ASIM(고급 보안 정보 모델) 보안 콘텐츠(공개 미리 보기)

Microsoft Sentinel의 정규화된 보안 콘텐츠에는 통합 정규화 파서로 작동하는 분석 규칙, 헌팅 쿼리 및 통합 문서가 포함됩니다.

Microsoft Sentinel 갤러리 및 솔루션에서 정규화되고 기본 제공되는 콘텐츠를 찾아보거나, 정규화된 고유 콘텐츠를 만들거나, 정규화된 데이터를 사용하도록 기존 콘텐츠를 수정할 수 있습니다.

이 문서에서는 ASIM(고급 보안 정보 모델)을 지원하도록 구성된 기본 제공되는 Microsoft Sentinel 콘텐츠를 보여줍니다. Microsoft Sentinel GitHub 리포지토리에 대한 링크는 아래에 참조로 제공되는 한편, Microsoft Sentinel Analytics 규칙 갤러리에서 이러한 규칙을 찾을 수도 있습니다. 연결된 GitHub 페이지를 사용하여 관련 헌팅 쿼리를 복사합니다.

정규화된 콘텐츠가 ASIM 아키텍처에 어떻게 사용되는지 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.

팁

또한 Microsoft Sentinel 정규화 파서 및 정규화된 콘텐츠에 대한 심층 분석 웹 세미나를 시청하거나 슬라이드를 검토하세요. 자세한 내용은 다음 단계를 참조하세요.

중요

현재 미리 보기로 제공되고 있습니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

인증 보안 콘텐츠

ASIM 정규화에는 다음과 같은 기본 제공 인증 콘텐츠가 지원됩니다.

Analytics 규칙

• 잠재적인 암호 스프레이 공격(인증 정규화 사용)
• 사용자 자격 증명에 대한 무차별 암호 대입 공격(인증 정규화 사용)
• 3시간 이내에 다른 국가의 사용자 로그인(인증 정규화 사용)
• 비활성화된 계정에 대한 로그인을 시도하는 IP의 로그인(인증 정규화 사용)

DNS 쿼리 보안 콘텐츠

다음 기본 제공 DNS 쿼리 콘텐츠는 ASIM 정규화에 대해 지원됩니다.

솔루션

• DNS Essentials
• Log4j 취약성 탐지
• 레거시 IOC 기반 위협 탐지

Analytics 규칙

• (미리 보기) DNS 이벤트에 대한 TI 맵 도메인 엔터티(ASIM DNS 스키마)
• (미리 보기) DNS 이벤트에 대한 TI 맵 IP 엔터티(ASIM DNS 스키마)
• 잠재적 DGA 검색(ASimDNS)
• 과도한 NXDOMAIN DNS 쿼리(ASIM DNS 스키마)
• 마이닝 풀 관련 DNS 이벤트(ASIM DNS 스키마)
• ToR 프록시 관련 DNS 이벤트(ASIM DNS 스키마)
• 알려진 Barium 도메인
• 알려진 Barium IP 주소
• Exchange Server 취약점 공개 2021년 3월 IoC 매치
• 알려진 화강암 태풍 도메인 및 해시
• 알려진 Seashell 블리자드 IP
• 미드나잇 블리자드 - 도메인 및 IP IOC - 2021년 3월
• 알려진 Phosphorus 그룹 도메인/IP
• 알려진 포레스트 블리자드 그룹 도메인 - 2019년 7월
• Solorigate 네트워크 비콘
• DCU 테이크다운에 포함된 Emerald Sleet 도메인
• 알려진 다이아몬드 진눈깨비 컴백 및 클래커링 맬웨어 해시
• 알려진 Ruby Sleet 도메인 및 해시
• 알려진 NICKEL 도메인 및 해시
• 미드나잇 블리자드 - 도메인, 해시 및 IP IOC - 2021년 5월
• Solorigate 네트워크 비콘

파일 활동 보안 콘텐츠

ASIM 정규화에는 다음과 같은 기본 제공 파일 작업 콘텐츠가 지원됩니다.

• 레거시 IOC 기반 위협 탐지

분석 규칙

• SUNBURST 및 SUPERNOVA 백도어 해시(정규화된 파일 이벤트)
• Exchange Server 취약성 공개 2021년 3월 IoC 매치
• 의심스러운 파일을 작성하는 실크 태풍 UM 서비스
• 미드나잇 블리자드 - 도메인, 해시 및 IP IOC - 2021년 5월
• SUNSPOT 로그 파일 창조
• 알려진 다이아몬드 진눈깨비 컴백 및 클래커링 맬웨어 해시
• 생도 블리자드 배우 IOC - 2022년 1월
• FoggyWeb 백도어와 관련된 미드나잇 블리자드 IOC

네트워크 세션 보안 콘텐츠

ASIM 정규화에 대해서는 다음 기본 제공되는 네트워크 세션 관련 콘텐츠가 지원됩니다.

솔루션

• 네트워크 세션 필수
• Log4j 취약성 탐지
• 레거시 IOC 기반 위협 탐지

Analytics 규칙

• Log4Shell IP IOC로 알려진 Log4j 취약성 악용
• 단일 소스에서 실패한 초과 연결 수(ASIM 네트워크 세션 스키마)
• 잠재적 비콘 작업(ASIM 네트워크 세션 스키마)
• (미리 보기) 네트워크 세션 이벤트에 대한 TI 맵 IP 엔터티(ASIM 네트워크 세션 스키마)
• 포트 스캔 검색됨(ASIM 네트워크 세션 스키마)
• 알려진 Barium IP 주소
• Exchange Server 취약점 공개 2021년 3월 IoC 매치
• [알려진 씨셸 블리자드 IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• 미드나잇 블리자드 - 도메인, 해시 및 IP IOC - 2021년 5월
• 알려진 포레스트 블리자드 그룹 도메인 - 2019년 7월

헌팅 쿼리

• 외부 IP에서 OMI 관련 포트로 연결

프로세스 활동 보안 콘텐츠

ASIM 정규화에는 다음과 같은 기본 제공 프로세스 작업 콘텐츠가 지원됩니다.

