Säkerhetsinnehåll för Advanced Security Information Model (ASIM) (allmänt tillgänglig förhandsversion)
Normaliserat säkerhetsinnehåll i Microsoft Sentinel innehåller analysregler, jaktfrågor och arbetsböcker som fungerar med enhetlig normaliseringsparser.
Du kan hitta normaliserat, inbyggt innehåll i Microsoft Sentinel-gallerier och -lösningar, skapa ditt eget normaliserade innehåll eller ändra befintligt innehåll så att det använder normaliserade data.
Den här artikeln innehåller inbyggt Microsoft Sentinel-innehåll som har konfigurerats för att stödja ASIM (Advanced Security Information Model). Länkar till GitHub-lagringsplatsen för Microsoft Sentinel finns nedan som referens, men du kan också hitta dessa regler i Microsoft Sentinel Analytics-regelgalleriet. Använd de länkade GitHub-sidorna för att kopiera relevanta jaktfrågor.
Information om hur normaliserat innehåll passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Tips
Du watch även webbseminariet för djupdykning i Microsoft Sentinel som normaliserar parsers och normaliserat innehåll eller granskar bilderna. Mer information finns under Nästa steg.
Viktigt
ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Säkerhetsinnehåll för autentisering
Följande inbyggda autentiseringsinnehåll stöds för ASIM-normalisering.
Analysregler
- Potentiell lösenordssprayattack (använder autentiseringsnormalisering)
- Brute force-attack mot användarautentiseringsuppgifter (använder autentiseringsnormalisering)
- Användarinloggning från olika länder inom 3 timmar (använder autentiseringsnormalisering)
- Inloggningar från IP-adresser som försöker logga in på inaktiverade konton (använder autentiseringsnormalisering)
Dns-frågesäkerhetsinnehåll
Följande inbyggda DNS-frågeinnehåll stöds för ASIM-normalisering.
Lösningar
Analysregler
- (Förhandsversion) TI mappar domänentitet till DNS-händelser (ASIM DNS-schema)
- (Förhandsversion) TI mappar IP-entitet till DNS-händelser (ASIM DNS-schema)
- Potentiell DGA identifierad (ASimDNS)
- Överdrivna NXDOMAIN DNS-frågor (ASIM DNS-schema)
- DNS-händelser relaterade till gruvpooler (ASIM DNS-schema)
- DNS-händelser relaterade till ToR-proxyservrar (ASIM DNS-schema)
- Kända Barium-domäner
- Kända Barium IP-adresser
- Exchange Server sårbarheter som avslöjades mars 2021 IoC Match
- Kända Granite Typhoon domäner och hashvärden
- Kända Seashell Blizzard IP
- Midnight Blizzard – Domän och IP-IOPS – mars 2021
- Kända fosforgruppsdomäner/IP
- Kända Forest Blizzard-gruppdomäner – juli 2019
- Solorigate Network Beacon
- Emerald Sleet-domäner som ingår i DCU-nedtagning
- Kända Diamond Sleet Comebacker och Klackring malware hashes
- Kända Ruby Sleet-domäner och hashvärden
- Kända NICKEL-domäner och hashvärden
- Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
- Solorigate Network Beacon
Säkerhetsinnehåll för filaktivitet
Följande inbyggda filaktivitetsinnehåll stöds för ASIM-normalisering.
Analysregler
- SUNBURST- och SUPERNOVA-bakdörrshasher (normaliserade filhändelser)
- Exchange Server sårbarheter som avslöjades mars 2021 IoC Match
- Silk Typhoon UM Service skriver misstänkt fil
- Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
- SKAPA SUNSPOT-loggfil
- Kända Diamond Sleet Comebacker och Klackring malware hashes
- Cadet Blizzard Skådespelare IOK - Januari 2022
- Midnight Blizzard IOCs relaterade till FoggyWeb bakdörr
Säkerhetsinnehåll för nätverkssessioner
Följande inbyggda nätverkssessionsrelaterat innehåll stöds för ASIM-normalisering.
Lösningar
Analysregler
- Log4j vulnerability exploit aka Log4Shell IP IOC
- Överdrivet antal misslyckade anslutningar från en enda källa (ASIM-nätverkssessionsschema)
- Potentiell beaconing-aktivitet (ASIM-nätverkssessionsschema)
- (Förhandsversion) TI mappar IP-entitet till nätverkssessionshändelser (ASIM-schema för nätverkssession)
- Portgenomsökning har identifierats (ASIM-nätverkssessionsschema)
- Kända Barium IP-adresser
- Exchange Server sårbarheter som avslöjades mars 2021 IoC Match
- [Kända Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
- Kända Forest Blizzard-gruppdomäner – juli 2019
Jaktfrågor
Bearbeta aktivitetssäkerhetsinnehåll
Följande inbyggda processaktivitetsinnehåll stöds för ASIM-normalisering.
