Conteúdo de segurança do Modelo de Informação de Segurança Avançada (ASIM)

O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras de análise, consultas de investigação e livros que funcionam com analisadores de normalização unificadores.

Pode encontrar conteúdo normalizado e incorporado em Microsoft Sentinel galerias e soluções, criar o seu próprio conteúdo normalizado ou modificar conteúdo existente para utilizar dados normalizados.

Este artigo lista os conteúdos incorporados Microsoft Sentinel que foram configurados para suportar o Modelo de Informações de Segurança Avançada (ASIM). Embora as ligações para o Microsoft Sentinel repositório do GitHub sejam fornecidas como referência, também pode encontrar estas regras na galeria de regras do Microsoft Sentinel Analytics. Utilize as páginas do GitHub ligadas para copiar quaisquer consultas de investigação relevantes.

Para compreender como os conteúdos normalizados se enquadram na arquitetura ASIM, veja o diagrama de arquitetura ASIM.

Dica

Veja também o Webinar Deep Dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos. Para obter mais informações, veja Passos seguintes.

Conteúdo de segurança de autenticação

O seguinte conteúdo de autenticação incorporado é suportado para normalização do ASIM.

Regras de análise

• Potencial ataque com spray de palavra-passe (utiliza a normalização da autenticação)
• Ataque de força bruta contra credenciais de utilizador (utiliza a Normalização de Autenticação)
• Início de sessão do utilizador de diferentes países/regiões no prazo de 3 horas (Utiliza a Normalização de Autenticação)
• Inícios de sessão de IPs que tentam iniciar sessão em contas desativadas (Utiliza a Normalização de Autenticação)

Conteúdo de segurança da Atividade de Ficheiros

O seguinte conteúdo de atividade de ficheiro incorporado é suportado para normalização do ASIM.

• Deteção de Ameaças Baseadas no COI Legado

Regras de Análise

• Hashes SUNBURST e SUPERNOVA (Eventos de Ficheiro Normalizados)

Conteúdo de segurança da atividade de registo

O seguinte conteúdo de atividade de registo incorporado é suportado para normalização do ASIM.

Regras de análise

• Potencial Desvio do UAC de Fodhelper (Versão do ASIM)

Consultas de investigação

• Persistir através da Chave de Registo IFEO

Conteúdo de segurança da consulta DNS

O seguinte conteúdo de consulta DNS incorporado é suportado para normalização do ASIM.

Soluções

Regras de análise

DNS Essentials Deteção de Vulnerabilidades log4j Deteção de Ameaças Baseadas no COI Legado

Entidade de domínio de mapa TI para Eventos DNS (Esquema DNS ASIM) Entidade IP de mapa TI para Eventos DNS (Esquema DNS ASIM) Potencial DGA detetada (ASimDNS) Consultas DNS NXDOMAIN Excessivas (Esquema DNS ASIM) Eventos DNS relacionados com conjuntos mineiros (Esquema DNS ASIM) Eventos DNS relacionados com proxies ToR (Esquema DNS ASIM) Domínios conhecidos do grupo Blizzard florestal - julho de 2019

Conteúdo de segurança da sessão de rede

O seguinte conteúdo relacionado com a sessão de rede incorporada é suportado para normalização do ASIM.

Soluções	Regras de análise	Consultas de investigação
Informações Básicas da Sessão de Rede Deteção de Vulnerabilidades log4j Deteção de Ameaças Baseadas no COI Legado	Log4j vulnerability exploit aka Log4Shell IP IOC Número excessivo de ligações falhadas de uma única origem (esquema de Sessão de Rede ASIM) Atividade de beaconing potencial (esquema de Sessão de Rede ASIM) Ti mapeie a entidade IP para Eventos de Sessão de Rede (esquema de Sessão de Rede ASIM) Análise de porta detetada (esquema de Sessão de Rede do ASIM) Domínios conhecidos do grupo Blizzard florestal - julho de 2019	Ligação do IP externo às Portas relacionadas com o OMI

Processar conteúdo de segurança de atividade

O seguinte conteúdo de atividade de processo incorporado é suportado para normalização do ASIM.

Soluções	Regras de análise	Consultas de investigação
Endpoint Threat Protection Essentials Deteção de Ameaças Baseadas no COI Legado	Provável Utilização da Ferramenta de Reconhecimento AdFind (Eventos de Processo Normalizado) Linhas de comandos do processo do Windows codificadas em Base64 (Eventos de Processo Normalizados) Software maligno na reciclagem (Eventos de Processo Normalizado) Midnight Blizzard - execução suspeita rundll32.exe de vbscript (Eventos de Processo Normalizado) SunBURST suspeito SolarWinds child processes (Normalized Process Events)	Discriminação do resumo diário do script Cscript (Eventos de Processo Normalizado) Enumeração de utilizadores e grupos (Eventos de Processo Normalizado) Snapin do Exchange PowerShell Adicionado (Eventos de Processo Normalizado) Anfitrião a Exportar Caixa de Correio e a Remover Exportação (Eventos de Processo Normalizado) Invoke-PowerShellTcpOneLine Usage (Normalized Process Events) Shell de TCP Inverso nishang em Base64 (Eventos de Processo Normalizado) Resumo dos utilizadores criados com parâmetros de linha de comandos invulgares/não documentados (Eventos de Processo Normalizado) Transferência do Powercat (Eventos de Processo Normalizado) Transferências do PowerShell (Eventos de Processo Normalizado) Entropia para Processos para um determinado Anfitrião (Eventos de Processo Normalizado) Inventário SolarWinds (Eventos de Processo Normalizado) Enumeração suspeita com a ferramenta Adfind (Eventos de Processo Normalizado) Encerramento/Reinício do Sistema Windows (Eventos de Processo Normalizado) Certutil (LOLBins e LOLScripts, Eventos de Processo Normalizado) Rundll32 (LOLBins e LOLScripts, Eventos de Processo Normalizado) Processos incomuns – 5% inferior (Eventos de Processo Normalizado) Unicode Obfuscation na Linha de Comandos

Conteúdo de segurança da sessão Web

O seguinte conteúdo relacionado com a sessão Web incorporada é suportado para normalização do ASIM.

Soluções

Regras de análise

Deteção de Vulnerabilidades log4j Inteligência contra ameaças

Ti mapeia entidade de Domínio para Eventos de Sessão Web (esquema de Sessão Web ASIM) Ti mapeie a entidade IP para Eventos de Sessão Web (esquema de Sessão Web ASIM) Potencial comunicação com um nome de anfitrião baseado em Algoritmo de Geração de Domínio (DGA) (esquema de Sessão de Rede ASIM) Um cliente fez um pedido Web para um ficheiro potencialmente prejudicial (esquema de Sessão Web ASIM) Um anfitrião está potencialmente a executar um mineiro criptograficamente (esquema de Sessão Web ASIM) Um anfitrião está potencialmente a executar uma ferramenta de hacking (esquema de Sessão Web ASIM) Um anfitrião está potencialmente a executar o PowerShell para enviar pedidos HTTP(S) (esquema de Sessão Web ASIM) Transferência de Ficheiros de Risco da CDN do Discord (Esquema de Sessão Web ASIM) Número excessivo de falhas de autenticação HTTP de uma origem (esquema de Sessão Web ASIM) Pesquisa de agente de utilizador para tentativa de exploração log4j

Próximas etapas

Para saber mais, confira:

• Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
• Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
• Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
• Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
• Utilizar o Modelo de Informações de Segurança Avançada (ASIM)
• Modificar Microsoft Sentinel conteúdo para utilizar os analisadores do Modelo de Informação de Segurança Avançada (ASIM)