normalizzati) Righe di comando del processo di Windows con codifica Base64 (eventi di processo normalizzati) Malware nel Cestino (eventi di processo normalizzati) Midnight Blizzard - Esecuzione sospetta rundll32.exe di vbscript (eventi di processo normalizzati) Processi figlio sospetti di SUNBURST SolarWinds (eventi di processo normalizzati)	Scomposizione giornaliera del riepilogo degli script Cscript (eventi di processo normalizzati) Enumerazione di utenti e gruppi (eventi di processo normalizzati) Aggiunta dello snap-in di Exchange PowerShell (eventi di processo normalizzati) Esportazione della cassetta postale dell'host e rimozione dell'esportazione (eventi di processo normalizzati) Utilizzo di Invoke-PowerShellTcpOneLine (eventi di processo normalizzati) Shell TCP inversa Nishang in Base64 (eventi di processo normalizzati) Riepilogo degli utenti creati usando opzioni della riga di comando non comuni/non documentate (eventi di processo normalizzati) Download di Powercat (eventi di processo normalizzati) Download di PowerShell (eventi di processo normalizzati) Entropia per i processi per un determinato host (eventi di processo normalizzati) Inventario SolarWinds (eventi di processo normalizzati) Enumerazione sospetta tramite lo strumento Adfind (eventi di processo normalizzati) Arresto/riavvio del sistema Windows (eventi di processo normalizzati) Certutil (LOLBins e LOLScripts, eventi di processo normalizzati) Rundll32 (LOLBins e LOLScripts, eventi di processo normalizzati) Processi non comuni - 5% inferiore (eventi di processo normalizzati) Offuscamento Unicode nella riga di comando

Contenuto di sicurezza della sessione Web

Il contenuto correlato alla sessione Web predefinito seguente è supportato per la normalizzazione ASIM.

Soluzioni

Regole di analisi

Rilevamento vulnerabilità Log4j Intelligence per le minacce

L'entità di dominio viene mappata agli eventi della sessione Web (schema della sessione Web ASIM) L'entità IP di TI viene mappata agli eventi della sessione Web (schema della sessione Web ASIM) Potenziale comunicazione con un nome host basato su DGA (Domain Generation Algorithm) (schema della sessione di rete ASIM) Un client ha effettuato una richiesta Web a un file potenzialmente dannoso (schema della sessione Web ASIM) Un host sta potenzialmente eseguendo un minatore di crittografia (schema della sessione Web ASIM) Un host esegue potenzialmente uno strumento di hacking (schema della sessione Web ASIM) Un host esegue potenzialmente PowerShell per inviare richieste HTTP (S) (schema della sessione Web ASIM) Download di file rischiosi della rete CDN Discord (schema della sessione Web ASIM) Numero eccessivo di errori di autenticazione HTTP da un'origine (schema della sessione Web ASIM) Ricerca dell'agente utente per il tentativo di sfruttamento Log4j

Passaggi successivi

Per ulteriori informazioni, vedere:

• Guardare il webinar deep dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e del contenuto normalizzato) o esaminare le diapositive
• Panoramica di Advanced Security Information Model (ASIM)
• Schemi ASIM (Advanced Security Information Model)
• Parser ASIM (Advanced Security Information Model)
• Uso del modello ASIM (Advanced Security Information Model)
• Modifica del contenuto Microsoft Sentinel per l'uso dei parser ASIM (Advanced Security Information Model)