솔루션

• 엔드포인트 위협 방지 Essentials
• 레거시 IOC 기반 위협 탐지

Analytics 규칙

• 가능한 AdFind 정찰 도구 사용 (정규화된 프로세스 이벤트)
• Base64 인코딩 Windows 프로세스 명령줄(정규화된 프로세스 이벤트)
• 휴지통의 맬웨어(정규화된 프로세스 이벤트)
• 미드나잇 블리자드 - vbscript의 의심스러운 rundll32.exe 실행(정규화된 프로세스 이벤트)
• 의심스러운 SUNBURST SolarWinds 자식 프로세스 (정규화된 프로세스 이벤트)

헌팅 쿼리

• Cscript 스크립트 일별 요약 분석 (정규화된 프로세스 이벤트)
• 사용자 및 그룹의 열거(정규화된 프로세스 이벤트)
• Exchange PowerShell 스냅인 추가(정규화된 프로세스 이벤트)
• 사서함을 내보내고 내보내기를 제거하는 호스트(정규화된 프로세스 이벤트)
• Invoke-PowerShellTcpOneLine 사용(정규화된 프로세스 이벤트)
• Base64의 Nishang 역방향 TCP Shell(정규화된 프로세스 이벤트)
• 흔하지 않거나 문서화되지 않은 명령줄 스위치를 사용하여 생성된 사용자 요약(정규화된 프로세스 이벤트)
• Powercat 다운로드(정규화된 프로세스 이벤트)
• PowerShell 다운로드(정규화된 프로세스 이벤트)
• 지정된 호스트에 대한 프로세스의 엔트로피(정규화된 프로세스 이벤트)
• SolarWinds 인벤토리(정규화된 프로세스 이벤트)
• Adfind 도구를 사용한 의심스러운 열거형(정규화된 프로세스 이벤트)
• Windows 시스템 종료/다시 부팅(정규화된 프로세스 이벤트)
• Certutil(LOLBins 및 LOLScripts, 정규화된 프로세스 이벤트)
• Rundll32.exe (LOLBins 및 LOLScripts, 정규화된 프로세스 이벤트)
• 특수 프로세스-하위 5% (정규화된 프로세스 이벤트)
• 명령줄에서 유니코드 난독 처리

레지스트리 활동 보안 콘텐츠

다음 기본 제공 레지스트리 활동 콘텐츠는 ASIM 정규화에 대해 지원됩니다.

Analytics 규칙

• 잠재적 Fodhelper UAC 바이패스(ASIM 버전)

헌팅 쿼리

• IFEO 레지스트리 키를 통해 유지

웹 세션 보안 콘텐츠

다음 기본 제공되는 웹 세션 관련 콘텐츠는 ASIM 정규화를 위해 지원됩니다.

솔루션

• Log4j 취약성 탐지
• 위협 인텔리전스

Analytics 규칙

• (미리 보기) 웹 세션 이벤트에 대한 TI 맵 도메인 엔터티(ASIM 웹 세션 스키마)
• (미리 보기) 웹 세션 이벤트에 대한 TI 맵 IP 엔터티(ASIM 웹 세션 스키마)
• DGA(도메인 생성 알고리즘) 기반 호스트 이름을 사용한 잠재적 통신(ASIM 네트워크 세션 스키마)
• 잠재적으로 유해한 파일에 대해 수행된 클라이언트 웹 요청(ASIM 웹 세션 스키마)
• 호스트가 잠재적으로 암호화 마이너를 실행할 수 있음(ASIM 웹 세션 스키마)
• 호스트가 잠재적으로 해킹 도구를 실행할 수 있음(ASIM 웹 세션 스키마)
• 호스트가 HTTP(S) 요청 전송을 위해 잠재적으로 PowerShell을 실행할 수 있음(ASIM 웹 세션 스키마)
• 디스코드 CDN 위험 파일 다운로드(ASIM 웹 세션 스키마)
• 소스에서 과도한 HTTP 인증 실패 횟수(ASIM 웹 세션 스키마)
• 알려진 Barium 도메인
• 알려진 Barium IP 주소
• 알려진 Ruby Sleet 도메인 및 해시
• 알려진 Seashell 블리자드 IP
• 알려진 NICKEL 도메인 및 해시
• 미드나잇 블리자드 - 도메인 및 IP IOC - 2021년 3월
• 미드나잇 블리자드 - 도메인, 해시 및 IP IOC - 2021년 5월
• 알려진 Phosphorus 그룹 도메인/IP
• log4j 악용을 위한 사용자 에이전트 검색 시도

다음 단계

이 문서에서는 ASIM(고급 보안 정보 모델) 콘텐츠에 대해 설명합니다.

자세한 내용은 다음을 참조하세요.

• Microsoft Sentinel 정규화 파서 및 정규화된 콘텐츠에 대한 심층 분석 웹 세미나를 시청하거나 슬라이드를 검토하세요.
• ASIM(고급 보안 정보 모델) 개요
• ASIM(고급 보안 정보 모델) 스키마
• ASIM(고급 보안 정보 모델) 파서
• ASIM(고급 보안 정보 모델) 사용
• ASIM(고급 보안 정보 모델) 파서를 사용하도록 Microsoft Sentinel 콘텐츠 수정