Zawartość zabezpieczeń zaawansowanego modelu informacji o zabezpieczeniach (ASIM)

Znormalizowana zawartość zabezpieczeń w Microsoft Sentinel obejmuje reguły analizy, zapytania wyszukiwania zagrożeń i skoroszyty, które współpracują z analizatorami normalizacji ujednolicenia.

Znormalizowana, wbudowana zawartość można znaleźć w Microsoft Sentinel galeriach i rozwiązaniach, utworzyć własną znormalizowana zawartość lub zmodyfikować istniejącą zawartość w celu użycia znormalizowanych danych.

W tym artykule wymieniono wbudowaną zawartość Microsoft Sentinel, która została skonfigurowana do obsługi zaawansowanego modelu informacji o zabezpieczeniach (ASIM). Linki do repozytorium GitHub Microsoft Sentinel są udostępniane jako odwołanie, ale te reguły można również znaleźć w galerii reguł usługi Microsoft Sentinel Analytics. Użyj połączonych stron usługi GitHub, aby skopiować odpowiednie zapytania wyszukiwania zagrożeń.

Aby zrozumieć, jak znormalizowana zawartość mieści się w architekturze ASIM, zapoznaj się z diagramem architektury ASIM.

Porada

Obejrzyj również seminarium internetowe zgłębione na Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizowanie analizatorów i znormalizowana zawartość) lub przejrzyj slajdy. Aby uzyskać więcej informacji, zobacz Następne kroki.

Zawartość zabezpieczeń uwierzytelniania

Poniższa wbudowana zawartość uwierzytelniania jest obsługiwana w przypadku normalizacji ASIM.

Reguły analizy

• Potencjalny atak na spray haseł (używa normalizacji uwierzytelniania)
• Atak siłowy na poświadczenia użytkownika (używa normalizacji uwierzytelniania)
• Logowanie użytkownika z różnych krajów/regionów w ciągu 3 godzin (używa normalizacji uwierzytelniania)
• Logowania z adresów IP, które próbują zalogować się do wyłączonych kont (używa normalizacji uwierzytelniania)

Zawartość zabezpieczeń działania pliku

Poniższa wbudowana zawartość działania pliku jest obsługiwana w przypadku normalizacji ASIM.

• Starsza wersja wykrywania zagrożeń na podstawie mkol

Reguły analizy

• Skróty tylnych drzwi SUNBURST i SUPERNOVA (znormalizowane zdarzenia plików)

Zawartość zabezpieczeń działania rejestru

Poniższa wbudowana zawartość działania rejestru jest obsługiwana w przypadku normalizacji ASIM.

Reguły analizy

• Potencjalne obejście funkcji kontroli dostępu użytkownika aplikacji Fodhelper (wersja ASIM)

Zapytania dotyczące wyszukiwania zagrożeń

• Utrwalanie za pośrednictwem klucza rejestru IFEO

Zawartość zabezpieczeń zapytań DNS

Poniższa wbudowana zawartość zapytania DNS jest obsługiwana w przypadku normalizacji ASIM.

Rozwiązania

Reguły analizy

Podstawowe informacje o systemie DNS Log4j — wykrywanie luk w zabezpieczeniach Starsza wersja wykrywania zagrożeń na podstawie mkol

TI mapowanie jednostki domeny na zdarzenia DNS (schemat DNS ASIM) TI mapowanie jednostki IP na zdarzenia DNS (schemat DNS ASIM) Wykryto potencjalną DGA (ASimDNS) Nadmierne zapytania DNS NXDOMAIN (schemat DNS ASIM) Zdarzenia DNS związane z pulami wyszukiwania (schemat DNS ASIM) Zdarzenia DNS związane z serwerami proxy usługi ToR (schemat DNS ASIM) Znane domeny grupy Forest Blizzard — lipiec 2019 r.

Zawartość zabezpieczeń sesji sieciowej

Poniższa wbudowana zawartość związana z sesją sieciową jest obsługiwana w przypadku normalizacji usługi ASIM.

Rozwiązania	Reguły analizy	Zapytania dotyczące wyszukiwania zagrożeń
Podstawowe informacje o sesji sieciowej Log4j — wykrywanie luk w zabezpieczeniach Starsza wersja wykrywania zagrożeń na podstawie mkol	Luki w zabezpieczeniach log4j exploit aka Log4Shell IP IOC Nadmierna liczba nieudanych połączeń z jednego źródła (schemat sesji sieciowej ASIM) Potencjalne działanie sygnalizacyjne (schemat sesji sieciowej ASIM) TI mapowanie jednostki IP na zdarzenia sesji sieciowej (schemat sesji sieciowej ASIM) Wykryto skanowanie portów (schemat sesji sieciowej ASIM) Znane domeny grupy Forest Blizzard — lipiec 2019 r.	Połączenie z zewnętrznego adresu IP do portów związanych z OMI

Zawartość zabezpieczeń działania przetwarzania

Poniższa wbudowana zawartość działania procesu jest obsługiwana w przypadku normalizacji ASIM.

