Gelişmiş Güvenlik Bilgileri Modeli (ASIM) güvenlik içeriği

Microsoft Sentinel'daki normalleştirilmiş güvenlik içeriği analiz kurallarını, avcılık sorgularını ve normalleştirme ayrıştırıcılarını birleştiren çalışma kitaplarını içerir.

Microsoft Sentinel galerilerinde ve çözümlerinde normalleştirilmiş, yerleşik içerik bulabilir, kendi normalleştirilmiş içeriğinizi oluşturabilir veya mevcut içeriği normalleştirilmiş verileri kullanacak şekilde değiştirebilirsiniz.

Bu makalede, Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) destekleyecek şekilde yapılandırılmış yerleşik Microsoft Sentinel içeriği listelenmiştir. Başvuru olarak Microsoft Sentinel GitHub deposuna bağlantılar sağlansa da, bu kuralları Microsoft Sentinel Analytics kural galerisinde de bulabilirsiniz. İlgili avcılık sorgularını kopyalamak için bağlantılı GitHub sayfalarını kullanın.

Normalleştirilmiş içeriğin ASIM mimarisine nasıl uyduğunu anlamak için ASIM mimari diyagramına bakın.

İpucu

Ayrıca Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme Microsoft Sentinel ayrıntılı bakış web seminerini izleyin veya slaytları gözden geçirin. Daha fazla bilgi için bkz. Sonraki adımlar.

Kimlik doğrulaması güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik kimlik doğrulama içeriği desteklenir.

Analiz kuralları

Dosya Etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik dosya etkinliği içeriği desteklenir.

Analiz Kuralları

Kayıt defteri etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik kayıt defteri etkinlik içeriği desteklenir.

Analiz kuralları

Tehdit avcılığı sorguları

DNS sorgusu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik DNS sorgu içeriği desteklenir.

Çözümleri Analiz kuralları
DNS Temel Bileşenleri
Log4j Güvenlik Açığı Algılama
Eski IOC Tabanlı Tehdit Algılama		 TI, Etki alanı varlığını DNS Olaylarına eşler (ASIM DNS Şeması)
TI, IP varlığını DNS Olaylarına eşleme (ASIM DNS Şeması)
Olası DGA algılandı (ASimDNS)
Aşırı NXDOMAIN DNS Sorguları (ASIM DNS Şeması)
Madencilik havuzları ile ilgili DNS olayları (ASIM DNS Şeması)
ToR proxy'leriyle ilgili DNS olayları (ASIM DNS Şeması)
Bilinen Orman Tipi grubu etki alanları - Temmuz 2019

Ağ oturumu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik ağ oturumuyla ilgili içerik desteklenir.

Çözümleri Analiz kuralları Tehdit avcılığı sorguları
Ağ Oturumu Temel Bileşenleri
Log4j Güvenlik Açığı Algılama
Eski IOC Tabanlı Tehdit Algılama		 Log4j güvenlik açığı açığından yararlanma aka Log4Shell IP IOC
Tek bir kaynaktan (ASIM Ağ Oturumu şeması) çok fazla sayıda başarısız bağlantı
Olası işaret etkinliği (ASIM Ağ Oturumu şeması)
TI IP varlığını Ağ Oturumu Olayları ile eşleme (ASIM Ağ Oturumu şeması)
Bağlantı noktası taraması algılandı (ASIM Ağ Oturumu şeması)
Bilinen Orman Tipi grubu etki alanları - Temmuz 2019		 Dış IP'den OMI ile ilgili Bağlantı Noktalarına bağlantı

İşlem etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik işlem etkinliği içeriği desteklenir.

Çözümleri Analiz kuralları Tehdit avcılığı sorguları
Endpoint Threat Protection Essentials
Eski IOC Tabanlı Tehdit Algılama		 Olası AdFind Keşif Aracı Kullanımı (Normalleştirilmiş İşlem Olayları)
Base64 kodlanmış Windows işlem komut satırları (Normalleştirilmiş İşlem Olayları)
Geri dönüşüm kutusundaki kötü amaçlı yazılım (Normalleştirilmiş İşlem Olayları)
Gece Yarısı Tipi - vbscript'in şüpheli rundll32.exe yürütülmesi (Normalleştirilmiş İşlem Olayları)
SUNBURST şüpheli SolarWinds alt işlemleri (Normalleştirilmiş İşlem Olayları)		 Cscript betiği günlük özet dökümü (Normalleştirilmiş İşlem Olayları)
Kullanıcıların ve grupların numaralandırması (Normalleştirilmiş İşlem Olayları)
Exchange PowerShell Ek Bileşeni Eklendi (Normalleştirilmiş İşlem Olayları)
Posta Kutusunu Dışarı Aktarma ve Dışarı Aktarmayı Kaldırma Ana Bilgisayarı (Normalleştirilmiş İşlem Olayları)
Invoke-PowerShellTcpOneLine Kullanımı (Normalleştirilmiş İşlem Olayları)
Base64'te Nishang Ters TCP Kabuğu (Normalleştirilmiş İşlem Olayları)
Nadir/belgelenmemiş komut satırı anahtarları kullanılarak oluşturulan kullanıcıların özeti (Normalleştirilmiş İşlem Olayları)
Powercat İndirme (Normalleştirilmiş İşlem Olayları)
PowerShell indirmeleri (Normalleştirilmiş İşlem Olayları)
Belirli bir Konak için İşlemler için Entropi (Normalleştirilmiş İşlem Olayları)
SolarWinds Envanteri (Normalleştirilmiş İşlem Olayları)
Adfind aracını kullanarak şüpheli numaralandırma (Normalleştirilmiş İşlem Olayları)
Windows Sistem Kapatma/Yeniden Başlatma (Normalleştirilmiş İşlem Olayları)
Certutil (LOLBins ve LOLScripts, Normalleştirilmiş İşlem Olayları)
Rundll32 (LOLBin'ler ve LOLScript'ler, Normalleştirilmiş İşlem Olayları)
Yaygın olmayan işlemler - en alttaki %5 (Normalleştirilmiş İşlem Olayları)
Komut Satırında Unicode Karartma

Web oturumu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik web oturumuyla ilgili içerik desteklenir.

Çözümleri Analiz kuralları
Log4j Güvenlik Açığı Algılama
Tehdit Analizi		 TI, Etki Alanı varlığını Web Oturumu Olayları ile eşler (ASIM Web Oturumu şeması)
TI, IP varlığını Web Oturumu Olaylarına eşleme (ASIM Web Oturumu şeması)
Etki Alanı Oluşturma Algoritması (DGA) tabanlı konak adı (ASIM Ağ Oturumu şeması) ile olası iletişim
İstemci zararlı olabilecek bir dosyaya (ASIM Web Oturumu şeması) web isteğinde bulundu
Bir konak potansiyel olarak bir şifreleme madencisi çalıştırıyor (ASIM Web Oturumu şeması)
Bir ana bilgisayar potansiyel olarak bir korsanlık aracı çalıştırıyor (ASIM Web Oturumu şeması)
Bir konak, HTTP(S) istekleri göndermek için PowerShell çalıştırıyor (ASIM Web Oturumu şeması)
Diskord CDN Riskli Dosya İndirme (ASIM Web Oturumu Şeması)
Bir kaynaktan aşırı sayıda HTTP kimlik doğrulaması hatası (ASIM Web Oturumu şeması)
Log4j yararlanma girişimi için kullanıcı aracısı araması

Sonraki adımlar

Daha fazla bilgi için bkz.:

  • Last updated on