ASIM-beveiligingsinhoud (Advanced Security Information Model) (openbare preview)
Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met parsers voor het samenvoegen van normalisatie.
U kunt genormaliseerde, ingebouwde inhoud vinden in Microsoft Sentinel-galerieën en -oplossingen, uw eigen genormaliseerde inhoud maken of bestaande inhoud wijzigen om genormaliseerde gegevens te gebruiken.
Dit artikel bevat ingebouwde Microsoft Sentinel-inhoud die is geconfigureerd voor ondersteuning van het Advanced Security Information Model (ASIM). Koppelingen naar de GitHub-opslagplaats van Microsoft Sentinel worden hieronder weergegeven als referentie, maar u kunt deze regels ook vinden in de regelgalerie van Microsoft Sentinel Analytics. Gebruik de gekoppelde GitHub-pagina's om relevante opsporingsquery's te kopiëren.
Als u wilt weten hoe genormaliseerde inhoud binnen de ASIM-architectuur past, raadpleegt u het ASIM-architectuurdiagram.
Tip
Watch ook de Deep Dive-webinar op Microsoft Sentinel Parsers en genormaliseerde inhoud normaliseren of bekijk de dia's. Zie voor meer informatie Volgende stappen.
Belangrijk
ASIM is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Inhoud van verificatiebeveiliging
De volgende ingebouwde verificatie-inhoud wordt ondersteund voor ASIM-normalisatie.
Analyseregels
- Mogelijke wachtwoordsprayaanval (maakt gebruik van verificatienormalisatie)
- Beveiligingsaanval op gebruikersreferenties (maakt gebruik van verificatienormalisatie)
- Gebruikersaanmelding vanuit verschillende landen binnen 3 uur (maakt gebruik van verificatienormalisatie)
- Aanmeldingen van IP-adressen die proberen aan te melden bij uitgeschakelde accounts (maakt gebruik van verificatienormalisatie)
Beveiligingsinhoud voor DNS-query's
De volgende ingebouwde DNS-queryinhoud wordt ondersteund voor ASIM-normalisatie.
Oplossingen
- DNS Essentials
- Detectie van beveiligingsproblemen in Log4j
- Verouderde op IOC gebaseerde detectie van bedreigingen
Analyseregels
- (Preview) TI-domeinentiteit toewijzen aan DNS-gebeurtenissen (ASIM DNS-schema)
- (Preview) TI-entiteit toewijzen aan DNS-gebeurtenissen (ASIM DNS-schema)
- Mogelijke DGA gedetecteerd (ASimDNS)
- Overmatige NXDOMAIN DNS-query's (ASIM DNS-schema)
- DNS-gebeurtenissen met betrekking tot miningpools (ASIM DNS-schema)
- DNS-gebeurtenissen met betrekking tot ToR-proxy's (ASIM DNS-schema)
- Bekende Barium-domeinen
- Bekende Barium IP-adressen
- Exchange Server beveiligingsproblemen bekend gemaakt, ioC-overeenkomst van maart 2021
- Bekende graniet typhoon domeinen en hashes
- Bekend IP-adres van Seashell Blizzard
- Midnight Blizzard - Domein- en IP-IOC's - maart 2021
- Bekende fosforgroepsdomeinen/IP
- Bekende blizzard-groepsdomeinen - juli 2019
- Solorigate-netwerkbaken
- Emerald Sleet-domeinen opgenomen in DCU-takedown
- Bekende Diamond Sleet Comebacker en Klackring malware hashes
- Bekende Ruby Sleet-domeinen en hashes
- Bekende NICKEL-domeinen en hashes
- Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
- Solorigate-netwerkbaken
Beveiligingsinhoud voor bestandsactiviteit
De volgende inhoud van de ingebouwde bestandsactiviteit wordt ondersteund voor ASIM-normalisatie.
Analyseregels
- SUNBURST- en SUPERNOVA-hashes (genormaliseerde bestandsgebeurtenissen)
- Exchange Server beveiligingsproblemen bekend gemaakt, ioC-overeenkomst van maart 2021
- Silk Typhoon UM Service schrijft verdacht bestand
- Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
- SUNSPOT-logboekbestand maken
- Bekende Diamond Sleet Comebacker en Klackring malware hashes
- Cadet Blizzard Actor IOC - januari 2022
- Midnight Blizzard IOC's gerelateerd aan FoggyWeb-achterdeur
Inhoud van netwerksessiebeveiliging
De volgende ingebouwde netwerksessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.
Oplossingen
- Netwerksessie essentials
- Detectie van beveiligingsproblemen in Log4j
- Verouderde op IOC gebaseerde detectie van bedreigingen
Analyseregels
- Misbruik van Log4j-beveiligingsprobleem, ook wel Log4Shell IP IOC genoemd
- Overmatig aantal mislukte verbindingen van één bron (ASIM-netwerksessieschema)
- Mogelijke beaconing-activiteit (ASIM-netwerksessieschema)
- (Preview) TI-entiteit toewijzen aan netwerksessiegebeurtenissen (ASIM-netwerksessieschema)
- Poortscan gedetecteerd (ASIM-netwerksessieschema)
- Bekende Barium IP-adressen
- Exchange Server beveiligingsproblemen bekend gemaakt, ioC-overeenkomst van maart 2021
- [Ip-adres van Seashell Blizzard(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
- Bekende blizzard-groepsdomeinen - juli 2019
Opsporingsquery's
Beveiligingsinhoud voor procesactiviteiten
De volgende ingebouwde inhoud van procesactiviteit wordt ondersteund voor ASIM-normalisatie.
