Conteúdo de segurança do ASIM (Modelo de Informações de Segurança Avançado) (versão prévia pública)

O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras analíticas, consultas de busca e pastas de trabalho que funcionam com analisadores de normalização unificados.

Você pode encontrar conteúdo interno normalizado em galerias e do Microsoft Sentinel, criar seu conteúdo normalizado ou modificar o conteúdo existente para usar dados normalizados.

Este artigo lista o conteúdo do Microsoft Sentinel integrado que foi configurado para dar suporte ao ASIM (Modelo de Informações de Segurança Avançado). Embora os links para o repositório do Microsoft Sentinel no GitHub sejam fornecidos abaixo como uma referência, você também pode encontrar essas regras na galeria de regras de Análise do Microsoft Sentinel. Use as páginas GitHub vinculadas para copiar todas as consultas de busca relevantes.

Para entender como o conteúdo normalizado se ajusta à arquitetura do ASIM, veja o Diagrama de arquitetura do ASIM.

Dica

Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides. Para saber mais, confira as Próximas etapas.

Importante

O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Conteúdo de segurança de autenticação

O conteúdo de autenticação interno a seguir tem suporte para normalização do ASIM.

Regras de análise

• Ataque potencial de pulverização de senha (usa a normalização de autenticação)
• Ataque de força bruta contra credenciais do usuário (usa a normalização de autenticação)
• Entrada de usuário de diferentes países/regiões no intervalo de 3 horas (usa a normalização de autenticação)
• Entradas de IPs que tentam entrar em contas desabilitadas (usa a normalização de autenticação)

Conteúdo de segurança de consulta DNS

O conteúdo de consulta DNS interno a seguir tem suporte para normalização do ASIM.

Soluções

• Conceitos básicos sobre DNS
• Detecção de Vulnerabilidades de Log4j
• Detecção de Ameaças Baseada em IOC Herdada

Regras de análise

• (Versão prévia) Entidade de domínio do mapa de TI para Eventos DNS (Esquema DNS do ASIM)
• (Versão prévia) Entidade do mapa de TI para Eventos DNS (Esquema DNS do ASIM)
• Possível DGA detectada (ASimDNS)
• Consultas DNS NXDOMAIN excessivas (esquema DNS do ASIM)
• Eventos DNS relacionados a pools de mineração (esquema DNS do ASIM)
• Eventos DNS relacionados a proxies ToR (esquema DNS do ASIM)
• Domínios Barium conhecidos
• Endereços IP Barium conhecidos
• Vulnerabilidades do servidor Exchange divulgadas em março de 2021 – Corresponder ao IoC
• Domínios e hashes conhecidos do Granite Typhoon
• IP do Seashell Blizzard conhecido
• Midnight Blizzard – IOCs de Domínio e IP – março de 2021
• Domínios/IP do grupo Phosphorus conhecidos
• Domínios conhecidos do grupo Forest Blizzard – julho de 2019
• Beacon de rede Solorigate
• Domínios Emerald Sleet incluídos na remoção do DCU
• Comebacker Diamond Sleet conhecido e hashes de malware do Klackring
• Domínios e hashes conhecidos do Ruby Sleet
• Domínios e hashes NICKEL conhecidos
• Midnight Blizzard – IOCs de Domínio, Hash e IP – maio de 2021
• Beacon de rede Solorigate

Conteúdo de segurança da atividade de arquivo

O conteúdo de atividade de arquivo interno a seguir tem suporte para normalização do ASIM.

• Detecção de Ameaças Baseada em IOC Herdada

Regras de análise

• Hashes de backdoor SUNBURST e SUPERNOVA (eventos de arquivo normalizados)
• Vulnerabilidades do servidor Exchange divulgadas em março de 2021 – Corresponder ao IoC
• Serviço de Silk Typhoon UM gravando arquivo suspeito
• Midnight Blizzard – IOCs de Domínio, Hash e IP – maio de 2021
• Criação de arquivo de log do SUNSPOT
• Comebacker Diamond Sleet conhecido e hashes de malware do Klackring
• IOC do Ator Cadet Blizzard – janeiro de 2022
• IOCs do Midnight Blizzard relacionados ao backdoor do FoggyWeb

Conteúdo de segurança da sessão de rede

O conteúdo relacionado à sessão de rede interna a seguir tem suporte para normalização do ASIM.

Soluções

• Network Session Essentials
• Detecção de Vulnerabilidades de Log4j
• Detecção de Ameaças Baseada em IOC Herdada

Regras de análise

• Exploração de vulnerabilidade do Log4j também conhecida como IOC de IP do Log4Shell
• Número excessivo de conexões com falha de uma única fonte (esquema de Sessão de Rede ASIM)
• Atividade de sinalizador potencial (esquema de sessão de rede ASIM)
• (Versão prévia) Entidade de IP do mapa de TI para eventos de sessão de rede (esquema de sessão de rede do ASIM)
• Verificação de porta detectada (esquema de sessão de rede do ASIM)
• Endereços IP Barium conhecidos
• Vulnerabilidades do servidor Exchange divulgadas em março de 2021 – Corresponder ao IoC
• [IP conhecido do Seashell Blizzard(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard – IOCs de Domínio, Hash e IP – maio de 2021
• Domínios conhecidos do grupo Forest Blizzard – julho de 2019

Consultas de busca

• Conexão de IP externo para portas relacionadas ao OMI

Conteúdo de segurança da atividade de processo

O conteúdo de atividade de processo interno a seguir tem suporte para normalização do ASIM.

