Zawartość zabezpieczeń usługi Advanced Security Information Model (ASIM) (publiczna wersja zapoznawcza)

Znormalizowana zawartość zabezpieczeń w usłudze Microsoft Sentinel obejmuje reguły analizy, zapytania wyszukiwania zagrożeń i skoroszyty, które współpracują z ujednoliceniem analizatorów normalizacji.

Można znaleźć znormalizowaną, wbudowaną zawartość w galeriach i rozwiązaniach usługi Microsoft Sentinel, utworzyć własną znormalizowaną zawartość lub zmodyfikować istniejącą zawartość, aby używać znormalizowanych danych.

W tym artykule wymieniono wbudowaną zawartość usługi Microsoft Sentinel skonfigurowaną do obsługi zaawansowanego modelu informacji o zabezpieczeniach (ASIM). Linki do repozytorium GitHub usługi Microsoft Sentinel są udostępniane jako odwołanie, ale te reguły można również znaleźć w galerii reguł usługi Microsoft Sentinel Analytics. Użyj połączonych stron usługi GitHub, aby skopiować wszystkie odpowiednie zapytania wyszukiwania zagrożeń.

Aby zrozumieć, jak znormalizowana zawartość pasuje do architektury ASIM, zapoznaj się z diagramem architektury ASIM.

Napiwek

Obejrzyj również seminarium internetowe deep dive na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy. Aby uzyskać więcej informacji, zobacz Następne kroki.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Zawartość zabezpieczeń uwierzytelniania

Następująca wbudowana zawartość uwierzytelniania jest obsługiwana w przypadku normalizacji karty ASIM.

Reguły analizy

• Potencjalny atak sprayu haseł (używa normalizacji uwierzytelniania)
• Atak siłowy na poświadczenia użytkownika (używa normalizacji uwierzytelniania)
• Logowanie użytkownika z różnych krajów/regionów w ciągu 3 godzin (używa normalizacji uwierzytelniania)
• Logowania z adresów IP, które próbują zalogować się do wyłączonych kont (używa normalizacji uwierzytelniania)

Zawartość zabezpieczeń działania pliku

Następująca wbudowana zawartość działania pliku jest obsługiwana w przypadku normalizacji karty ASIM.

• Starsze wykrywanie zagrożeń opartych na IOC

Reguły analizy

• Skróty backdoor SUNBURST i SUPERNOVA (znormalizowane zdarzenia plików)

Zawartość zabezpieczeń działań rejestru

Następująca wbudowana zawartość działania rejestru jest obsługiwana w przypadku normalizacji karty ASIM.

Reguły analizy

• Potencjalne obejście kontroli dostępu użytkownika fodhelper (wersja ASIM)

Zapytania dotyczące wyszukiwania zagrożeń

• Utrwalanie za pomocą klucza rejestru IFEO

Zawartość zabezpieczeń zapytań DNS

Następująca wbudowana zawartość zapytania DNS jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

Reguły analizy

Podstawy systemu DNS Wykrywanie luk w zabezpieczeniach log4j Starsze wykrywanie zagrożeń opartych na IOC

(Wersja zapoznawcza) Ti mapuj jednostkę domeny na zdarzenia DNS (schemat DNS ASIM) (Wersja zapoznawcza) Ti mapuj jednostkę IP na zdarzenia DNS (schemat DNS ASIM) Wykryto potencjalne dga (ASimDNS) Nadmierne zapytania DNS NXDOMAIN (schemat DNS ASIM) Zdarzenia DNS związane z pulami wyszukiwania (schemat DNS ASIM) Zdarzenia DNS związane z serwerami proxy toR (schemat DNS ASIM) Znane domeny grupy Forest Blizzard — lipiec 2019 r.

