ASIM-beveiligingsinhoud (Advanced Security Information Model)

Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met samenvoegende normalisatieparsers.

U kunt genormaliseerde, ingebouwde inhoud vinden in Microsoft Sentinel galerieën en oplossingen, uw eigen genormaliseerde inhoud maken of bestaande inhoud wijzigen om genormaliseerde gegevens te gebruiken.

In dit artikel vindt u een lijst met ingebouwde Microsoft Sentinel inhoud die is geconfigureerd ter ondersteuning van het Advanced Security Information Model (ASIM). Hoewel koppelingen naar de Microsoft Sentinel GitHub-opslagplaats als referentie worden gegeven, kunt u deze regels ook vinden in de Microsoft Sentinel Analytics-regelgalerie. Gebruik de gekoppelde GitHub-pagina's om relevante opsporingsquery's te kopiëren.

Raadpleeg het diagram ASIM-architectuur om te begrijpen hoe genormaliseerde inhoud binnen de ASIM-architectuur past.

Inhoud van verificatiebeveiliging

De volgende ingebouwde verificatie-inhoud wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Beveiligingsinhoud van bestandsactiviteit

De volgende inhoud van de ingebouwde bestandsactiviteit wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Beveiligingsinhoud van registeractiviteit

De volgende ingebouwde inhoud van registeractiviteit wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Opsporingsquery's

Inhoud van DNS-querybeveiliging

De volgende ingebouwde DNS-queryinhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels
DNS Essentials
Log4j-detectie van beveiligingsproblemen
Verouderde op IOC gebaseerde bedreigingsdetectie		 TI:domeinentiteit toewijzen aan DNS-gebeurtenissen (ASIM DNS-schema)
TI wijst IP-entiteit toe aan DNS-gebeurtenissen (ASIM DNS-schema)
Mogelijke DGA gedetecteerd (ASimDNS)
Overmatige NXDOMAIN DNS-query's (ASIM DNS-schema)
DNS-gebeurtenissen met betrekking tot miningpools (ASIM DNS-schema)
DNS-gebeurtenissen met betrekking tot ToR-proxy's (ASIM DNS-schema)
Bekende Forest Blizzard-groepsdomeinen - juli 2019

Inhoud van netwerksessiebeveiliging

De volgende ingebouwde inhoud met betrekking tot netwerksessies wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels Opsporingsquery's
Netwerksessie essentials
Log4j-detectie van beveiligingsproblemen
Verouderde op IOC gebaseerde bedreigingsdetectie		 Misbruik van Log4J-beveiligingsproblemen, ook wel Log4Shell IP-IOC genoemd
Overmatig aantal mislukte verbindingen van één bron (ASIM-netwerksessieschema)
Mogelijke beaconing-activiteit (ASIM-netwerksessieschema)
TI wijst IP-entiteit toe aan netwerksessiegebeurtenissen (ASIM-netwerksessieschema)
Poortscan gedetecteerd (ASIM-netwerksessieschema)
Bekende Forest Blizzard-groepsdomeinen - juli 2019		 Verbinding van externe IP naar omi-gerelateerde poorten

Beveiligingsinhoud van procesactiviteit

De volgende ingebouwde inhoud van procesactiviteit wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels Opsporingsquery's
Endpoint Threat Protection Essentials
Verouderde op IOC gebaseerde bedreigingsdetectie		 Waarschijnlijk gebruik van adFind Recon Tool (genormaliseerde procesgebeurtenissen)
Met Base64 gecodeerde Windows-procesopdrachten (genormaliseerde procesgebeurtenissen)
Malware in de Prullenbak (Genormaliseerde procesgebeurtenissen)
Midnight Blizzard - verdachte rundll32.exe uitvoering van vbscript (genormaliseerde procesgebeurtenissen)
SUNBURST verdachte onderliggende SolarWinds-processen (genormaliseerde procesgebeurtenissen)		 Uitsplitsing van dagelijkse samenvatting van Cscript-script (genormaliseerde procesgebeurtenissen)
Opsomming van gebruikers en groepen (genormaliseerde procesgebeurtenissen)
Exchange PowerShell-module toegevoegd (genormaliseerde procesgebeurtenissen)
Host die postvak exporteert en export verwijderen (genormaliseerde procesgebeurtenissen)
Invoke-PowerShellTcpOneLine-gebruik (genormaliseerde procesgebeurtenissen)
Nishang Reverse TCP Shell in Base64 (genormaliseerde procesgebeurtenissen)
Overzicht van gebruikers die zijn gemaakt met ongebruikelijke/niet-gedocumenteerde opdrachtregelopties (genormaliseerde procesgebeurtenissen)
Powercat Download (genormaliseerde procesgebeurtenissen)
PowerShell-downloads (genormaliseerde procesgebeurtenissen)
Entropie voor processen voor een bepaalde host (genormaliseerde procesgebeurtenissen)
SolarWinds Inventory (genormaliseerde procesgebeurtenissen)
Verdachte opsomming met behulp van het hulpprogramma Adfind (genormaliseerde procesgebeurtenissen)
Windows-systeem afsluiten/opnieuw opstarten (genormaliseerde procesgebeurtenissen)
Certutil (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
Rundll32 (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
Ongebruikelijke processen - laagste 5% (genormaliseerde procesgebeurtenissen)
Unicode-verdoezeling in opdrachtregel

Inhoud van websessiebeveiliging

De volgende ingebouwde websessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels
Log4j-detectie van beveiligingsproblemen
Bedreigingsinformatie		 TI:domeinentiteit toewijzen aan websessiegebeurtenissen (ASIM-websessieschema)
TI wijst IP-entiteit toe aan websessiegebeurtenissen (ASIM-websessieschema)
Potentiële communicatie met een op domain generation algorithm (DGA) gebaseerde hostnaam (ASIM Network Session schema)
Een client heeft een webaanvraag ingediend bij een mogelijk schadelijk bestand (ASIM Web Session-schema)
Een host voert mogelijk een cryptominer uit (ASIM Web Session-schema)
Een host voert mogelijk een hackprogramma uit (ASIM Web Session-schema)
Een host voert mogelijk PowerShell uit om HTTP(S)-aanvragen te verzenden (ASIM-websessieschema)
Discrd CDN Riskant bestand downloaden (ASIM-websessieschema)
Overmatig aantal HTTP-verificatiefouten van een bron (ASIM-websessieschema)
Gebruikersagent zoeken naar Log4j-exploitatiepoging

Verwante onderwerpen

  • Last updated on