ASIM-sikkerhetsinnhold (Advanced Security Information Model)

Normalisert sikkerhetsinnhold i Microsoft Sentinel omfatter analyseregler, jaktspørringer og arbeidsbøker som fungerer med samlende normaliseringsanalyser.

Du kan finne normalisert, innebygd innhold i Microsoft Sentinel gallerier og løsninger, opprette ditt eget normaliserte innhold eller endre eksisterende innhold for å bruke normaliserte data.

Denne artikkelen viser innebygd Microsoft Sentinel innhold som er konfigurert til å støtte ASIM (Advanced Security Information Model). Selv om koblinger til Microsoft Sentinel GitHub-repositorium er angitt som en referanse, kan du også finne disse reglene i Microsoft Sentinel analyseregelgalleriet. Bruk de koblede GitHub-sidene til å kopiere eventuelle relevante jaktspørringer.

Hvis du vil forstå hvordan normalisert innhold passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.

Sikkerhetsinnhold for godkjenning

Følgende innebygd godkjenningsinnhold støttes for ASIM-normalisering.

Analyseregler

• Potensielt passordsprayangrep (bruker godkjenningsnormalisering)
• Brute force angrep mot brukerlegitimasjon (bruker godkjenning normalisering)
• Brukerpålogging fra forskjellige land/områder innen tre timer (bruker godkjenningsnormalisering)
• Pålogginger fra IP-er som prøver pålogginger på deaktiverte kontoer (bruker normalisering av godkjenning)

Sikkerhetsinnhold for filaktivitet

Følgende innebygde innhold for filaktivitet støttes for ASIM-normalisering.

• Eldre IOC-basert trusselregistrering

Analyseregler

• SUNBURST og SUPERNOVA bakdør hashes (Normaliserte filhendelser)

Sikkerhetsinnhold for registeraktivitet

Følgende innebygd innhold for registeraktivitet støttes for ASIM-normalisering.

Analyseregler

• Potensiell Fodhelper UAC Bypass (ASIM-versjon)

Jaktspørringer

• Vedvarer via IFEO-registernøkkel

Sikkerhetsinnhold for DNS-spørring

Følgende innebygd DNS-spørringsinnhold støttes for ASIM-normalisering.

Løsninger	Analyseregler
DNS Essentials Log4j-sikkerhetsproblemregistrering Eldre IOC-basert trusselregistrering	TI tilordner domeneenhet til DNS-hendelser (ASIM DNS-skjema) TI tilordner IP-enheten til DNS-hendelser (ASIM DNS-skjema) Potensiell DGA-oppdaget (ASimDNS) Overflødige DNS-spørringer for NXDOMAIN (ASIM DNS-skjema) DNS-hendelser relatert til gruveutvalg (ASIM DNS-skjema) DNS-hendelser relatert til ToR-proxyer (ASIM DNS-skjema) Kjente Forest Blizzard-gruppedomener – juli 2019

Sikkerhetsinnhold for nettverksøkt

Følgende innebygde nettverksøktrelaterte innhold støttes for ASIM-normalisering.

Løsninger	Analyseregler	Jaktspørringer
Network Session Essentials Log4j-sikkerhetsproblemregistrering Eldre IOC-basert trusselregistrering	Log4j-sårbarhetsutnyttelse også kalt Log4Shell IP IOC For mange mislykkede tilkoblinger fra én enkelt kilde (ASIM Network Session-skjema) Potensiell signalaktivitet (ASIM Network Session-skjema) TI tilordner IP-enheten til nettverksøkthendelser (ASIM-nettverksøktskjema) Oppdaget portskanning (ASIM Network Session-skjema) Kjente Forest Blizzard-gruppedomener – juli 2019	Tilkobling fra ekstern IP til OMI-relaterte porter

Behandle aktivitetssikkerhetsinnhold

Følgende innebygd prosessaktivitetsinnhold støttes for ASIM-normalisering.

Løsninger	Analyseregler	Jaktspørringer
Grunnleggende om trusselbeskyttelse for endepunkt Eldre IOC-basert trusselregistrering	Sannsynlig bruk av AdFind-rekonseringsverktøy (normaliserte prosesshendelser) Base64-kodede kommandolinjer for Windows-prosesser (normaliserte prosesshendelser) Skadelig programvare i papirkurven (normaliserte prosesshendelser) Midnight Blizzard - mistenkelig rundll32.exe kjøring av vbscript (Normaliserte prosesshendelser) SUNBURST mistenkelige SolarWinds-barneprosesser (normaliserte prosesshendelser)	Daglig sammendrag av Cscript-skript (normaliserte prosesshendelser) Opplisting av brukere og grupper (normaliserte prosesshendelser) Snapin-bokstav for Exchange PowerShell lagt til (normaliserte prosesshendelser) Vert eksporterer postboks og fjerner eksport (normaliserte prosesshendelser) Aktiver PowerShellTcpOneLine-bruk (normaliserte prosesshendelser) Nishang Reverse TCP Shell i Base64 (normaliserte prosesshendelser) Sammendrag av brukere som er opprettet ved hjelp av uvanlige/udokumenterte kommandolinjebrytere (normaliserte prosesshendelser) Powercat-nedlasting (normaliserte prosesshendelser) PowerShell-nedlastinger (normaliserte prosesshendelser) Entropi for prosesser for en gitt vert (normaliserte prosesshendelser) SolarWinds-beholdning (normaliserte prosesshendelser) Mistenkelig opplisting ved hjelp av Adfind-verktøyet (normaliserte prosesshendelser) Windows System Shutdown/Reboot (normaliserte prosesshendelser) Certutil (LOLBins og LOLScripts, normaliserte prosesshendelser) Rundll32 (LOLBins og LOLScripts, normaliserte prosesshendelser) Uvanlige prosesser – nederste 5 % (normaliserte prosesshendelser) Unicode Obfuscation i kommandolinjen

Sikkerhetsinnhold for nettøkt

Følgende innebygde nettøktrelaterte innhold støttes for ASIM-normalisering.

Løsninger

Analyseregler

Log4j-sikkerhetsproblemregistrering Trusselintelligens

TI tilordner domeneenhet til nettøkthendelser (skjema for ASIM-nettøkt) IP-enhet for TI-tilordning til webøkthendelser (skjema for ASIM-nettøkt) Potensiell kommunikasjon med et domenegenereringsalgoritme (DGA)-basert vertsnavn (ASIM Network Session-skjema) En klient har gjort en nettforespørsel til en potensielt skadelig fil (ASIM Web Session-skjema) En vert kjører potensielt en kryptominer (ASIM Web Session-skjema) En vert kjører potensielt et hackingverktøy (ASIM Web Session-skjema) En vert kjører potensielt PowerShell for å sende HTTP(S)-forespørsler (ASIM Web Session-skjema) Discord CDN Risky File Download (ASIM Web Session Schema) For mange HTTP-godkjenningsfeil fra en kilde (ASIM Web Session-skjema) Brukeragentsøk etter log4j-utnyttelsesforsøk

Beslektet innhold

• Oversikt over Advanced Security Information Model (ASIM)
• ASIM-skjemaer (Advanced Security Information Model)
• ASIM-analyser (Advanced Security Information Model)
• Endre Microsoft Sentinel innhold for å bruke ASIM-parsere (Advanced Security Information Model)
• Dypdykk i nettseminar om Microsoft Sentinel normaliseringsanalyser og normalisert innhold