ASIM-beveiligingsinhoud (Advanced Security Information Model)

Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met samenvoegende normalisatieparsers.

U kunt genormaliseerde, ingebouwde inhoud vinden in Microsoft Sentinel galerieën en oplossingen, uw eigen genormaliseerde inhoud maken of bestaande inhoud wijzigen om genormaliseerde gegevens te gebruiken.

In dit artikel vindt u een lijst met ingebouwde Microsoft Sentinel inhoud die is geconfigureerd ter ondersteuning van het Advanced Security Information Model (ASIM). Hoewel koppelingen naar de Microsoft Sentinel GitHub-opslagplaats als referentie worden gegeven, kunt u deze regels ook vinden in de Microsoft Sentinel Analytics-regelgalerie. Gebruik de gekoppelde GitHub-pagina's om relevante opsporingsquery's te kopiëren.

Raadpleeg het diagram ASIM-architectuur om te begrijpen hoe genormaliseerde inhoud binnen de ASIM-architectuur past.

Tip

Bekijk ook de Deep Dive Webinar over Microsoft Sentinel Parsers normaliseren en genormaliseerde inhoud of bekijk de dia's. Zie Volgende stappen voor meer informatie.

Inhoud van verificatiebeveiliging

De volgende ingebouwde verificatie-inhoud wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Beveiligingsinhoud van bestandsactiviteit

De volgende inhoud van de ingebouwde bestandsactiviteit wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Beveiligingsinhoud van registeractiviteit

De volgende ingebouwde inhoud van registeractiviteit wordt ondersteund voor ASIM-normalisatie.

Analyseregels

Opsporingsquery's

Inhoud van DNS-querybeveiliging

De volgende ingebouwde DNS-queryinhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels
DNS Essentials
Log4j-detectie van beveiligingsproblemen
Verouderde op IOC gebaseerde bedreigingsdetectie		 TI:domeinentiteit toewijzen aan DNS-gebeurtenissen (ASIM DNS-schema)
TI wijst IP-entiteit toe aan DNS-gebeurtenissen (ASIM DNS-schema)
Mogelijke DGA gedetecteerd (ASimDNS)
Overmatige NXDOMAIN DNS-query's (ASIM DNS-schema)
DNS-gebeurtenissen met betrekking tot miningpools (ASIM DNS-schema)
DNS-gebeurtenissen met betrekking tot ToR-proxy's (ASIM DNS-schema)
Bekende Forest Blizzard-groepsdomeinen - juli 2019

Inhoud van netwerksessiebeveiliging

De volgende ingebouwde inhoud met betrekking tot netwerksessies wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels Opsporingsquery's
Netwerksessie essentials
Log4j-detectie van beveiligingsproblemen
Verouderde op IOC gebaseerde bedreigingsdetectie		 Misbruik van Log4J-beveiligingsproblemen, ook wel Log4Shell IP-IOC genoemd
Overmatig aantal mislukte verbindingen van één bron (ASIM-netwerksessieschema)
Mogelijke beaconing-activiteit (ASIM-netwerksessieschema)
TI wijst IP-entiteit toe aan netwerksessiegebeurtenissen (ASIM-netwerksessieschema)
Poortscan gedetecteerd (ASIM-netwerksessieschema)
Bekende Forest Blizzard-groepsdomeinen - juli 2019		 Verbinding van externe IP naar omi-gerelateerde poorten

Beveiligingsinhoud van procesactiviteit

De volgende ingebouwde inhoud van procesactiviteit wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels Opsporingsquery's
Endpoint Threat Protection Essentials
Verouderde op IOC gebaseerde bedreigingsdetectie		 Waarschijnlijk gebruik van adFind Recon Tool (genormaliseerde procesgebeurtenissen)
Met Base64 gecodeerde Windows-procesopdrachten (genormaliseerde procesgebeurtenissen)
Malware in de Prullenbak (Genormaliseerde procesgebeurtenissen)
Midnight Blizzard - verdachte rundll32.exe uitvoering van vbscript (genormaliseerde procesgebeurtenissen)
SUNBURST verdachte onderliggende SolarWinds-processen (genormaliseerde procesgebeurtenissen)		 Uitsplitsing van dagelijkse samenvatting van Cscript-script (genormaliseerde procesgebeurtenissen)
Opsomming van gebruikers en groepen (genormaliseerde procesgebeurtenissen)
Exchange PowerShell-module toegevoegd (genormaliseerde procesgebeurtenissen)
Host die postvak exporteert en export verwijderen (genormaliseerde procesgebeurtenissen)
Invoke-PowerShellTcpOneLine-gebruik (genormaliseerde procesgebeurtenissen)
Nishang Reverse TCP Shell in Base64 (genormaliseerde procesgebeurtenissen)
Overzicht van gebruikers die zijn gemaakt met ongebruikelijke/niet-gedocumenteerde opdrachtregelopties (genormaliseerde procesgebeurtenissen)
Powercat Download (genormaliseerde procesgebeurtenissen)
PowerShell-downloads (genormaliseerde procesgebeurtenissen)
Entropie voor processen voor een bepaalde host (genormaliseerde procesgebeurtenissen)
SolarWinds Inventory (genormaliseerde procesgebeurtenissen)
Verdachte opsomming met behulp van het hulpprogramma Adfind (genormaliseerde procesgebeurtenissen)
Windows-systeem afsluiten/opnieuw opstarten (genormaliseerde procesgebeurtenissen)
Certutil (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
Rundll32 (LOLBins en LOLScripts, genormaliseerde procesgebeurtenissen)
Ongebruikelijke processen - laagste 5% (genormaliseerde procesgebeurtenissen)
Unicode-verdoezeling in opdrachtregel

Inhoud van websessiebeveiliging

De volgende ingebouwde websessiegerelateerde inhoud wordt ondersteund voor ASIM-normalisatie.

Oplossingen Analyseregels
Log4j-detectie van beveiligingsproblemen
Bedreigingsinformatie		 TI:domeinentiteit toewijzen aan websessiegebeurtenissen (ASIM-websessieschema)
TI wijst IP-entiteit toe aan websessiegebeurtenissen (ASIM-websessieschema)
Potentiële communicatie met een op domain generation algorithm (DGA) gebaseerde hostnaam (ASIM Network Session schema)
Een client heeft een webaanvraag ingediend bij een mogelijk schadelijk bestand (ASIM Web Session-schema)
Een host voert mogelijk een cryptominer uit (ASIM Web Session-schema)
Een host voert mogelijk een hackprogramma uit (ASIM Web Session-schema)
Een host voert mogelijk PowerShell uit om HTTP(S)-aanvragen te verzenden (ASIM-websessieschema)
Discrd CDN Riskant bestand downloaden (ASIM-websessieschema)
Overmatig aantal HTTP-verificatiefouten van een bron (ASIM-websessieschema)
Gebruikersagent zoeken naar Log4j-exploitatiepoging

Volgende stappen

Zie voor meer informatie:

  • Last updated on