Zawartość zabezpieczeń sesji sieciowej

Następująca wbudowana zawartość związana z sesją sieciową jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania	Reguły analizy	Zapytania dotyczące wyszukiwania zagrożeń
Podstawy sesji sieciowej Wykrywanie luk w zabezpieczeniach log4j Starsze wykrywanie zagrożeń opartych na IOC	Luka w zabezpieczeniach log4j wykorzystująca lukę w zabezpieczeniach typu Log4Shell ip IOC Nadmierna liczba nieudanych połączeń z jednego źródła (schemat sesji sieciowej ASIM) Potencjalne działanie sygnału nawigacyjnego (schemat sesji sieciowej ASIM) (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia sesji sieciowej (schemat sesji sieciowej ASIM) Wykryto skanowanie portów (schemat sesji sieciowej ASIM) Znane domeny grupy Forest Blizzard — lipiec 2019 r.	Połączenie z zewnętrznego adresu IP do portów powiązanych z usługą OMI

Zawartość zabezpieczeń działań procesów

Następująca wbudowana zawartość działania procesu jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania	Reguły analizy	Zapytania dotyczące wyszukiwania zagrożeń
Podstawy programu Endpoint Threat Protection Starsze wykrywanie zagrożeń opartych na IOC	Prawdopodobne użycie narzędzia Recon AdFind (znormalizowane zdarzenia procesu) Wiersze poleceń procesu systemu Windows zakodowane w formacie Base64 (znormalizowane zdarzenia procesu) Złośliwe oprogramowanie w koszu (znormalizowane zdarzenia procesu) Midnight Blizzard — podejrzane rundll32.exe wykonywanie skryptu vbscript (Znormalizowane zdarzenia procesów) SUNBURST podejrzanych procesów podrzędnych SolarWinds (znormalizowane zdarzenia procesów)	Podział dziennego podsumowania skryptu cscript (znormalizowane zdarzenia procesów) Wyliczanie użytkowników i grup (znormalizowane zdarzenia procesu) Dodano przystawkę programu Exchange PowerShell (znormalizowane zdarzenia procesu) Eksportowanie skrzynki pocztowej hosta i usuwanie eksportu (znormalizowane zdarzenia procesu) Invoke-PowerShellTcpOneLine Usage (Znormalizowane zdarzenia procesu) Odwrotna powłoka TCP Nishang w base64 (znormalizowane zdarzenia procesu) Podsumowanie użytkowników utworzonych przy użyciu nietypowych/nieudokumentowanych przełączników wiersza polecenia (znormalizowane zdarzenia procesu) Pobieranie usługi Powercat (znormalizowane zdarzenia procesu) Pobieranie programu PowerShell (znormalizowane zdarzenia procesów) Entropia procesów dla danego hosta (znormalizowane zdarzenia procesu) Zapasy SolarWinds (znormalizowane zdarzenia procesów) Podejrzane wyliczenie przy użyciu narzędzia Adfind (znormalizowane zdarzenia procesu) Zamykanie/ponowne uruchamianie systemu Windows (znormalizowane zdarzenia procesu) Certutil (LOLBins i LOLScripts, znormalizowane zdarzenia procesów) Rundll32 (LOLBins i LOLScripts, Znormalizowane zdarzenia procesów) Nietypowe procesy — dolne 5% (znormalizowane zdarzenia procesów) Zaciemnianie Unicode w wierszu polecenia

Zawartość zabezpieczeń sesji sieci Web

Następująca wbudowana zawartość związana z sesją internetową jest obsługiwana w przypadku normalizacji karty ASIM.

Rozwiązania

Reguły analizy

Wykrywanie luk w zabezpieczeniach log4j Analiza zagrożeń

(Wersja zapoznawcza) Ti mapuje jednostkę domeny na zdarzenia sesji sieci Web (schemat sesji sieci Web ASIM) (Wersja zapoznawcza) Ti mapuje jednostkę IP na zdarzenia sesji internetowej (schemat sesji internetowej ASIM) Potencjalna komunikacja z nazwą hosta opartą na algorytmie generowania domeny (schemat sesji sieciowej ASIM) Klient złożył żądanie internetowe do potencjalnie szkodliwego pliku (schemat sesji internetowej ASIM) Host potencjalnie uruchamia górnik kryptograficzny (schemat sesji internetowej ASIM) Host potencjalnie uruchamia narzędzie hakerskie (schemat sesji internetowej ASIM) Host potencjalnie uruchamia program PowerShell do wysyłania żądań HTTP(S) (schemat sesji internetowej ASIM) Niezgoda pobieranie ryzykownych plików CDN (schemat sesji internetowej ASIM) Nadmierna liczba niepowodzeń uwierzytelniania HTTP ze źródła (schemat sesji internetowej ASIM) Wyszukiwanie agenta użytkownika w poszukiwaniu próby wykorzystania log4j

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Modyfikowanie zawartości usługi Microsoft Sentinel w celu używania analizatorów advanced Security Information Model (ASIM)