Lösningar
Analysregler
- Sannolik användning av verktyget AdFind Recon (normaliserade processhändelser)
- Base64-kodade kommandorader för Windows-processer (normaliserade processhändelser)
- Skadlig kod i papperskorgen (normaliserade processhändelser)
- Midnight Blizzard – misstänkt rundll32.exe körning av vbscript (normaliserade processhändelser)
- SUNBURST misstänkta underordnade SolarWinds-processer (normaliserade processhändelser)
Jaktfrågor
- Daglig sammanfattning av Cscript-skript (normaliserade processhändelser)
- Uppräkning av användare och grupper (normaliserade processhändelser)
- Exchange PowerShell Snapin har lagts till (normaliserade processhändelser)
- Värd som exporterar postlåda och tar bort export (normaliserade processhändelser)
- Invoke-PowerShellTcpOneLine-användning (normaliserade processhändelser)
- Nishang Reverse TCP Shell i Base64 (normaliserade processhändelser)
- Sammanfattning av användare som skapats med ovanliga/odokumenterade kommandoradsväxlar (normaliserade processhändelser)
- Powercat-nedladdning (normaliserade processhändelser)
- PowerShell-nedladdningar (normaliserade processhändelser)
- Entropy för processer för en viss värd (normaliserade processhändelser)
- SolarWinds-inventering (normaliserade processhändelser)
- Misstänkt uppräkning med hjälp av verktyget Adfind (normaliserade processhändelser)
- Avstängning/omstart av Windows-system (normaliserade processhändelser)
- Certutil (LOLBins och LOLScripts, Normalized Process Events)
- Rundll32 (LOLBins och LOLScripts, Normalized Process Events)
- Ovanliga processer – nedersta 5 % (normaliserade processhändelser)
- Unicode-obfuscation i kommandoraden
Säkerhetsinnehåll för registeraktivitet
Följande inbyggda registeraktivitetsinnehåll stöds för ASIM-normalisering.
Analysregler
Jaktfrågor
Säkerhetsinnehåll för webbsessioner
Följande inbyggda webbsessionsrelaterat innehåll stöds för ASIM-normalisering.
Lösningar
Analysregler
- (Förhandsversion) TI mappar domänentitet till webbsessionshändelser (ASIM-webbsessionsschema)
- (Förhandsversion) TI mappar IP-entitet till webbsessionshändelser (ASIM-webbsessionsschema)
- Potentiell kommunikation med ett DGA-baserat värdnamn (ASIM Network Session-schema)
- En klient gjorde en webbbegäran till en potentiellt skadlig fil (ASIM-webbsessionsschema)
- En värd kan potentiellt köra en kryptografiproverare (ASIM-webbsessionsschema)
- En värd kan potentiellt köra ett hackningsverktyg (ASIM-webbsessionsschema)
- En värd kan potentiellt köra PowerShell för att skicka HTTP(S)-begäranden (ASIM-webbsessionsschema)
- Discord CDN Risky File Download (ASIM Web Session Schema)
- Överdrivet antal HTTP-autentiseringsfel från en källa (ASIM-webbsessionsschema)
- Kända Barium-domäner
- Kända Barium IP-adresser
- Kända Ruby Sleet-domäner och hashvärden
- Kända Seashell Blizzard IP
- Kända NICKEL-domäner och hashvärden
- Midnight Blizzard – Domän och IP-IOPS – mars 2021
- Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
- Kända fosforgruppsdomäner/IP
- Användaragentsökning efter log4j-exploateringsförsök
Nästa steg
I den här artikeln beskrivs innehållet i ASIM (Advanced Security Information Model).
Mer information finns i:
- Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parser och normaliserat innehåll eller granska bilderna
- Översikt över Advanced Security Information Model (ASIM)
- ASIM-scheman (Advanced Security Information Model)
- Parser för Advanced Security Information Model (ASIM)
- Använda Advanced Security Information Model (ASIM)
- Ändra Microsoft Sentinel-innehåll till att använda ASIM-parser (Advanced Security Information Model)