Advanced Security Information Model (ASIM) セキュリティ コンテンツ (パブリック プレビュー)

Microsoft Sentinel の正規化されたセキュリティ コンテンツには、統合された正規化パーサーで使用できる分析ルール、ハンティング クエリ、ブックが含まれています。

Microsoft Sentinel のギャラリーやで正規化された組み込みのコンテンツを見つけること、独自の正規化されたコンテンツを作成すること、正規化されたデータを使用するために既存のコンテンツを変更することができます。

この記事では、Advanced Security Information Model (ASIM) をサポートするように構成された組み込みの Microsoft Sentinel コンテンツを紹介します。 Microsoft Sentinel GitHub リポジトリへのリンクは下に参照として掲載していますが、これらのルールは Microsoft Sentinel Analytics ルール ギャラリーでも見つけることができます。 ルールに関連するハンティング クエリをコピーするには、リンクされた GitHub ページを使用してください。

正規化されたコンテンツが ASIM アーキテクチャにどのように適合するかを理解するには、ASIM アーキテクチャの図を参照してください。

ヒント

また、Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。 詳細については、「次のステップ」を参照してください。

重要

現在、ASIM はプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

認証のセキュリティ コンテンツ

ASIM の正規化では、次の組み込みの認証コンテンツがサポートされています。

分析ルール

• 潜在的なパスワード スプレー攻撃 (認証正規化を使用)
• Brute force attack against user credentials (Uses Authentication Normalization) (ユーザー資格情報に対するブルート フォース攻撃 (認証正規化を使用))
• User login from different countries within 3 hours (Uses Authentication Normalization) (さまざまな国からの 3 時間以内のユーザー ログイン (認証正規化を使用))
• Sign-ins from IPs that attempt sign-ins to disabled accounts (Uses Authentication Normalization) (無効なアカウントへのサインインを試行する IP からのサインイン (認証正規化を使用))

DNS クエリのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みの DNS クエリ コンテンツがサポートされています。

ソリューション

• DNS の基本
• Log4j Vulnerability Detection
• Legacy IOC Based Threat Detection

分析ルール

• (プレビュー) TI のドメイン エンティティの DNS イベントへのマッピング (ASIM DNS スキーマ)
• (プレビュー) TI の IP エンティティの DNS イベントへのマッピング (ASIM DNS スキーマ)
• 潜在的 DGA の検出 (ASimDNS)
• 過度の NXDOMAIN DNS クエリ (ASIM DNS スキーマ)
• マイニング プールに関連する DNS イベント (ASIM DNS スキーマ)
• ToR プロキシに関連する DNS イベント (ASIM DNS スキーマ)
• Known Barium domains (既知の Barium ドメイン)
• Known Barium IP addresses (既知の Barium IP アドレス)
• Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
• 既知の Granite Typhoon のドメインとハッシュ
• 既知の Seashell Blizzard の IP
• Midnight Blizzard - ドメインと IP の IOC - 2021 年 3 月
• 既知の Phosphorus グループ ドメイン/IP
• 既知の Forest Blizzard のグループ ドメイン - 2019 年 7 月
• Solorigate ネットワーク ビーコン
• DCU 削除に含まれる Emerald Sleet ドメイン
• 既知の Diamond Sleet Comebacker および Klackring のマルウェア ハッシュ
• 既知の Ruby Sleet のドメインとハッシュ
• 既知の NICKEL ドメインとハッシュ
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• Solorigate ネットワーク ビーコン

ファイル アクティビティのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのファイル アクティビティ コンテンツがサポートされています。

• Legacy IOC Based Threat Detection

分析ルール:

• SUNBURST and SUPERNOVA backdoor hashes (Normalized File Events) (SUNBURST と SUPERNOVA のバックドア ハッシュ (正規化されたファイル イベント))
• Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
• Silk Typhoon UM Service の疑わしいファイル書き込み
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• SUNSPOT log file creation (SUNSPOT ログ ファイルの作成)
• 既知の Diamond Sleet Comebacker および Klackring のマルウェア ハッシュ
• Cadet Blizzard アクターの IOC - 2022 年 1月
• FoggyWeb バックドアに関連する、Midnight Blizzard の IOC

ネットワーク セッションのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのネットワーク セッション関連コンテンツがサポートされています。

ソリューション

• ネットワーク セッションの要点
• Log4j Vulnerability Detection
• Legacy IOC Based Threat Detection

分析ルール

• Log4Shell IP IOC と呼ばれる Log4j 脆弱性の悪用
• 1 つのソースからの過剰な数の失敗した接続 (ASIM ネットワーク セッション スキーマ)
• 潜在的なビーコン アクティビティ (ASIM ネットワーク セッション スキーマ)
• (プレビュー) TI の IP エンティティのネットワーク セッション イベントのマッピング (ASIM ネットワーク セッション スキーマ)
• ポート スキャンが検出されました (ASIM ネットワーク セッション スキーマ)
• Known Barium IP addresses (既知の Barium IP アドレス)
• Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
• [既知の Seashell Blizzard の IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• 既知の Forest Blizzard のグループ ドメイン - 2019 年 7 月

