Conteúdo de segurança do Modelo de Informação de Segurança Avançada (ASIM) (Pré-visualização pública)

Os conteúdos de segurança normalizados no Microsoft Sentinel incluem regras de análise, consultas de investigação e livros que funcionam com analisadores de normalização unificadores.

Pode encontrar conteúdos incorporados normalizados em galerias e soluções do Microsoft Sentinel, criar o seu próprio conteúdo normalizado ou modificar conteúdo existente para utilizar dados normalizados.

Este artigo lista os conteúdos incorporados do Microsoft Sentinel que foram configurados para suportar o Modelo de Informações de Segurança Avançadas (ASIM). Embora as ligações para o repositório do GitHub do Microsoft Sentinel sejam fornecidas abaixo como referência, também pode encontrar estas regras na galeria de regras de Análise do Microsoft Sentinel. Utilize as páginas do GitHub ligadas para copiar quaisquer consultas de investigação relevantes.

Para compreender como o conteúdo normalizado se encaixa na arquitetura ASIM, veja o diagrama de arquitetura ASIM.

Dica

Além disso, watch o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Analisadores e Conteúdo Normalizado) ou reveja os diapositivos. Para obter mais informações, veja Passos seguintes.

Importante

O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Conteúdo de segurança de autenticação

O seguinte conteúdo de autenticação incorporado é suportado para normalização do ASIM.

Regras de análise

• Potencial Ataque com Spray de Palavra-passe (Utiliza Normalização de Autenticação)
• Ataque de força bruta contra credenciais de utilizador (utiliza a Normalização de Autenticação)
• Início de sessão do utilizador de diferentes países dentro de 3 horas (Utiliza Normalização de Autenticação)
• Inícios de sessão de IPs que tentam iniciar sessão em contas desativadas (Utiliza a Normalização de Autenticação)

Conteúdo de segurança da consulta DNS

O seguinte conteúdo de consulta DNS incorporado é suportado para normalização do ASIM.

Soluções

• DNS Essentials
• Deteção de Vulnerabilidades do Log4j
• Deteção de Ameaças Baseada no COI Legada

Regras de análise

• (Pré-visualização) Ti mapeia entidade de Domínio para Eventos DNS (Esquema DNS ASIM)
• (Pré-visualização) Entidade IP de mapa TI para Eventos DNS (Esquema DNS ASIM)
• Potencial DGA detetada (ASimDNS)
• Consultas DNS NXDOMAIN Excessivas (Esquema DNS ASIM)
• Eventos DNS relacionados com conjuntos de mineração (Esquema DNS ASIM)
• Eventos DNS relacionados com proxies ToR (Esquema DNS ASIM)
• Domínios conhecidos do Barium
• Endereços IP do Barium Conhecidos
• Exchange Server Vulnerabilidades Divulgadas Em Março de 2021
• Domínios e hashes conhecidos do Tufão de Granito
• IP conhecido da Blizzard do Seashell
• Midnight Blizzard - IOCs de Domínio e IP - março de 2021
• Domínios/IP do grupo Phosphorus conhecidos
• Domínios conhecidos do grupo Blizzard florestal - julho de 2019
• Farol de Rede Solorigate
• Domínios emerald Sleet incluídos na captura de DCU
• Hashes de software maligno Diamond Sleet Comebacker e Klackring conhecidos
• Domínios e hashes do Ruby Sleet conhecidos
• Hashes e domínios NICKEL conhecidos
• Midnight Blizzard - Domínio, Hash e IOCs IP - maio de 2021
• Farol de Rede Solorigate

Conteúdo de segurança da Atividade de Ficheiros

O seguinte conteúdo de atividade de ficheiro incorporado é suportado para normalização do ASIM.

• Deteção de Ameaças Baseada no COI Legada

Regras de Análise

• Hashes SUNBURST e SUPERNOVA (Normalized File Events)
• Exchange Server Vulnerabilidades Divulgadas Em Março de 2021
• Serviço Silk Typhoon UM escrevendo ficheiro suspeito
• Midnight Blizzard - Domínio, Hash e IOCs IP - maio de 2021
• Criação de ficheiros de registo SUNSPOT
• Hashes de software maligno Diamond Sleet Comebacker e Klackring conhecidos
• Cadete Blizzard Actor COI - Janeiro de 2022
• IOCs da Blizzard da Meia-Noite relacionados com foggyWeb backdoor

Conteúdo de segurança da sessão de rede

O seguinte conteúdo relacionado com a sessão de rede incorporada é suportado para normalização do ASIM.

Soluções

• Sessão de Rede – Versão Essentials
• Deteção de Vulnerabilidades do Log4j
• Deteção de Ameaças Baseada no COI Legada

Regras de análise

• Log4j vulnerability exploit aka Log4Shell IP IOC
• Número excessivo de ligações falhadas de uma única origem (esquema de Sessão de Rede ASIM)
• Potencial atividade de beaconing (esquema de Sessão de Rede ASIM)
• (Pré-visualização) Ti mapeie a entidade IP para Eventos de Sessão de Rede (esquema de Sessão de Rede ASIM)
• Análise de portas detetada (esquema de Sessão de Rede ASIM)
• Endereços IP do Barium Conhecidos
• Exchange Server Vulnerabilidades Divulgadas Em Março de 2021
• [KNOWN Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Domínio, Hash e IOCs IP - maio de 2021
• Domínios conhecidos do grupo Blizzard florestal - julho de 2019

Consultas de investigação

• Ligação do IP externo às Portas relacionadas com o OMI

Processar conteúdo de segurança de atividade

O seguinte conteúdo de atividade de processo incorporado é suportado para normalização do ASIM.

