Delen via

ASIM-beveiligingsinhoud (Advanced Security Information Model)

Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met samenvoeging van normalisatieparsers.

U kunt genormaliseerde, ingebouwde inhoud vinden in galerieën en oplossingen van Microsoft Sentinel, uw eigen genormaliseerde inhoud maken of bestaande inhoud wijzigen om genormaliseerde gegevens te gebruiken.

In dit artikel vindt u een lijst met ingebouwde Microsoft Sentinel-inhoud die is geconfigureerd ter ondersteuning van het Advanced Security Information Model (ASIM). Hoewel koppelingen naar de GitHub-opslagplaats van Microsoft Sentinel worden opgegeven als referentie, kunt u deze regels ook vinden in de galerie met Regels van Microsoft Sentinel Analytics. Gebruik de gekoppelde GitHub-pagina's om relevante opsporingsquery's te kopiëren.

Als u wilt weten hoe genormaliseerde inhoud binnen de ASIM-architectuur past, raadpleegt u het ASIM-architectuurdiagram.

Aanbeveling

Bekijk ook de Deep Dive Webinar op Microsoft Sentinel Normalizing Parsers and Normalized Content of bekijk de dia's. Zie voor meer informatie Volgende stappen.

Beveiligingsinhoud voor verificatie

De volgende ingebouwde verificatie-inhoud wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Beveiligingsinhoud voor bestandsactiviteit

De volgende ingebouwde bestandsactiviteitsinhoud wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Beveiligingsinhoud van registeractiviteit

De volgende ingebouwde inhoud van registeractiviteiten wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Opsporingsquery's

Dns-querybeveiligingsinhoud

De volgende ingebouwde DNS-queryinhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels
DNS Essentials
Detectie van beveiligingsproblemen in Log4j
Verouderde bedreigingsdetectie op basis van IOC		 TI wijst domeinentiteit toe aan DNS-gebeurtenissen (ASIM DNS-schema)
TI wijst IP-entiteit toe aan DNS-gebeurtenissen (ASIM DNS-schema)
Mogelijke DGA gedetecteerd (ASimDNS)
Overmatige NXDOMAIN DNS-query's (ASIM DNS-schema)
DNS-gebeurtenissen met betrekking tot mijnbouwgroepen (ASIM DNS-schema)
DNS-gebeurtenissen met betrekking tot ToR-proxy's (ASIM DNS-schema)
Bekende Forest Blizzard-groepsdomeinen - juli 2019

Beveiligingsinhoud voor netwerksessies

De volgende ingebouwde inhoud voor netwerksessies wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels Opsporingsquery's
Netwerksessie essentials
Detectie van beveiligingsproblemen in Log4j
Verouderde bedreigingsdetectie op basis van IOC		 Log4j-beveiligingsprobleem exploit aka Log4Shell IP IOC
Overmatig aantal mislukte verbindingen van één bron (ASIM-netwerksessieschema)
Mogelijke beaconing-activiteit (ASIM-netwerksessieschema)
TI wijst IP-entiteit toe aan netwerksessiegebeurtenissen (ASIM-netwerksessieschema)
Poortscan gedetecteerd (ASIM-netwerksessieschema)
Bekende Forest Blizzard-groepsdomeinen - juli 2019		 Verbinding van externe IP naar OMI-gerelateerde poorten

Beveiligingsinhoud voor procesactiviteit

De volgende ingebouwde inhoud van procesactiviteit wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels Opsporingsquery's
Endpoint Threat Protection Essentials
Verouderde bedreigingsdetectie op basis van IOC		 Waarschijnlijk gebruik van adFind Recon Tool (genormaliseerde procesgebeurtenissen)
Met Base64 gecodeerde Windows-procesopdrachten (genormaliseerde procesgebeurtenissen)
Malware in de prullenbak (genormaliseerde procesgebeurtenissen)
Middernacht-blizzard - verdachte rundll32.exe uitvoering van vbscript (genormaliseerde procesgebeurtenissen)
SUNBURST suspicious SolarWinds child processes (Normalized Process Events)		 Dagelijkse samenvattingsanalyse van Cscript-script (genormaliseerde procesgebeurtenissen)
Opsomming van gebruikers en groepen (genormaliseerde procesgebeurtenissen)
Exchange PowerShell-module toegevoegd (genormaliseerde procesgebeurtenissen)
Postvak exporteren hosten en exporteren verwijderen (genormaliseerde procesgebeurtenissen)
Invoke-PowerShellTcpOneLine-gebruik (genormaliseerde procesgebeurtenissen)
Nishang Reverse TCP Shell in Base64 (genormaliseerde procesgebeurtenissen)
Samenvatting van gebruikers die zijn gemaakt met ongebruikelijke/niet-gedocumenteerde opdrachtregelopties (genormaliseerde procesgebeurtenissen)
Powercat Downloaden (genormaliseerde procesgebeurtenissen)
PowerShell-downloads (genormaliseerde procesgebeurtenissen)
Entropie voor processen voor een bepaalde host (genormaliseerde procesgebeurtenissen)
SolarWinds Inventory (genormaliseerde procesgebeurtenissen)
Verdachte inventarisatie met behulp van het hulpprogramma Adfind (genormaliseerde procesgebeurtenissen)
Windows-systeem afsluiten/opnieuw opstarten (genormaliseerde procesgebeurtenissen)
Certutil (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
Rundll32 (LOLBins en LOLScripts, Genormaliseerde procesgebeurtenissen)
Ongebruikelijke processen - laagste 5% (genormaliseerde procesgebeurtenissen)
Unicode-verdoofing in opdrachtregel

Beveiligingsinhoud voor websessies

De volgende ingebouwde websessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels
Detectie van beveiligingsproblemen in Log4j
Bedreigingsinformatie		 TI wijst domeinentiteit toe aan websessiegebeurtenissen (ASIM-websessieschema)
TI wijst IP-entiteit toe aan websessiegebeurtenissen (ASIM-websessieschema)
Mogelijke communicatie met een op DGA (Domain Generation Algorithm) gebaseerde hostnaam (ASIM Network Session Schema)
Een client heeft een webaanvraag ingediend bij een mogelijk schadelijk bestand (ASIM-websessieschema)
Een host kan een cryptominer uitvoeren (ASIM-websessieschema)
Een host voert mogelijk een hacking-hulpprogramma uit (ASIM-websessieschema)
Een host voert mogelijk PowerShell uit om HTTP(S)-aanvragen (ASIM-websessieschema) te verzenden
Discord CDN Risky File Download (ASIM Web Session Schema)
Overmatig aantal HTTP-verificatiefouten van een bron (ASIM-websessieschema)
Gebruikersagent zoeken naar Log4j-exploitatiepoging

Volgende stappen

Zie voor meer informatie:

  • Last updated on