Aracılığıyla paylaş

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) güvenlik içeriği

Microsoft Sentinel'de normalleştirilmiş güvenlik içeriği, birleştirici normalleştirme ayrıştırıcılarıyla çalışan analiz kurallarını, tehdit avcılığı sorgularını ve çalışma kitaplarını içerir.

Microsoft Sentinel galerilerinde ve çözümlerinde normalleştirilmiş, yerleşik içerik bulabilir, kendi normalleştirilmiş içeriğinizi oluşturabilir veya mevcut içeriği normalleştirilmiş verileri kullanacak şekilde değiştirebilirsiniz.

Bu makalede, Gelişmiş Güvenlik Bilgileri Modeli'ni (ASIM) destekleyecek şekilde yapılandırılmış yerleşik Microsoft Sentinel içeriği listelenmiştir. Microsoft Sentinel GitHub deposuna bağlantılar başvuru olarak sağlansa da, bu kuralları Microsoft Sentinel Analytics kural galerisinde de bulabilirsiniz. İlgili tehdit avcılığı sorgularını kopyalamak için bağlantılı GitHub sayfalarını kullanın.

Normalleştirilmiş içeriğin ASIM mimarisine nasıl uyduğunu anlamak için ASIM mimari diyagramına bakın.

İpucu

Ayrıca Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin. Daha fazla bilgi için bkz. Sonraki adımlar.

Kimlik doğrulaması güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik kimlik doğrulama içeriği desteklenir.

Analiz kuralları

Dosya Etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik dosya etkinliği içeriği desteklenir.

Analiz Kuralları

Kayıt defteri etkinliği güvenlik içeriği

AsIM normalleştirmesi için aşağıdaki yerleşik kayıt defteri etkinlik içeriği desteklenir.

Analiz kuralları

Arama sorguları

DNS sorgusu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik DNS sorgu içeriği desteklenir.

Çözümler Analiz kuralları
DNS Temel Bileşenleri
Log4j Güvenlik Açığı Algılama
Eski IOC Tabanlı Tehdit Algılama		 TI, Etki Alanı varlığını DNS Olaylarına eşler (ASIM DNS Şeması)
TI, IP varlığını DNS Olaylarına eşleme (ASIM DNS Şeması)
Olası DGA algılandı (ASimDNS)
Aşırı NXDOMAIN DNS Sorguları (ASIM DNS Şeması)
Madencilik havuzları ile ilgili DNS olayları (ASIM DNS Şeması)
ToR proxy'leriyle ilgili DNS olayları (ASIM DNS Şeması)
Bilinen Orman Tipi grup etki alanları - Temmuz 2019

Ağ oturumu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik ağ oturumuyla ilgili içerik desteklenir.

Çözümler Analiz kuralları Arama sorguları
Ağ Oturumu Temel Bileşenleri
Log4j Güvenlik Açığı Algılama
Eski IOC Tabanlı Tehdit Algılama		 Log4j güvenlik açığı açıklarından yararlanma aka Log4Shell IP IOC
Tek bir kaynaktan aşırı sayıda başarısız bağlantı (ASIM Ağ Oturumu şeması)
Olası işaret etkinliği (ASIM Ağ Oturumu şeması)
TI, IP varlığını Ağ Oturumu Olaylarına eşleme (ASIM Ağ Oturumu şeması)
Bağlantı noktası taraması algılandı (ASIM Ağ Oturumu şeması)
Bilinen Orman Tipi grup etki alanları - Temmuz 2019		 Dış IP'den OMI ile ilgili Bağlantı Noktalarına bağlantı

İşlem etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik işlem etkinliği içeriği desteklenir.

Çözümler Analiz kuralları Arama sorguları
Endpoint Threat Protection Essentials
Eski IOC Tabanlı Tehdit Algılama		 Olası AdFind Keşif Aracı Kullanımı (Normalleştirilmiş İşlem Olayları)
Base64 kodlanmış Windows işlem komut satırları (Normalleştirilmiş İşlem Olayları)
Geri dönüşüm kutusundaki kötü amaçlı yazılım (Normalleştirilmiş İşlem Olayları)
Gece Yarısı Tipi - vbscript'in şüpheli rundll32.exe yürütülmesi (Normalleştirilmiş İşlem Olayları)
SUNBURST şüpheli SolarWinds alt işlemleri (Normalleştirilmiş İşlem Olayları)		 Cscript betiği günlük özet dökümü (Normalleştirilmiş İşlem Olayları)
Kullanıcı ve grupların numaralandırması (Normalleştirilmiş İşlem Olayları)
Exchange PowerShell Ek Bileşeni Eklendi (Normalleştirilmiş İşlem Olayları)
Posta Kutusunu Dışarı Aktarma ve Dışarı Aktarmayı Kaldırma (Normalleştirilmiş İşlem Olayları)
Invoke-PowerShellTcpOneLine Kullanımı (Normalleştirilmiş İşlem Olayları)
Base64'te Nishang Ters TCP Kabuğu (Normalleştirilmiş İşlem Olayları)
Yaygın olmayan/belgelenmemiş komut satırı anahtarları kullanılarak oluşturulan kullanıcıların özeti (Normalleştirilmiş İşlem Olayları)
Powercat İndirme (Normalleştirilmiş İşlem Olayları)
PowerShell indirmeleri (Normalleştirilmiş İşlem Olayları)
Belirli bir Konak için İşlemler için Entropi (Normalleştirilmiş İşlem Olayları)
SolarWinds Envanteri (Normalleştirilmiş İşlem Olayları)
Adfind aracını kullanarak şüpheli numaralandırma (Normalleştirilmiş İşlem Olayları)
Windows Sistem Kapatma/Yeniden Başlatma (Normalleştirilmiş İşlem Olayları)
Certutil (LOLBins ve LOLScripts, Normalleştirilmiş İşlem Olayları)
Rundll32 (LOLBins ve LOLScripts, Normalleştirilmiş İşlem Olayları)
Yaygın olmayan işlemler - en son %5 (Normalleştirilmiş İşlem Olayları)
Komut Satırında Unicode Gizleme

Web oturumu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik web oturumuyla ilgili içerik desteklenir.

Çözümler Analiz kuralları
Log4j Güvenlik Açığı Algılama
Tehdit Bilgileri		 TI, Etki Alanı varlığını Web Oturumu Olaylarına eşleme (ASIM Web Oturumu şeması)
TI, IP varlığını Web Oturumu Olaylarına eşleme (ASIM Web Oturumu şeması)
Etki Alanı Oluşturma Algoritması (DGA) tabanlı konak adı (ASIM Ağ Oturumu şeması) ile olası iletişim
İstemci zararlı olabilecek bir dosyaya web isteğinde bulundu (ASIM Web Oturumu şeması)
Bir konak potansiyel olarak bir şifreleme madencisi çalıştırıyor (ASIM Web Oturumu şeması)
Bir ana bilgisayar potansiyel olarak bir korsanlık aracı çalıştırıyor (ASIM Web Oturumu şeması)
Bir ana bilgisayar HTTP(S) istekleri göndermek için PowerShell çalıştırıyor (ASIM Web Oturumu şeması)
Discord CDN Riskli Dosya İndirme (ASIM Web Oturumu Şeması)
Kaynaktan aşırı sayıda HTTP kimlik doğrulaması hatası (ASIM Web Oturumu şeması)
Log4j yararlanma girişimi için kullanıcı aracısı araması

Sonraki adımlar

Daha fazla bilgi için bkz.

  • Last updated on