Säkerhetsinnehåll för Advanced Security Information Model (ASIM) (allmänt tillgänglig förhandsversion)

Normaliserat säkerhetsinnehåll i Microsoft Sentinel innehåller analysregler, jaktfrågor och arbetsböcker som fungerar med enhetlig normaliseringsparser.

Du kan hitta normaliserat, inbyggt innehåll i Microsoft Sentinel-gallerier och -lösningar, skapa ditt eget normaliserade innehåll eller ändra befintligt innehåll så att det använder normaliserade data.

Den här artikeln innehåller inbyggt Microsoft Sentinel-innehåll som har konfigurerats för att stödja ASIM (Advanced Security Information Model). Länkar till GitHub-lagringsplatsen för Microsoft Sentinel finns nedan som referens, men du kan också hitta dessa regler i Microsoft Sentinel Analytics-regelgalleriet. Använd de länkade GitHub-sidorna för att kopiera relevanta jaktfrågor.

Information om hur normaliserat innehåll passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Tips

Du watch även webbseminariet för djupdykning i Microsoft Sentinel som normaliserar parsers och normaliserat innehåll eller granskar bilderna. Mer information finns under Nästa steg.

Viktigt

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.

Säkerhetsinnehåll för autentisering

Följande inbyggda autentiseringsinnehåll stöds för ASIM-normalisering.

Analysregler

• Potentiell lösenordssprayattack (använder autentiseringsnormalisering)
• Brute force-attack mot användarautentiseringsuppgifter (använder autentiseringsnormalisering)
• Användarinloggning från olika länder inom 3 timmar (använder autentiseringsnormalisering)
• Inloggningar från IP-adresser som försöker logga in på inaktiverade konton (använder autentiseringsnormalisering)

Dns-frågesäkerhetsinnehåll

Följande inbyggda DNS-frågeinnehåll stöds för ASIM-normalisering.

Lösningar

• DNS Essentials
• Log4j Sårbarhetsidentifiering
• Äldre IOK-baserad hotidentifiering

Analysregler

• (Förhandsversion) TI mappar domänentitet till DNS-händelser (ASIM DNS-schema)
• (Förhandsversion) TI mappar IP-entitet till DNS-händelser (ASIM DNS-schema)
• Potentiell DGA identifierad (ASimDNS)
• Överdrivna NXDOMAIN DNS-frågor (ASIM DNS-schema)
• DNS-händelser relaterade till gruvpooler (ASIM DNS-schema)
• DNS-händelser relaterade till ToR-proxyservrar (ASIM DNS-schema)
• Kända Barium-domäner
• Kända Barium IP-adresser
• Exchange Server sårbarheter som avslöjades mars 2021 IoC Match
• Kända Granite Typhoon domäner och hashvärden
• Kända Seashell Blizzard IP
• Midnight Blizzard – Domän och IP-IOPS – mars 2021
• Kända fosforgruppsdomäner/IP
• Kända Forest Blizzard-gruppdomäner – juli 2019
• Solorigate Network Beacon
• Emerald Sleet-domäner som ingår i DCU-nedtagning
• Kända Diamond Sleet Comebacker och Klackring malware hashes
• Kända Ruby Sleet-domäner och hashvärden
• Kända NICKEL-domäner och hashvärden
• Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
• Solorigate Network Beacon

Säkerhetsinnehåll för filaktivitet

Följande inbyggda filaktivitetsinnehåll stöds för ASIM-normalisering.

• Äldre IOK-baserad hotidentifiering

Analysregler

• SUNBURST- och SUPERNOVA-bakdörrshasher (normaliserade filhändelser)
• Exchange Server sårbarheter som avslöjades mars 2021 IoC Match
• Silk Typhoon UM Service skriver misstänkt fil
• Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
• SKAPA SUNSPOT-loggfil
• Kända Diamond Sleet Comebacker och Klackring malware hashes
• Cadet Blizzard Skådespelare IOK - Januari 2022
• Midnight Blizzard IOCs relaterade till FoggyWeb bakdörr

Säkerhetsinnehåll för nätverkssessioner

Följande inbyggda nätverkssessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar

• Grundläggande om nätverkssession
• Log4j Sårbarhetsidentifiering
• Äldre IOK-baserad hotidentifiering

Analysregler

• Log4j vulnerability exploit aka Log4Shell IP IOC
• Överdrivet antal misslyckade anslutningar från en enda källa (ASIM-nätverkssessionsschema)
• Potentiell beaconing-aktivitet (ASIM-nätverkssessionsschema)
• (Förhandsversion) TI mappar IP-entitet till nätverkssessionshändelser (ASIM-schema för nätverkssession)
• Portgenomsökning har identifierats (ASIM-nätverkssessionsschema)
• Kända Barium IP-adresser
• Exchange Server sårbarheter som avslöjades mars 2021 IoC Match
• [Kända Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
• Kända Forest Blizzard-gruppdomäner – juli 2019

Jaktfrågor

• Anslutning från extern IP-adress till OMI-relaterade portar

Bearbeta aktivitetssäkerhetsinnehåll

Följande inbyggda processaktivitetsinnehåll stöds för ASIM-normalisering.