ハンティング クエリ

• 外部 IP から OMI 関連ポートへの接続

プロセス アクティビティのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのプロセス アクティビティ コンテンツがサポートされています。

ソリューション

• Endpoint Threat Protection Essentials
• Legacy IOC Based Threat Detection

分析ルール

• Probable AdFind Recon Tool の使用 (正規化されたプロセス イベント)
• Base64 でエンコードされた Windows プロセスのコマンド ライン (正規化されたプロセス イベント)
• ごみ箱内のマルウェア (正規化されたプロセス イベント)
• Midnight Blizzard - vbscript の疑わしい rundll32.exe の実行 (正規化されたプロセス イベント)
• SUNBURST の疑わしい SolarWinds 子プロセス (正規化されたプロセス イベント)

ハンティング クエリ

• Cscript スクリプトの毎日の概要の内訳 (正規化されたプロセス イベント)
• ユーザーとグループの列挙 (正規化されたプロセス イベント)
• Exchange PowerShell スナップインの追加 (正規化されたプロセス イベント)
• メールボックスのエクスポートとエクスポートの削除を行うホスト (正規化されたプロセス イベント)
• Invoke-PowerShellTcpOneLine の使用 (正規化されたプロセス イベント)
• Base64 の Nishang リバース TCP シェル (正規化されたプロセス イベント)
• 一般的でない/ドキュメントに記載されていないコマンド ライン スイッチを使用して作成されたユーザーの概要 (正規化されたプロセス イベント)
• Powercat のダウンロード (正規化されたプロセス イベント)
• PowerShell のダウンロード (正規化されたプロセス イベント)
• 特定のホストのプロセスのエントロピ (正規化されたプロセス イベント)
• SolarWinds インベントリ (正規化されたプロセス イベント)
• Adfind ツールを使用した疑わしい列挙型 (正規化されたプロセス イベント)
• Windows システムのシャットダウン/再起動 (正規化されたプロセス イベント)
• Certutil (LOLBins と LOLScripts、正規化されたプロセス イベント)
• Rundll32 (LOLBins と LOLScripts、正規化されたプロセス イベント)
• 一般的でないプロセス - 下位 5% (正規化されたプロセス イベント)
• Unicode Obfuscation in Command Line (コマンドラインでの Unicode の難読化)

レジストリ アクティビティのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのレジストリ アクティビティ コンテンツがサポートされています。

分析ルール

• 潜在的な Fodhelper UAC バイパス (ASIM バージョン)

ハンティング クエリ

• Persisting Via IFEO Registry Key (IFEO レジストリ キーを使用した永続化)

Web セッションのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みの Web セッション関連コンテンツがサポートされています。

ソリューション

• Log4j Vulnerability Detection
• 脅威インテリジェンス

分析ルール

• (プレビュー) TI のドメイン エンティティの Web セッション イベントのマッピング (ASIM Web セッション スキーマ)
• (プレビュー) TI の IP エンティティの Web セッション イベントのマッピング (ASIM Web セッション スキーマ)
• ドメイン生成アルゴリズム (DGA) ベースのホスト名による可能性のある通信 (ASIM ネットワーク セッション スキーマ)
• クライアントが潜在的に有害なファイルに対して Web 要求を行った (ASIM Web セッション スキーマ)
• ホストがクリプト マイナーを実行している可能性がある (ASIM Web セッション スキーマ)
• ホストがハッキング ツールを実行している可能性がある (ASIM Web セッション スキーマ)
• ホストが、HTTP(S) 要求を送信する PowerShell を実行している可能性がある (ASIM Web セッションスキーマ)
• 不一致 CDN 危険なファイルのダウンロード (ASIM Web セッション スキーマ)
• ソースからの HTTP 認証エラーの数が過剰 (ASIM Web セッション スキーマ)
• Known Barium domains (既知の Barium ドメイン)
• Known Barium IP addresses (既知の Barium IP アドレス)
• 既知の Ruby Sleet のドメインとハッシュ
• 既知の Seashell Blizzard の IP
• 既知の NICKEL ドメインとハッシュ
• Midnight Blizzard - ドメインと IP の IOC - 2021 年 3 月
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• 既知の Phosphorus グループ ドメイン/IP
• log4j 悪用試行のユーザー エージェント検索

次のステップ

この記事では、Advanced Security Information Model (ASIM) コンテンツについて説明します。

詳細については、次を参照してください。

• Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
• Advanced Security Information Model (ASIM) の概要
• Advanced Security Information Model (ASIM) スキーマ
• Advanced Security Information Model (ASIM) のパーサー
• Advanced Security Information Model (ASIM) の使用
• Advanced Security Information Model (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する | Microsoft Docs