Rozwiązania	Reguły analizy	Zapytania dotyczące wyszukiwania zagrożeń
Podstawowe informacje o usłudze Endpoint Threat Protection Starsza wersja wykrywania zagrożeń na podstawie mkol	Prawdopodobne użycie narzędzia AdFind Recon Tool (znormalizowane zdarzenia procesu) Wiersze poleceń procesu systemu Windows zakodowane w formacie Base64 (znormalizowane zdarzenia procesu) Złośliwe oprogramowanie w koszu (znormalizowane zdarzenia procesu) Midnight Blizzard — podejrzane rundll32.exe wykonywanie skryptu vbscript (znormalizowane zdarzenia procesu) SunBURST podejrzane procesy podrzędne systemu SolarWinds (znormalizowane zdarzenia procesu)	Dzienny podział podsumowania skryptu Cscript (znormalizowane zdarzenia procesu) Wyliczenie użytkowników i grup (znormalizowane zdarzenia procesu) Dodano przystawkę programu Exchange PowerShell (znormalizowane zdarzenia procesu) Eksportowanie skrzynki pocztowej i usuwanie eksportu hosta (znormalizowane zdarzenia procesu) Invoke-PowerShellTcpOneLine Usage (znormalizowane zdarzenia procesu) Nishang Reverse TCP Shell in Base64 (Zdarzenia procesu znormalizowanego) Podsumowanie użytkowników utworzonych przy użyciu nietypowych/nieudokumentowanych przełączników wiersza polecenia (znormalizowanych zdarzeń procesu) Pobieranie powercat (znormalizowane zdarzenia procesu) Pliki do pobrania programu PowerShell (znormalizowane zdarzenia procesu) Entropia procesów dla danego hosta (znormalizowane zdarzenia procesu) Spis systemu SolarWinds (zdarzenia znormalizowanego procesu) Podejrzane wyliczenie przy użyciu narzędzia Adfind (znormalizowane zdarzenia procesu) Zamykanie/ponowne uruchamianie systemu Windows (znormalizowane zdarzenia procesu) Certutil (LOLBins i LOLScripts, znormalizowane zdarzenia procesu) Rundll32 (LOLBins i LOLScripts, znormalizowane zdarzenia procesu) Nietypowe procesy — dolne 5% (znormalizowane zdarzenia procesu) Zaciemnianie unicode w wierszu polecenia

Zawartość zabezpieczeń sesji sieci Web

Poniższa wbudowana zawartość związana z sesją internetową jest obsługiwana w przypadku normalizacji ASIM.

Rozwiązania

Reguły analizy

Log4j — wykrywanie luk w zabezpieczeniach Analiza zagrożeń

TI mapowanie jednostki domeny na zdarzenia sesji sieci Web (schemat sesji internetowej ASIM) TI mapowanie jednostki IP na zdarzenia sesji sieci Web (schemat sesji sieci Web ASIM) Potencjalna komunikacja z nazwą hosta opartą na algorytmie generowania domeny (DGA) (schemat sesji sieciowej ASIM) Klient złożył żądanie internetowe do potencjalnie szkodliwego pliku (schemat sesji sieci Web ASIM) Host może uruchamiać górnika kryptografii (schemat sesji sieci Web ASIM) Host potencjalnie uruchamia narzędzie hakerskie (schemat sesji sieci Web ASIM) Host może uruchamiać program PowerShell w celu wysyłania żądań HTTP(S) (schemat sesji sieci Web ASIM) Discord CDN Risky File Download (Schemat sesji sieci Web ASIM) Nadmierna liczba błędów uwierzytelniania HTTP ze źródła (schemat sesji sieci Web usługi ASIM) Wyszukiwanie agenta użytkownika dla próby wykorzystania usługi Log4j

Następne kroki

Więcej informacji można znaleźć w następujących artykułach:

• Obejrzyj seminarium internetowe deep dive na Microsoft Sentinel Normalizowanie analizatorów i znormalizowana zawartość lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Modyfikowanie zawartości Microsoft Sentinel w celu używania analizatorów ASIM (Advanced Security Information Model)