Oplossingen
Analyseregels
- Gebruik van het hulpprogramma Waarschijnlijke AdFind Recon (genormaliseerde procesgebeurtenissen)
- Met Base64 gecodeerde Windows-procesopdrachten (genormaliseerde procesgebeurtenissen)
- Malware in de prullenbak (genormaliseerde procesgebeurtenissen)
- Midnight Blizzard - verdachte rundll32.exe uitvoering van vbscript (genormaliseerde procesgebeurtenissen)
- SUNBURST verdachte onderliggende SolarWinds-processen (genormaliseerde procesgebeurtenissen)
Opsporingsquery's
- Dagelijkse uitsplitsing van het Cscript-script (genormaliseerde procesgebeurtenissen)
- Opsomming van gebruikers en groepen (genormaliseerde procesgebeurtenissen)
- Exchange PowerShell-module toegevoegd (genormaliseerde procesgebeurtenissen)
- Host die postvak exporteert en export verwijderen (genormaliseerde procesgebeurtenissen)
- Invoke-PowerShellTcpOneLine-gebruik (genormaliseerde procesgebeurtenissen)
- Nishang Reverse TCP Shell in Base64 (genormaliseerde procesgebeurtenissen)
- Samenvatting van gebruikers die zijn gemaakt met ongebruikelijke/niet-gedocumenteerde opdrachtregelopties (genormaliseerde procesgebeurtenissen)
- Powercat-download (genormaliseerde procesgebeurtenissen)
- PowerShell-downloads (genormaliseerde procesgebeurtenissen)
- Entropie voor processen voor een bepaalde host (genormaliseerde procesgebeurtenissen)
- SolarWinds-inventaris (genormaliseerde procesgebeurtenissen)
- Suspicious enumeration using Adfind tool (Normalized Process Events)
- Windows-systeem afsluiten/opnieuw opstarten (genormaliseerde procesgebeurtenissen)
- Certutil (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
- Rundll32 (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
- Ongebruikelijke processen - laagste 5% (genormaliseerde procesgebeurtenissen)
- Unicode-verdoezeling in de opdrachtregel
Beveiligingsinhoud van registeractiviteit
De volgende inhoud van de ingebouwde registeractiviteit wordt ondersteund voor ASIM-normalisatie.
Analyseregels
Opsporingsquery's
Inhoud van websessiebeveiliging
De volgende ingebouwde websessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.
Oplossingen
Analyseregels
- (Preview) TI-domeinentiteit toewijzen aan websessiegebeurtenissen (ASIM-websessieschema)
- (Preview) TI-entiteit toewijzen aan websessiegebeurtenissen (ASIM-websessieschema)
- Mogelijke communicatie met een hostnaam op basis van een DGA (Domain Generation Algorithm) (ASIM Network Session schema)
- Een client heeft een webaanvraag ingediend bij een mogelijk schadelijk bestand (ASIM-websessieschema)
- Een host voert mogelijk een cryptominer uit (ASIM-websessieschema)
- Een host voert mogelijk een hackprogramma uit (ASIM-websessieschema)
- Een host voert mogelijk PowerShell uit om HTTP(S)-aanvragen te verzenden (ASIM-websessieschema)
- Discord CDN Risky File Download (ASIM Web Session Schema)
- Overmatig aantal HTTP-verificatiefouten van een bron (ASIM-websessieschema)
- Bekende Barium-domeinen
- Bekende Barium IP-adressen
- Bekende Ruby Sleet-domeinen en hashes
- Bekend IP-adres van Seashell Blizzard
- Bekende NICKEL-domeinen en hashes
- Midnight Blizzard - Domein- en IP-IOC's - maart 2021
- Midnight Blizzard - Domein, Hash en IP IOC's - mei 2021
- Bekende fosforgroepsdomeinen/IP
- Gebruikersagent zoeken naar log4j-exploitatiepoging
Volgende stappen
In dit artikel wordt de ASIM-inhoud (Advanced Security Information Model) besproken.
Zie voor meer informatie:
- Bekijk de Deep Dive-webinar op Microsoft Sentinel Parsers en genormaliseerde inhoud normaliseren of bekijk de dia's
- Overzicht van Advanced Security Information Model (ASIM)
- ASIM-schema's (Advanced Security Information Model)
- ASIM-parsers (Advanced Security Information Model)
- Het Advanced Security Information Model (ASIM) gebruiken
- Microsoft Sentinel-inhoud wijzigen om de ASIM-parsers (Advanced Security Information Model) te gebruiken