Soluções

• Endpoint Threat Protection Essentials
• Deteção de Ameaças Baseada no COI Legada

Regras de análise

• Provável Utilização da Ferramenta de Reconhecimento AdFind (Eventos de Processo Normalizado)
• Linhas de comandos do processo do Windows codificadas em Base64 (Eventos de Processo Normalizado)
• Software maligno na reciclagem (Eventos de Processo Normalizado)
• Midnight Blizzard - execução suspeita rundll32.exe de vbscript (Eventos de Processo Normalizado)
• SolarWinds suspeito sunburst processos subordinados (Eventos de Processo Normalizado)

Consultas de investigação

• Discriminação do resumo diário do script Cscript (Eventos de Processo Normalizado)
• Enumeração de utilizadores e grupos (Eventos de Processo Normalizado)
• Snapin do Exchange PowerShell Adicionado (Eventos de Processo Normalizado)
• Anfitrião a Exportar Caixa de Correio e a Remover Exportação (Eventos de Processo Normalizado)
• Invoke-PowerShellTcpOneLine Usage (Normalized Process Events)
• Shell de TCP Inverso nishang em Base64 (Eventos de Processo Normalizado)
• Resumo dos utilizadores criados com comutadores de linha de comandos invulgares/não documentados (Eventos de Processo Normalizados)
• Transferência do Powercat (Eventos de Processo Normalizado)
• Transferências do PowerShell (Eventos de Processo Normalizado)
• Entropia para Processos para um determinado Anfitrião (Eventos de Processo Normalizado)
• Inventário SolarWinds (Eventos de Processo Normalizado)
• Enumeração suspeita com a ferramenta Adfind (Eventos de Processo Normalizado)
• Encerramento/Reinício do Sistema windows (Eventos de Processo Normalizado)
• Certutil (LOLBins e LOLScripts, Eventos de Processo Normalizado)
• Rundll32 (LOLBins e LOLScripts, Eventos de Processo Normalizado)
• Processos incomuns – 5% inferior (Eventos de Processo Normalizado)
• Unicode Obfuscation na Linha de Comandos

Conteúdo de segurança da atividade do registo

O seguinte conteúdo de atividade de registo incorporado é suportado para normalização do ASIM.

Regras de análise

• Potencial Desvio do UAC de Fodhelper (Versão ASIM)

Consultas de investigação

• Persisting Via IFEO Registry Key

Conteúdo de segurança da sessão Web

Os seguintes conteúdos relacionados com a sessão Web incorporada são suportados para normalização do ASIM.

Soluções

• Deteção de Vulnerabilidades do Log4j
• Informações sobre Ameaças

Regras de análise

• (Pré-visualização) TI mapeia entidade de Domínio para Eventos de Sessão Web (esquema de Sessão Web ASIM)
• (Pré-visualização) Ti mapeie a entidade IP para Eventos de Sessão Web (esquema de Sessão Web ASIM)
• Potencial comunicação com um nome de anfitrião baseado em Algoritmo de Geração de Domínio (DGA) (esquema de Sessão de Rede ASIM)
• Um cliente fez um pedido Web para um ficheiro potencialmente prejudicial (esquema de Sessão Web ASIM)
• Um anfitrião está potencialmente a executar um mineiro criptograficamente (esquema de Sessão Web ASIM)
• Um anfitrião está potencialmente a executar uma ferramenta de hacking (esquema de Sessão Web ASIM)
• Um anfitrião está potencialmente a executar o PowerShell para enviar pedidos HTTP(S) (esquema de Sessão Web ASIM)
• Transferência de Ficheiros de Risco CDN do Discord (Esquema de Sessão Web ASIM)
• Número excessivo de falhas de autenticação HTTP de uma origem (esquema de Sessão Web ASIM)
• Domínios conhecidos do Barium
• Endereços IP do Barium Conhecidos
• Domínios e hashes do Ruby Sleet conhecidos
• IP conhecido da Blizzard do Seashell
• Domínios e hashes NICKEL conhecidos
• Midnight Blizzard - IOCs de domínio e IP - março de 2021
• Blizzard da Meia-Noite - Domínio, Hash e IOCs IP - maio de 2021
• Domínios/IP do grupo Phosphorus conhecidos
• Pesquisa de agente de utilizador para tentativa de exploração log4j

Passos seguintes

Este artigo aborda o conteúdo do Advanced Security Information Model (ASIM).

Para obter mais informações, consulte:

• Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
• Descrição geral do Advanced Security Information Model (ASIM)
• Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
• Analisadores do Advanced Security Information Model (ASIM)
• Utilizar o Modelo Avançado de Informações de Segurança (ASIM)
• Modificar conteúdos do Microsoft Sentinel para utilizar os analisadores do Modelo de Informação de Segurança Avançada (ASIM)