Содержимое расширенной информационной модели безопасности (ASIM)

Нормализованное содержимое безопасности в Microsoft Sentinel включает правила аналитики, запросы охоты и книги, работающие с унифицирующими средствами синтаксического анализа для нормализации.

Вы можете найти нормализованное встроенное содержимое в коллекциях и решениях Microsoft Sentinel, создать собственное нормализованное содержимое или изменить существующее содержимое для использования нормализованных данных.

В этой статье приведено встроенное содержимое Microsoft Sentinel, которое было настроено для поддержки модели расширенной информации о безопасности (ASIM). Хотя ссылки на репозиторий Microsoft Sentinel GitHub предоставляются в качестве ссылки, эти правила также можно найти в коллекции правил Microsoft Sentinel Analytics. Для копирования нужных запросов охоты используйте соответствующие страницы GitHub.

Чтобы понять, как нормализованное содержимое вписывается в архитектуру ASIM, изучите схему архитектуры ASIM.

Совет

Также ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды. Дополнительные сведения см. в разделе Дальнейшие действия.

Содержимое безопасности для проверки подлинности

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для проверки подлинности.

Правила аналитики

• Потенциальная атака путем распыления пароля (использует нормализацию проверки подлинности)
• Атака методом подбора на учетные данные пользователя (использует нормализацию проверки подлинности)
• Вход пользователя из разных стран или регионов в течение 3 часов (использует нормализацию проверки подлинности)
• Входы с IP-адресов в отключенные учетные записи (использует нормализацию проверки подлинности)

Содержимое безопасности для действий с файлами

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с файлами.

• Устаревшее обнаружение угроз на основе IOC

Правила аналитики

• Хэши программ-троянов SUNBURST и SUPERNOVA (нормализованные события файлов)

Содержимое безопасности для действий с реестром

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с реестром.

Правила аналитики

• Потенциальный обход контроля учетных записей Fodhelper (версия ASIM)

Запросы слежения

• Сохранение с помощью раздела реестра IFEO

Содержимое безопасности для запросов DNS

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для запросов DNS.

Решения

Правила аналитики

DNS Essentials Обнаружение уязвимостей Log4j Устаревшее обнаружение угроз на основе IOC

Сущность домена TI сопоставляет с событиями DNS (схема DNS ASIM) Схема IP-адресов TI сопоставляет сущность IP с событиями DNS (схема ASIM DNS) Обнаружено потенциальное использование DGA (ASimDNS) Чрезмерное количество DNS-запросов NXDOMAIN (схема ASIM DNS) События DNS, связанные с пулами для майнинга (схема ASIM DNS) События DNS, связанные с прокси-серверами для ToR (схема ASIM DNS) Известные домены группы Forest Blizzard — июль 2019 г.

Содержимое безопасности сетевого сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с сетевыми сеансами.

Решения	Правила аналитики	Запросы слежения
Основные сведения о сеансах сети Обнаружение уязвимостей Log4j Устаревшее обнаружение угроз на основе IOC	Эксплойт уязвимости Log4j, также известной как Log4Shell IP IOC Чрезмерное число неудачных подключений из одного источника (схема сетевого сеанса ASIM) Потенциальная маячковая активность (схема сетевого сеанса ASIM) Схема IP-адреса сопоставляет IP-сущность с событиями сетевого сеанса (схема сетевого сеанса ASIM) Обнаружено сканирование портов (схема сетевого сеанса ASIM) Известные домены группы Forest Blizzard — июль 2019 г.	Подключение с внешнего IP-адреса к портам, связанным с OMI

Содержимое безопасности для действий с процессами

Для нормализации ASIM поддерживается указанное ниже встроенное содержимое для действий с процессами.

Решения	Правила аналитики	Запросы слежения
Основные компоненты Endpoint Threat Protection Устаревшее обнаружение угроз на основе IOC	Возможное использование инструмента AdFind Recon (нормализованные события процесса) Командные строки процесса Windows в кодировке Base64 (нормализованные события процесса) Вредоносные программы в корзине (нормализованные события процесса) Полночь Метель — подозрительное rundll32.exe выполнение vbscript (нормализованные события процесса) SUNBURST — подозрительные дочерние процессы SolarWinds (нормализованные события процесса)	Ежедневное разбиение сводки сценария cscript (нормализованные события процесса) Перечисление пользователей и групп (нормализованные события процесса) Добавлена оснастка Exchange PowerShell (нормализованные события процесса) Узел экспортирует почтовый ящик и удаляет экспорт (нормализованные события процесса) Использование Invoke-PowerShellTcpOneLine (нормализованные события процесса) Обратная оболочка TCP Nishang в кодировке Base64 (нормализованные события процесса) Сводка о пользователях, созданная с помощью нестандартных или недокументированных параметров командной строки (нормализованные события процесса) Загрузка Powercat (нормализованные события процесса) Загрузки PowerShell (нормализованные события процесса) Энтропия для процессов для заданного узла (нормализованные события процесса) Запасы SolarWinds (нормализованные события процесса) Подозрительное перечисление с помощью средства AdFind (нормализованные события процесса) Завершение работы/перезагрузка системы Windows (нормализованные события процесса) Certutil (LOLBins и LOLScripts, нормализованные события процесса) Rundll32 (LOLBins и LOLScripts, нормализованные события процесса) Нестандартные процессы — нижнее значение 5 % (нормализованные события процесса) Маскировка Юникода в командной строке

Содержимое безопасности веб-сеанса

Для нормализации ASIM поддерживается следующее встроенное содержимое, связанное с веб-сеансами.

Решения

Правила аналитики

Обнаружение уязвимостей Log4j Аналитика угроз

Сущность домена TI сопоставляет с событиями веб-сеанса (схема веб-сеанса ASIM) Схема IP-адреса сопоставления IP-адресов с событиями веб-сеанса (схема веб-сеанса ASIM) Потенциальная связь с именем узла, полученного с помощью алгоритма создания доменов (DGA) (схема сетевого сеанса ASIM) Клиент сделал веб-запрос к потенциально вредоносному файлу (схема веб-сеанса ASIM) На узле потенциально выполняется майнер криптовалют (схема веб-сеанса ASIM) На узле потенциально выполняется средство взлома (схема веб-сеанса ASIM) На узле потенциально выполняются сценарии PowerShell для отправки HTTP-запросов (схема веб-сеанса ASIM) Загрузка опасного файла Discord CDN (схема веб-сеанса ASIM) Чрезмерное число неудачных проверок подлинности HTTP из источника (схема веб-сеанса ASIM) Поиск агента пользователя для попытки эксплуатации Log4j

Следующие шаги

Дополнительные сведения см. в разделе:

• Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
• Обзор расширенной информационной модели безопасности (ASIM)
• Схемы расширенной информационной модели безопасности (ASIM)
• Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
• Использование расширенной информационной модели безопасности (ASIM)
• Изменение содержимого Microsoft Sentinel для использования средств синтаксического анализа модели расширенной информации о безопасности (ASIM)