Soluções

• Conceitos Básicos da Proteção contra Ameaças de Ponto de Extremidade
• Detecção de Ameaças Baseada em IOC Herdada

Regras de análise

• Uso da ferramenta de reconhecimento provável AdFind (eventos de processo normalizados)
• Linhas de comando de processo do Windows codificado em Base64 (eventos de processo normalizados)
• Malware na lixeira (eventos de processo normalizados)
• Midnight Blizzard – Execução suspeita de rundll32.exe do vbscript (eventos de processo normalizados)
• SUNBURST – Processos filhos suspeitos de SolarWinds (eventos de processo normalizados)

Consultas de busca

• Detalhamento do resumo diário do script Cscript (eventos de processo normalizados)
• Enumeração de usuários e grupos (eventos de processo normalizados)
• Snap-in do Exchange PowerShell adicionado (eventos de processo normalizados)
• Host exportando caixa de correio e removendo exportação (eventos de processo normalizados)
• Uso de Invoke-PowerShellTcpOneLine (eventos de processo normalizados)
• Shell de TCP reverso Nishang em Base64 (eventos de processo normalizados)
• Resumo de usuários criados usando comutadores de linha de comando não comuns/não documentados (eventos de processo normalizados)
• Download do Powercat (eventos de processo normalizados)
• Downloads do PowerShell (eventos de processo normalizados)
• Entropia para processos de um determinado host (eventos de processo normalizados)
• Inventário de SolarWinds (eventos de processo normalizados)
• Enumeração suspeita usando a ferramenta Adfind (eventos de processo normalizados)
• Desligamento/reinicialização do sistema Windows (eventos de processo normalizados)
• Certutil (LOLBins e LOLScripts, eventos de processo normalizados)
• Rundll32 (LOLBins e LOLScripts, eventos de processo normalizados)
• Processos incomuns – últimos 5% (eventos de processo normalizados)
• Ofuscação Unicode na linha de comando

Conteúdo de segurança da atividade de registro

O conteúdo de atividade de registro interno a seguir tem suporte para normalização do ASIM.

Regras de análise

• Possível bypass do UAC Fodhelper (versão ASIM)

Consultas de busca

• Persistindo por meio da chave do registro IFEO

Conteúdo de segurança da sessão da Web

O conteúdo relacionado à sessão da Web interna a seguir tem suporte para normalização do ASIM.

Soluções

• Detecção de Vulnerabilidades de Log4j
• Inteligência contra ameaças

Regras de análise

• (Versão prévia) Entidade de domínio do mapa de TI para eventos de sessão da Web (esquema de sessão da Web do ASIM)
• (Versão prévia) Entidade de domínio do mapa de TI para eventos de sessão da Web (esquema de sessão da Web do ASIM)
• Comunicação potencial com um nome de host baseado em DGA (Algoritmo de Geração de Domínio) (esquema de Sessão de Rede ASIM)
• Um cliente fez uma solicitação da Web para um arquivo potencialmente prejudicial (esquema de Sessão da Web do ASIM)
• Um host está potencialmente executando um Miner de criptografia (esquema de sessão da Web do ASIM)
• Um host está potencialmente executando um ferramenta de hacking (esquema de sessão da Web do ASIM)
• Um host está potencialmente executando o PowerShell para enviar as solicitações HTTP(S) (ASIM Web Session Schema)
• Conflito de Download de arquivo arriscado CDN (esquema de sessão da Web do ASIM)
• Número excessivo de falhas de autenticação HTTP de uma origem (esquema de sessão da Web do ASIM)
• Domínios Barium conhecidos
• Endereços IP Barium conhecidos
• Domínios e hashes conhecidos do Ruby Sleet
• IP do Seashell Blizzard conhecido
• Domínios e hashes NICKEL conhecidos
• Midnight Blizzard – IOCs de Domínio e IP – março de 2021
• Midnight Blizzard – IOCs de Domínio, Hash e IP – maio de 2021
• Domínios/IP do grupo Phosphorus conhecidos
• Pesquisa de agente de usuário para tentativa de exploração log4j

Próximas etapas

Este artigo aborda o conteúdo do ASIM (Modelo de Informações de Segurança Avançado).

Para obter mais informações, consulte:

• Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
• Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
• Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
• Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
• Usando o ASIM (Modelo de Informações de Segurança Avançado)
• Modificando o conteúdo do Microsoft Sentinel para usar os analisadores do ASIM (Modelo de Informações de Segurança Avançado)