ASIM-beveiligingsinhoud (Advanced Security Information Model) (openbare preview)

Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met parsers voor het samenvoegen van normalisatie.

U kunt genormaliseerde, ingebouwde inhoud vinden in Microsoft Sentinel-galerieën en -oplossingen, uw eigen genormaliseerde inhoud maken of bestaande inhoud wijzigen om genormaliseerde gegevens te gebruiken.

Dit artikel bevat ingebouwde Microsoft Sentinel-inhoud die is geconfigureerd voor ondersteuning van het Advanced Security Information Model (ASIM). Koppelingen naar de GitHub-opslagplaats van Microsoft Sentinel worden hieronder weergegeven als referentie, maar u kunt deze regels ook vinden in de regelgalerie van Microsoft Sentinel Analytics. Gebruik de gekoppelde GitHub-pagina's om relevante opsporingsquery's te kopiëren.

Als u wilt weten hoe genormaliseerde inhoud binnen de ASIM-architectuur past, raadpleegt u het ASIM-architectuurdiagram.

Tip

Watch ook de Deep Dive-webinar op Microsoft Sentinel Parsers en genormaliseerde inhoud normaliseren of bekijk de dia's. Zie voor meer informatie Volgende stappen.

Belangrijk

ASIM is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Inhoud van verificatiebeveiliging

De volgende ingebouwde verificatie-inhoud wordt ondersteund voor ASIM-normalisatie.

Analyseregels

• Mogelijke wachtwoordsprayaanval (maakt gebruik van verificatienormalisatie)
• Beveiligingsaanval op gebruikersreferenties (maakt gebruik van verificatienormalisatie)
• Gebruikersaanmelding vanuit verschillende landen binnen 3 uur (maakt gebruik van verificatienormalisatie)
• Aanmeldingen van IP-adressen die proberen aan te melden bij uitgeschakelde accounts (maakt gebruik van verificatienormalisatie)

Beveiligingsinhoud voor DNS-query's

De volgende ingebouwde DNS-queryinhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• DNS Essentials
• Detectie van beveiligingsproblemen in Log4j
• Verouderde op IOC gebaseerde detectie van bedreigingen

Analyseregels

• (Preview) TI-domeinentiteit toewijzen aan DNS-gebeurtenissen (ASIM DNS-schema)
• (Preview) TI-entiteit toewijzen aan DNS-gebeurtenissen (ASIM DNS-schema)
• Mogelijke DGA gedetecteerd (ASimDNS)
• Overmatige NXDOMAIN DNS-query's (ASIM DNS-schema)
• DNS-gebeurtenissen met betrekking tot miningpools (ASIM DNS-schema)
• DNS-gebeurtenissen met betrekking tot ToR-proxy's (ASIM DNS-schema)
• Bekende Barium-domeinen
• Bekende Barium IP-adressen
• Exchange Server beveiligingsproblemen bekend gemaakt, ioC-overeenkomst van maart 2021
• Bekende graniet typhoon domeinen en hashes
• Bekend IP-adres van Seashell Blizzard
• Midnight Blizzard - Domein- en IP-IOC's - maart 2021
• Bekende fosforgroepsdomeinen/IP
• Bekende blizzard-groepsdomeinen - juli 2019
• Solorigate-netwerkbaken
• Emerald Sleet-domeinen opgenomen in DCU-takedown
• Bekende Diamond Sleet Comebacker en Klackring malware hashes
• Bekende Ruby Sleet-domeinen en hashes
• Bekende NICKEL-domeinen en hashes
• Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
• Solorigate-netwerkbaken

Beveiligingsinhoud voor bestandsactiviteit

De volgende inhoud van de ingebouwde bestandsactiviteit wordt ondersteund voor ASIM-normalisatie.

• Verouderde op IOC gebaseerde detectie van bedreigingen

Analyseregels

• SUNBURST- en SUPERNOVA-hashes (genormaliseerde bestandsgebeurtenissen)
• Exchange Server beveiligingsproblemen bekend gemaakt, ioC-overeenkomst van maart 2021
• Silk Typhoon UM Service schrijft verdacht bestand
• Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
• SUNSPOT-logboekbestand maken
• Bekende Diamond Sleet Comebacker en Klackring malware hashes
• Cadet Blizzard Actor IOC - januari 2022
• Midnight Blizzard IOC's gerelateerd aan FoggyWeb-achterdeur

Inhoud van netwerksessiebeveiliging

De volgende ingebouwde netwerksessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• Netwerksessie essentials
• Detectie van beveiligingsproblemen in Log4j
• Verouderde op IOC gebaseerde detectie van bedreigingen

Analyseregels

• Misbruik van Log4j-beveiligingsprobleem, ook wel Log4Shell IP IOC genoemd
• Overmatig aantal mislukte verbindingen van één bron (ASIM-netwerksessieschema)
• Mogelijke beaconing-activiteit (ASIM-netwerksessieschema)
• (Preview) TI-entiteit toewijzen aan netwerksessiegebeurtenissen (ASIM-netwerksessieschema)
• Poortscan gedetecteerd (ASIM-netwerksessieschema)
• Bekende Barium IP-adressen
• Exchange Server beveiligingsproblemen bekend gemaakt, ioC-overeenkomst van maart 2021
• [Ip-adres van Seashell Blizzard(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
• Bekende blizzard-groepsdomeinen - juli 2019