Lösningar

• Endpoint Threat Protection Essentials
• Äldre IOK-baserad hotidentifiering

Analysregler

• Sannolik användning av verktyget AdFind Recon (normaliserade processhändelser)
• Base64-kodade kommandorader för Windows-processer (normaliserade processhändelser)
• Skadlig kod i papperskorgen (normaliserade processhändelser)
• Midnight Blizzard – misstänkt rundll32.exe körning av vbscript (normaliserade processhändelser)
• SUNBURST misstänkta underordnade SolarWinds-processer (normaliserade processhändelser)

Jaktfrågor

• Daglig sammanfattning av Cscript-skript (normaliserade processhändelser)
• Uppräkning av användare och grupper (normaliserade processhändelser)
• Exchange PowerShell Snapin har lagts till (normaliserade processhändelser)
• Värd som exporterar postlåda och tar bort export (normaliserade processhändelser)
• Invoke-PowerShellTcpOneLine-användning (normaliserade processhändelser)
• Nishang Reverse TCP Shell i Base64 (normaliserade processhändelser)
• Sammanfattning av användare som skapats med ovanliga/odokumenterade kommandoradsväxlar (normaliserade processhändelser)
• Powercat-nedladdning (normaliserade processhändelser)
• PowerShell-nedladdningar (normaliserade processhändelser)
• Entropy för processer för en viss värd (normaliserade processhändelser)
• SolarWinds-inventering (normaliserade processhändelser)
• Misstänkt uppräkning med hjälp av verktyget Adfind (normaliserade processhändelser)
• Avstängning/omstart av Windows-system (normaliserade processhändelser)
• Certutil (LOLBins och LOLScripts, Normalized Process Events)
• Rundll32 (LOLBins och LOLScripts, Normalized Process Events)
• Ovanliga processer – nedersta 5 % (normaliserade processhändelser)
• Unicode-obfuscation i kommandoraden

Säkerhetsinnehåll för registeraktivitet

Följande inbyggda registeraktivitetsinnehåll stöds för ASIM-normalisering.

Analysregler

• Potentiell Fodhelper UAC Bypass (ASIM-version)

Jaktfrågor

• Spara via IFEO-registernyckeln

Säkerhetsinnehåll för webbsessioner

Följande inbyggda webbsessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar

• Log4j Sårbarhetsidentifiering
• Hotinformation

Analysregler

• (Förhandsversion) TI mappar domänentitet till webbsessionshändelser (ASIM-webbsessionsschema)
• (Förhandsversion) TI mappar IP-entitet till webbsessionshändelser (ASIM-webbsessionsschema)
• Potentiell kommunikation med ett DGA-baserat värdnamn (ASIM Network Session-schema)
• En klient gjorde en webbbegäran till en potentiellt skadlig fil (ASIM-webbsessionsschema)
• En värd kan potentiellt köra en kryptografiproverare (ASIM-webbsessionsschema)
• En värd kan potentiellt köra ett hackningsverktyg (ASIM-webbsessionsschema)
• En värd kan potentiellt köra PowerShell för att skicka HTTP(S)-begäranden (ASIM-webbsessionsschema)
• Discord CDN Risky File Download (ASIM Web Session Schema)
• Överdrivet antal HTTP-autentiseringsfel från en källa (ASIM-webbsessionsschema)
• Kända Barium-domäner
• Kända Barium IP-adresser
• Kända Ruby Sleet-domäner och hashvärden
• Kända Seashell Blizzard IP
• Kända NICKEL-domäner och hashvärden
• Midnight Blizzard – Domän och IP-IOPS – mars 2021
• Midnight Blizzard – Domän, hash och IP-IOPS – maj 2021
• Kända fosforgruppsdomäner/IP
• Användaragentsökning efter log4j-exploateringsförsök

Nästa steg

I den här artikeln beskrivs innehållet i ASIM (Advanced Security Information Model).

Mer information finns i:

• Titta på webbseminariet för djupdykning i Microsoft Sentinel, normalisera parser och normaliserat innehåll eller granska bilderna
• Översikt över Advanced Security Information Model (ASIM)
• ASIM-scheman (Advanced Security Information Model)
• Parser för Advanced Security Information Model (ASIM)
• Använda Advanced Security Information Model (ASIM)
• Ändra Microsoft Sentinel-innehåll till att använda ASIM-parser (Advanced Security Information Model)