Содержимое безопасности модели расширенной информации о безопасности (ASIM) (общедоступная предварительная версия)

Нормализованное содержимое безопасности в Microsoft Sentinel включает правила аналитики, запросы охоты и книги, работающие с унифицирующими средствами синтаксического анализа для нормализации.

Вы можете найти нормализованное встроенное содержимое в коллекциях и решениях Microsoft Sentinel, создать собственное нормализованное содержимое или изменить существующее содержимое для использования нормализованных данных.

В этой статье приведено встроенное содержимое Microsoft Sentinel, которое было настроено для поддержки модели расширенной информации о безопасности (ASIM). Ниже приведены для справки ссылки на репозиторий Microsoft Sentinel на GitHub, однако эти правила также можно найти в коллекции правил аналитики Microsoft Sentinel. Для копирования нужных запросов охоты используйте соответствующие страницы GitHub.

Чтобы понять, как нормализованное содержимое вписывается в архитектуру ASIM, изучите схему архитектуры ASIM.

Совет

Также ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды. Дополнительные сведения см. в разделе Дальнейшие действия.

Важно!

ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Содержимое безопасности для проверки подлинности

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для проверки подлинности.

Правила аналитики

• Потенциальная атака путем распыления пароля (использует нормализацию проверки подлинности)
• Атака методом подбора на учетные данные пользователя (использует нормализацию проверки подлинности)
• Входы пользователей из разных стран с разницей менее 3 часов (использует нормализацию проверки подлинности)
• Входы с IP-адресов в отключенные учетные записи (использует нормализацию проверки подлинности)

Содержимое безопасности для запросов DNS

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для запросов DNS.

Решения

• Основные компоненты DNS
• Обнаружение уязвимостей Log4j
• Устаревшее обнаружение угроз на основе МОК

Правила аналитики

• (Предварительная версия) TI сопоставляет объект домена с событиями DNS (схема ASIM DNS)
• (Предварительная версия) TI сопоставляет объект IP с событиями DNS (схема ASIM DNS)
• Обнаружено потенциальное использование DGA (ASimDNS)
• Чрезмерное количество DNS-запросов NXDOMAIN (схема ASIM DNS)
• События DNS, связанные с пулами для майнинга (схема ASIM DNS)
• События DNS, связанные с прокси-серверами для ToR (схема ASIM DNS)
• Известные домены Barium
• Известные IP-адреса Barium
• Совпадение по индикаторам компрометации для уязвимостей Exchange Server, о которых было сообщено в марте 2021 г.
• Известные домены и хэши гранитного тайфуна
• Известный ip-адрес Seashell Blizzard
• Midnight Blizzard - Домены и IP IOC - Март 2021 г.
• Известные домены и IP-адреса группы Phosphorus
• Известные домены группы Forest Blizzard — июль 2019 г.
• Маяк сети Solorigate Network
• Домены изумрудного мокрых включаемых в DCU takedown
• Известные алмазный мокет Comebacker и Klackring вредоносных хэшей
• Известные домены и хэши рубинового мозаика
• Известные домены и хэши NICKEL
• Midnight Blizzard - Домен, хэш и IP IOC - май 2021 г.
• Маяк сети Solorigate Network

Содержимое безопасности для действий с файлами

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с файлами.

• Устаревшее обнаружение угроз на основе МОК

Правила аналитики

• Хэши программ-троянов SUNBURST и SUPERNOVA (нормализованные события файлов)
• Совпадение по индикаторам компрометации для уязвимостей Exchange Server, о которых было сообщено в марте 2021 г.
• Служба единой системы обмена сообщениями Silk Typhoon записывает подозрительный файл
• Midnight Blizzard - Домен, хэш и IP IOC - май 2021 г.
• Создание файла журнала SUNSPOT
• Известные алмазный мокет Comebacker и Klackring вредоносных хэшей
• Кадет Blizzard Актер МОК - январь 2022 г.
• Полночь Blizzard IOCs, связанные с FoggyWeb backdoor

Содержимое безопасности сетевого сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с сетевыми сеансами.

Решения

• Основные компоненты сетевого сеанса
• Обнаружение уязвимостей Log4j
• Устаревшее обнаружение угроз на основе МОК

Правила аналитики

• Эксплойт уязвимости Log4j, также известной как Log4Shell IP IOC
• Чрезмерное число неудачных подключений из одного источника (схема сетевого сеанса ASIM)
• Потенциальная маячковая активность (схема сетевого сеанса ASIM)
• (Предварительная версия) TI сопоставляет объект IP с событиями сетевого сеанса (схема сетевого сеанса ASIM)
• Обнаружено сканирование портов (схема сетевого сеанса ASIM)
• Известные IP-адреса Barium
• Совпадение по индикаторам компрометации для уязвимостей Exchange Server, о которых было сообщено в марте 2021 г.
• [Известный seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - Домен, хэш и IP IOC - май 2021 г.
• Известные домены группы Forest Blizzard — июль 2019 г.