Opsporingsquery's

• Verbinding van externe IP naar OMI-gerelateerde poorten

Beveiligingsinhoud voor procesactiviteiten

De volgende ingebouwde inhoud van procesactiviteit wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• Endpoint Threat Protection Essentials
• Verouderde op IOC gebaseerde detectie van bedreigingen

Analyseregels

• Gebruik van het hulpprogramma Waarschijnlijke AdFind Recon (genormaliseerde procesgebeurtenissen)
• Met Base64 gecodeerde Windows-procesopdrachten (genormaliseerde procesgebeurtenissen)
• Malware in de prullenbak (genormaliseerde procesgebeurtenissen)
• Midnight Blizzard - verdachte rundll32.exe uitvoering van vbscript (genormaliseerde procesgebeurtenissen)
• SUNBURST verdachte onderliggende SolarWinds-processen (genormaliseerde procesgebeurtenissen)

Opsporingsquery's

• Dagelijkse uitsplitsing van het Cscript-script (genormaliseerde procesgebeurtenissen)
• Opsomming van gebruikers en groepen (genormaliseerde procesgebeurtenissen)
• Exchange PowerShell-module toegevoegd (genormaliseerde procesgebeurtenissen)
• Host die postvak exporteert en export verwijderen (genormaliseerde procesgebeurtenissen)
• Invoke-PowerShellTcpOneLine-gebruik (genormaliseerde procesgebeurtenissen)
• Nishang Reverse TCP Shell in Base64 (genormaliseerde procesgebeurtenissen)
• Samenvatting van gebruikers die zijn gemaakt met ongebruikelijke/niet-gedocumenteerde opdrachtregelopties (genormaliseerde procesgebeurtenissen)
• Powercat-download (genormaliseerde procesgebeurtenissen)
• PowerShell-downloads (genormaliseerde procesgebeurtenissen)
• Entropie voor processen voor een bepaalde host (genormaliseerde procesgebeurtenissen)
• SolarWinds-inventaris (genormaliseerde procesgebeurtenissen)
• Suspicious enumeration using Adfind tool (Normalized Process Events)
• Windows-systeem afsluiten/opnieuw opstarten (genormaliseerde procesgebeurtenissen)
• Certutil (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
• Rundll32 (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
• Ongebruikelijke processen - laagste 5% (genormaliseerde procesgebeurtenissen)
• Unicode-verdoezeling in de opdrachtregel

Beveiligingsinhoud van registeractiviteit

De volgende inhoud van de ingebouwde registeractiviteit wordt ondersteund voor ASIM-normalisatie.

Analyseregels

• Mogelijke Fodhelper UAC-bypass (ASIM-versie)

Opsporingsquery's

• Persistent maken via IFEO-registersleutel

Inhoud van websessiebeveiliging

De volgende ingebouwde websessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen

• Detectie van beveiligingsproblemen in Log4j
• Bedreigingsinformatie

Analyseregels

• (Preview) TI-domeinentiteit toewijzen aan websessiegebeurtenissen (ASIM-websessieschema)
• (Preview) TI-entiteit toewijzen aan websessiegebeurtenissen (ASIM-websessieschema)
• Mogelijke communicatie met een hostnaam op basis van een DGA (Domain Generation Algorithm) (ASIM Network Session schema)
• Een client heeft een webaanvraag ingediend bij een mogelijk schadelijk bestand (ASIM-websessieschema)
• Een host voert mogelijk een cryptominer uit (ASIM-websessieschema)
• Een host voert mogelijk een hackprogramma uit (ASIM-websessieschema)
• Een host voert mogelijk PowerShell uit om HTTP(S)-aanvragen te verzenden (ASIM-websessieschema)
• Discord CDN Risky File Download (ASIM Web Session Schema)
• Overmatig aantal HTTP-verificatiefouten van een bron (ASIM-websessieschema)
• Bekende Barium-domeinen
• Bekende Barium IP-adressen
• Bekende Ruby Sleet-domeinen en hashes
• Bekend IP-adres van Seashell Blizzard
• Bekende NICKEL-domeinen en hashes
• Midnight Blizzard - Domein- en IP-IOC's - maart 2021
• Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
• Bekende fosforgroepsdomeinen/IP
• Gebruikersagent zoeken naar log4j-exploitatiepoging

Volgende stappen

In dit artikel wordt de ASIM-inhoud (Advanced Security Information Model) besproken.

Zie voor meer informatie:

• Bekijk de Deep Dive-webinar op Microsoft Sentinel Parsers en genormaliseerde inhoud normaliseren of bekijk de dia's
• Overzicht van Advanced Security Information Model (ASIM)
• ASIM-schema's (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• Het Advanced Security Information Model (ASIM) gebruiken
• Microsoft Sentinel-inhoud wijzigen om de ASIM-parsers (Advanced Security Information Model) te gebruiken