Содержимое расширенной информационной модели безопасности (ASIM)

Нормализованное содержимое безопасности в Microsoft Sentinel включает правила аналитики, запросы охоты и книги, которые работают с унифицировывающим анализатором нормализации.

Вы можете найти нормализованное встроенное содержимое в коллекциях и решениях Microsoft Sentinel, создать собственное нормализованное содержимое или изменить существующее содержимое для использования нормализованных данных.

В этой статье перечислены встроенные Microsoft Sentinel содержимое, настроенное для поддержки расширенной информационной модели безопасности (ASIM). Хотя ссылки на репозиторий Microsoft Sentinel GitHub предоставляются в качестве ссылки, эти правила также можно найти в коллекции правил Microsoft Sentinel Analytics. Используйте связанные страницы GitHub, чтобы скопировать все соответствующие запросы охоты.

Чтобы понять, как нормализованное содержимое вписывается в архитектуру ASIM, см. схему архитектуры ASIM.

Совет

Кроме того, просмотрите вебинар глубокого погружения по Microsoft Sentinel нормализации синтаксического анализа и нормализованного содержимого или просмотрите слайды. Дополнительные сведения см. в разделе Дальнейшие действия.

Содержимое безопасности проверки подлинности

Для нормализации ASIM поддерживается следующее встроенное содержимое проверки подлинности.

Правила аналитики

• Потенциальная атака с распылением пароля (используется нормализация проверки подлинности)
• Атака методом подбора на учетные данные пользователя (использует нормализацию проверки подлинности)
• Вход пользователя из разных стран или регионов в течение 3 часов (использует нормализацию проверки подлинности)
• Входы с IP-адресов, которые пытаются войти в отключенные учетные записи (использует нормализацию проверки подлинности)

Содержимое безопасности действия файлов

Для нормализации ASIM поддерживается следующее встроенное содержимое действий файлов.

• Обнаружение угроз на основе МОК прежних версий

Правила аналитики

• Хэши backdoor SUNBURST и SUPERNOVA (события нормализованных файлов)

Содержимое для безопасности действий реестра

Для нормализации ASIM поддерживается следующее встроенное содержимое действий реестра.

Правила аналитики

• Возможное обходное управление учетными адресами Fodhelper (версия ASIM)

Охота на запросы

• Сохранение с помощью раздела реестра IFEO

Содержимое для безопасности DNS-запросов

Для нормализации ASIM поддерживается следующее встроенное содержимое dns-запросов.

Решения	Правила аналитики
Основные компоненты DNS Обнаружение уязвимостей Log4j Обнаружение угроз на основе МОК прежних версий	TI map Domain entity to DNS Events (ASIM DNS Schema) TI map IP entity to DNS Events (ASIM DNS Schema) Обнаружена потенциальная DGA (ASimDNS) Чрезмерные запросы DNS NXDOMAIN (схема DNS ASIM) События DNS, связанные с пулами интеллектуального анализа данных (схема DNS ASIM) События DNS, связанные с прокси-серверами ToR (схема DNS ASIM) Известные домены группы Forest Blizzard — июль 2019 г.

Содержимое безопасности сетевого сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с сетевым сеансом.

Решения	Правила аналитики	Охота на запросы
Основные компоненты сетевого сеанса Обнаружение уязвимостей Log4j Обнаружение угроз на основе МОК прежних версий	Уязвимость Log4j, эксплойт, также называется Log4Shell IP IOC Чрезмерное количество неудачных подключений из одного источника (схема сетевого сеанса ASIM) Потенциальная активность маяка (схема сетевого сеанса ASIM) Ti map IP entity to Network Session Events (схема сетевого сеанса ASIM) Обнаружена проверка порта (схема сетевого сеанса ASIM) Известные домены группы Forest Blizzard — июль 2019 г.	Подключение из внешнего IP-адреса к портам, связанным с OMI

Обработка содержимого безопасности действия

Для нормализации ASIM поддерживается следующее встроенное содержимое действий процесса.

Решения	Правила аналитики	Охота на запросы
Endpoint Threat Protection Essentials Обнаружение угроз на основе МОК прежних версий	Вероятное использование средства рекогносцировки AdFind (события нормализованного процесса) Командные строки процесса Windows в кодировке Base64 (события нормализованного процесса) Вредоносная программа в корзине (события нормализованного процесса) Midnight Blizzard — подозрительная rundll32.exe выполнении vbscript (события нормализованного процесса) SUNBURST подозрительные дочерние процессы SolarWinds (события нормализованного процесса)	Ежедневная сводная разбивка скрипта Cscript (события нормализованного процесса) Перечисление пользователей и групп (события нормализованного процесса) Добавлена оснастка Exchange PowerShell (события нормализованного процесса) Экспорт почтового ящика узла и удаление экспорта (события нормализованного процесса) Использование Invoke-PowerShellTcpOneLine (события нормализованного процесса) Nishang Reverse TCP Shell в Base64 (события нормализованного процесса) Сводка пользователей, созданных с помощью параметров командной строки( нормализованных процессов) Загрузка Powercat (события нормализованного процесса) Загрузки PowerShell (события нормализованного процесса) Энтропия для процессов для заданного узла (события нормализованного процесса) Инвентаризация SolarWinds (события нормализованного процесса) Подозрительное перечисление с помощью средства Adfind (события нормализованного процесса) Завершение работы и перезагрузка системы Windows (события нормализованного процесса) Certutil (LOLBins и LOLScripts, нормализованные события процесса) Rundll32 (LOLBins и LOLScripts, нормализация событий процесса) Необычные процессы — нижние 5% (события нормализованного процесса) Маскировка Юникода в командной строке

Содержимое безопасности веб-сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с веб-сеансом.

Решения

Правила аналитики

Обнаружение уязвимостей Log4j Threat Intelligence

Ti map Domain entity to Web Session Events (схема веб-сеанса ASIM) Ip-сущность сопоставления TI с событиями веб-сеанса (схема веб-сеанса ASIM) Возможная связь с именем узла на основе алгоритма создания домена (DGA) (схема сетевого сеанса ASIM) Клиент сделал веб-запрос к потенциально опасному файлу (схема веб-сеанса ASIM) На узле потенциально запущен майнер шифрования (схема веб-сеанса ASIM) На узле потенциально запущено средство взлома (схема веб-сеанса ASIM) Возможно, узел использует PowerShell для отправки HTTP-запросов (схема веб-сеанса ASIM) Загрузка опасного файла CDN discord (схема веб-сеанса ASIM) Чрезмерное количество сбоев проверки подлинности HTTP из источника (схема веб-сеанса ASIM) Агент пользователя выполняет поиск попытки использования Log4j

Дальнейшие действия

Дополнительные сведения см. в указанных ниже статьях.

• Просмотрите вебинар глубокого погружения по Microsoft Sentinel нормализации синтаксического анализа и нормализованного содержимого или просмотрите слайды
• Обзор расширенной информационной модели безопасности (ASIM)
• Схемы расширенной информационной модели безопасности (ASIM)
• Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
• Использование расширенной информационной модели безопасности (ASIM)
• Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа расширенной информационной модели безопасности (ASIM)