Säkerhetsinnehåll för Advanced Security Information Model (ASIM)

Normaliserat säkerhetsinnehåll i Microsoft Sentinel innehåller analysregler, jaktfrågor och arbetsböcker som fungerar med enhetlig normaliseringsparsrar.

Du kan hitta normaliserat, inbyggt innehåll i Microsoft Sentinel gallerier och lösningar, skapa ditt eget normaliserade innehåll eller ändra befintligt innehåll för att använda normaliserade data.

Den här artikeln innehåller inbyggd Microsoft Sentinel innehåll som har konfigurerats för att stödja ASIM (Advanced Security Information Model). Länkar till Microsoft Sentinel GitHub-lagringsplats finns som referens, men du kan också hitta dessa regler i Microsoft Sentinel Analytics-regelgalleriet. Använd de länkade GitHub-sidorna för att kopiera relevanta jaktfrågor.

Information om hur normaliserat innehåll passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Tips

Titta också på webbseminariet för djupdykning på Microsoft Sentinel Normalisera parsrar och normaliserat innehåll eller granska bilderna. Mer information finns i Nästa steg.

Autentiseringssäkerhetsinnehåll

Följande inbyggda autentiseringsinnehåll stöds för ASIM-normalisering.

Analysregler

• Potentiell lösenordssprayattack (använder autentiseringsnormalisering)
• Råstyrkeattack mot användarautentiseringsuppgifter (använder autentiseringsnormalisering)
• Användarinloggning från olika länder/regioner inom 3 timmar (använder autentiseringsnormalisering)
• Inloggningar från IP-adresser som försöker logga in på inaktiverade konton (använder autentiseringsnormalisering)

Säkerhetsinnehåll för filaktivitet

Följande inbyggda filaktivitetsinnehåll stöds för ASIM-normalisering.

• Äldre IOK-baserad hotidentifiering

Analysregler

• SUNBURST- och SUPERNOVA-bakdörrshashvärden (normaliserade filhändelser)

Säkerhetsinnehåll för registeraktivitet

Följande inbyggda registeraktivitetsinnehåll stöds för ASIM-normalisering.

Analysregler

• Potentiell Fodhelper UAC Bypass (ASIM-version)

Jaktfrågor

• Spara via IFEO-registernyckeln

DNS-frågesäkerhetsinnehåll

Följande inbyggda DNS-frågeinnehåll stöds för ASIM-normalisering.

Lösningar	Analysregler
DNS Essentials Log4j Sårbarhetsidentifiering Äldre IOK-baserad hotidentifiering	TI mappar domänentitet till DNS-händelser (ASIM DNS-schema) TI mappar IP-entitet till DNS-händelser (ASIM DNS-schema) Potentiell DGA identifierad (ASimDNS) Överdriven NXDOMAIN DNS-frågor (ASIM DNS-schema) DNS-händelser relaterade till gruvpooler (ASIM DNS-schema) DNS-händelser relaterade till ToR-proxyservrar (ASIM DNS-schema) Kända Forest Blizzard-gruppdomäner – juli 2019

Säkerhetsinnehåll för nätverkssessioner

Följande inbyggda nätverkssessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar	Analysregler	Jaktfrågor
Grundläggande om nätverkssessioner Log4j Sårbarhetsidentifiering Äldre IOK-baserad hotidentifiering	Log4j sårbarhetsexploatering, även kallat Log4Shell IP IOC För många misslyckade anslutningar från en enda källa (ASIM-nätverkssessionsschema) Potentiell beaconing-aktivitet (ASIM-nätverkssessionsschema) TI mappar IP-entitet till nätverkssessionshändelser (ASIM-schema för nätverkssession) Portgenomsökning har identifierats (ASIM-nätverkssessionsschema) Kända Forest Blizzard-gruppdomäner – juli 2019	Anslutning från extern IP till OMI-relaterade portar

Bearbeta aktivitetssäkerhetsinnehåll

Följande inbyggda processaktivitetsinnehåll stöds för ASIM-normalisering.

Lösningar	Analysregler	Jaktfrågor
Endpoint Threat Protection Essentials Äldre IOK-baserad hotidentifiering	Trolig adfind recon-verktygsanvändning (normaliserade processhändelser) Base64-kodade kommandorader för Windows-process (normaliserade processhändelser) Skadlig kod i papperskorgen (normaliserade processhändelser) Midnight Blizzard – misstänkt rundll32.exe körning av vbscript (normaliserade processhändelser) SUNBURST misstänkta underordnade SolarWinds-processer (normaliserade processhändelser)	Översikt över dagliga sammanfattningar av Cscript-skript (normaliserade processhändelser) Uppräkning av användare och grupper (normaliserade processhändelser) Exchange PowerShell Snapin har lagts till (normaliserade processhändelser) Värd som exporterar postlåda och tar bort export (normaliserade processhändelser) Invoke-PowerShellTcpOneLine-användning (normaliserade processhändelser) Nishang Reverse TCP Shell i Base64 (normaliserade processhändelser) Sammanfattning av användare som skapats med ovanliga/odokumenterade kommandoradsväxlar (normaliserade processhändelser) Powercat-nedladdning (normaliserade processhändelser) PowerShell-nedladdningar (normaliserade processhändelser) Entropy för processer för en viss värd (normaliserade processhändelser) SolarWinds-inventering (normaliserade processhändelser) Misstänkt uppräkning med hjälp av verktyget Adfind (normaliserade processhändelser) Avstängning/omstart av Windows-system (normaliserade processhändelser) Certutil (LOLBins och LOLScripts, normaliserade processhändelser) Rundll32 (LOLBins och LOLScripts, normaliserade processhändelser) Ovanliga processer – nedersta 5 % (normaliserade processhändelser) Unicode-obfuscation i kommandoraden

Säkerhetsinnehåll för webbsessioner

Följande inbyggda webbsessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar

Analysregler

Log4j Sårbarhetsidentifiering Threat Intelligence

TI mappar domänentitet till webbsessionshändelser (ASIM-webbsessionsschema) TI mappar IP-entitet till webbsessionshändelser (ASIM-webbsessionsschema) Potentiell kommunikation med ett DGA-baserat värdnamn (ASIM Network Session-schema) En klient gjorde en webbbegäran till en potentiellt skadlig fil (ASIM-webbsessionsschema) En värd kan potentiellt köra en kryptografi (ASIM-webbsessionsschema) En värd kör potentiellt ett hackningsverktyg (ASIM-webbsessionsschema) En värd kör potentiellt PowerShell för att skicka HTTP(S)-begäranden (ASIM-webbsessionsschema) Discord CDN Riskfylld filnedladdning (ASIM-webbsessionsschema) För många HTTP-autentiseringsfel från en källa (ASIM-webbsessionsschema) Sök efter Log4j-exploateringsförsök för användaragenten

Nästa steg

Mer information finns i:

• Titta på webbseminariet för djupdykning på Microsoft Sentinel Normalisera parsrar och normaliserat innehåll eller granska bilderna
• Översikt över Advanced Security Information Model (ASIM)
• ASIM-scheman (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• Använda Advanced Security Information Model (ASIM)
• Ändra Microsoft Sentinel innehåll för att använda ASIM-parsers (Advanced Security Information Model)