Запросы слежения

• Подключение с внешнего IP-адреса к портам, связанным с OMI

Содержимое безопасности для действий с процессами

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с процессами.

Решения

• Endpoint Threat Protection Essentials
• Устаревшее обнаружение угроз на основе МОК

Правила аналитики

• Возможное использование средства AdFind Recon (нормализованные события процесса)
• Командные строки процесса Windows в кодировке Base64 (нормализованные события процесса)
• Вредоносные программы в корзине (нормализованные события процесса)
• Midnight Blizzard — подозрительная rundll32.exe выполнение vbscript (события нормализованного процесса)
• SUNBURST — подозрительные дочерние процессы SolarWinds (нормализованные события процесса)

Запросы слежения

• Ежедневное разбиение сводки сценария cscript (нормализованные события процесса)
• Перечисление пользователей и групп (нормализованные события процесса)
• Добавлена оснастка Exchange PowerShell (нормализованные события процесса)
• Узел экспортирует почтовый ящик и удаляет экспорт (нормализованные события процесса)
• Использование Invoke-PowerShellTcpOneLine (нормализованные события процесса)
• Обратная оболочка TCP Nishang в кодировке Base64 (нормализованные события процесса)
• Сводка о пользователях, созданная с помощью нестандартных или недокументированных параметров командной строки (нормализованные события процесса)
• Загрузка Powercat (нормализованные события процесса)
• Загрузки PowerShell (нормализованные события процесса)
• Энтропия для процессов для заданного узла (нормализованные события процесса)
• Запасы SolarWinds (нормализованные события процесса)
• Подозрительное перечисление с помощью средства AdFind (нормализованные события процесса)
• Завершение работы/перезагрузка системы Windows (нормализованные события процесса)
• Certutil (LOLBins и LOLScripts, нормализованные события процесса)
• Rundll32 (LOLBins и LOLScripts, нормализованные события процесса)
• Нестандартные процессы — нижнее значение 5 % (нормализованные события процесса)
• Обфускация Юникода в командной строке

Содержимое безопасности для действий с реестром

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с реестром.

Правила аналитики

• Потенциальный обход контроля учетных записей Fodhelper (версия ASIM)

Запросы слежения

• Сохранение с помощью раздела реестра IFEO

Содержимое безопасности веб-сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с веб-сеансами.

Решения

• Обнаружение уязвимостей Log4j
• Аналитика угроз

Правила аналитики

• (Предварительная версия) TI сопоставляет объект домена с событиями веб-сеанса (схема веб-сеанса ASIM)
• (Предварительная версия) TI сопоставляет объект IP с событиями веб-сеанса (схема веб-сеанса ASIM)
• Потенциальная связь с именем узла, полученного с помощью алгоритма создания доменов (DGA) (схема сетевого сеанса ASIM)
• Клиент сделал веб-запрос к потенциально вредоносному файлу (схема веб-сеанса ASIM)
• На узле потенциально выполняется майнер криптовалют (схема веб-сеанса ASIM)
• На узле потенциально выполняется средство взлома (схема веб-сеанса ASIM)
• На узле потенциально выполняются сценарии PowerShell для отправки HTTP-запросов (схема веб-сеанса ASIM)
• Загрузка опасного файла Discord CDN (схема веб-сеанса ASIM)
• Чрезмерное число неудачных проверок подлинности HTTP из источника (схема веб-сеанса ASIM)
• Известные домены Barium
• Известные IP-адреса Barium
• Известные домены и хэши Ruby Sleet
• Известный IP-адрес Seashell Blizzard
• Известные домены и хэши NICKEL
• Midnight Blizzard — домены и IP IOCs — март 2021 г.
• Midnight Blizzard — IOC домена, хэша и IP - май 2021 г.
• Известные домены и IP-адреса группы Phosphorus
• Поиск агента пользователя для попытки использования уязвимости log4j

Следующие шаги

В этой статье рассматривается содержимое модели расширенной информации о безопасности (ASIM).

Дополнительные сведения см. в разделе:

• Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
• Обзор расширенной информационной модели безопасности (ASIM)
• Схемы расширенной информационной модели безопасности (ASIM)
• Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
• Использование расширенной информационной модели безопасности (ASIM)
• Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)