Dela via

Asim-säkerhetsinnehåll (Advanced Security Information Model)

Normaliserat säkerhetsinnehåll i Microsoft Sentinel innehåller analysregler, jaktfrågor och arbetsböcker som fungerar med enhetlig normaliseringsparsers.

Du kan hitta normaliserat, inbyggt innehåll i Microsoft Sentinel-gallerier och -lösningar, skapa ditt eget normaliserade innehåll eller ändra befintligt innehåll så att det använder normaliserade data.

Den här artikeln innehåller inbyggt Microsoft Sentinel-innehåll som har konfigurerats för att stödja ASIM (Advanced Security Information Model). Länkar till Microsoft Sentinel GitHub-lagringsplatsen finns som referens, men du kan också hitta dessa regler i Microsoft Sentinel Analytics-regelgalleriet. Använd de länkade GitHub-sidorna för att kopiera relevanta jaktfrågor.

Information om hur normaliserat innehåll passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.

Dricks

Titta också på webbseminariet djupdykning på Microsoft Sentinel Normalisera parsers och normaliserat innehåll eller granska bilderna. Mer information finns under Nästa steg.

Säkerhetsinnehåll för autentisering

Följande inbyggda autentiseringsinnehåll stöds för ASIM-normalisering.

Analysregler

Säkerhetsinnehåll för filaktivitet

Följande inbyggda filaktivitetsinnehåll stöds för ASIM-normalisering.

Analysregler

Säkerhetsinnehåll för registeraktivitet

Följande inbyggda registeraktivitetsinnehåll stöds för ASIM-normalisering.

Analysregler

Jaktfrågor

DNS-frågesäkerhetsinnehåll

Följande inbyggda DNS-frågeinnehåll stöds för ASIM-normalisering.

Lösningar Analysregler
DNS Essentials
Log4j Sårbarhetsidentifiering
Äldre IOK-baserad hotidentifiering		 TI mappar domänentitet till DNS-händelser (ASIM DNS-schema)
TI mappar IP-entitet till DNS-händelser (ASIM DNS-schema)
Potentiell DGA har identifierats (ASimDNS)
Överdrivna NXDOMAIN DNS-frågor (ASIM DNS-schema)
DNS-händelser relaterade till gruvpooler (ASIM DNS-schema)
DNS-händelser relaterade till ToR-proxyservrar (ASIM DNS-schema)
Kända Forest Blizzard-gruppdomäner – juli 2019

Säkerhetsinnehåll för nätverkssessioner

Följande inbyggda nätverkssessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar Analysregler Jaktfrågor
Grundläggande om nätverkssession
Log4j Sårbarhetsidentifiering
Äldre IOK-baserad hotidentifiering		 Log4j sårbarhetsexploatering aka Log4Shell IP IOC
Överdrivet antal misslyckade anslutningar från en enda källa (ASIM-nätverkssessionsschema)
Potentiell beaconing-aktivitet (ASIM-nätverkssessionsschema)
TI mappar IP-entitet till nätverkssessionshändelser (ASIM-nätverkssessionsschema)
Portgenomsökning har identifierats (ASIM-nätverkssessionsschema)
Kända Forest Blizzard-gruppdomäner – juli 2019		 Anslutning från extern IP-adress till OMI-relaterade portar

Bearbeta aktivitetssäkerhetsinnehåll

Följande inbyggda processaktivitetsinnehåll stöds för ASIM-normalisering.

Lösningar Analysregler Jaktfrågor
Endpoint Threat Protection Essentials
Äldre IOK-baserad hotidentifiering		 Sannolik användning av AdFind Recon Tool (normaliserade processhändelser)
Base64-kodade kommandorader för Windows-process (normaliserade processhändelser)
Skadlig kod i papperskorgen (normaliserade processhändelser)
Midnight Blizzard – misstänkt rundll32.exe körning av vbscript (normaliserade processhändelser)
SUNBURST misstänkta SolarWinds-underordnade processer (normaliserade processhändelser)		 Daglig sammanfattningssammanfattning för Cscript-skript (normaliserade processhändelser)
Uppräkning av användare och grupper (normaliserade processhändelser)
Exchange PowerShell Snapin har lagts till (normaliserade processhändelser)
Värd som exporterar postlåda och tar bort export (normaliserade processhändelser)
Invoke-PowerShellTcpOneLine-användning (normaliserade processhändelser)
Nishang Reverse TCP Shell i Base64 (normaliserade processhändelser)
Sammanfattning av användare som skapats med hjälp av ovanliga/odokumenterade kommandoradsväxlar (normaliserade processhändelser)
Powercat-nedladdning (normaliserade processhändelser)
PowerShell-nedladdningar (normaliserade processhändelser)
Entropi för processer för en viss värd (normaliserade processhändelser)
SolarWinds-inventering (normaliserade processhändelser)
Misstänkt uppräkning med hjälp av verktyget Adfind (normaliserade processhändelser)
Avstängning/omstart av Windows-system (normaliserade processhändelser)
Certutil (LOLBins och LOLScripts, normaliserade processhändelser)
Rundll32 (LOLBins och LOLScripts, normaliserade processhändelser)
Ovanliga processer – nedersta 5 % (normaliserade processhändelser)
Unicode Obfuscation i kommandoraden

Säkerhetsinnehåll för webbsessioner

Följande inbyggda webbsessionsrelaterat innehåll stöds för ASIM-normalisering.

Lösningar Analysregler
Log4j Sårbarhetsidentifiering
Hotinformation		 TI mappar domänentitet till webbsessionshändelser (ASIM-webbsessionsschema)
TI mappar IP-entitet till webbsessionshändelser (ASIM-webbsessionsschema)
Potentiell kommunikation med ett DGA-baserat värdnamn (ASIM Network Session-schema)
En klient gjorde en webbbegäran till en potentiellt skadlig fil (ASIM-webbsessionsschema)
En värd kör potentiellt en kryptominerare (ASIM-webbsessionsschema)
En värd kör potentiellt ett hackningsverktyg (ASIM-webbsessionsschema)
En värd kör eventuellt PowerShell för att skicka HTTP-begäranden (ASIM-webbsessionsschema)
Discord CDN Risky File Download (ASIM Web Session Schema)
För många HTTP-autentiseringsfel från en källa (ASIM-webbsessionsschema)
Sök efter Log4j-exploateringsförsök för användaragent

Nästa steg

Mer information finns i:

  • Last updated on