你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
高级安全信息模型 (ASIM) 安全内容(公开预览)
Microsoft Sentinel 中的规范化安全内容包括分析规则、搜寻查询,以及使用统一的规范化分析程序的工作簿。
可在 Microsoft Sentinel 库和解决方案中查找规范化的内置内容、自行创建规范化内容或修改现有内容以使用规范化数据。
本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置 Microsoft Sentinel 内容。 虽然下面提供了 Microsoft Sentinel GitHub 存储库的链接作为参考,但也可在 Microsoft Sentinel Analytics 规则库中找到这些规则。 请使用链接的 GitHub 页复制任何相关的搜寻查询。
若要了解规范化内容如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
提示
另请观看关于 Microsoft Sentinel 规范化分析程序和规范化内容的深入探讨网络研讨会或查看幻灯片。 有关详细信息,请参阅后续步骤。
重要
ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
身份验证安全内容
ASIM 规范化支持以下内置身份验证内容。
分析规则
- 潜在的密码喷涂攻击(使用身份验证规范化)
- 对用户凭据进行的暴力攻击(使用身份验证规范化)
- 3 小时内来自不同国家/地区的用户登录(使用身份验证规范化)
- 尝试登录已禁用帐户的 IP 登录(使用身份验证规范化)
DNS 查询安全内容
ASIM 规范化支持以下内置 DNS 查询内容。
解决方案
分析规则
- (预览)DNS 事件(ASIM DNS 架构)的 TI 映射域实体
- (预览)DNS 事件(ASIM DNS 架构)的 TI 映射 IP 实体
- 检测到可能的 DGA (ASimDNS)
- NXDOMAIN DNS 查询过多(ASIM DNS 架构)
- 与挖掘池相关的 DNS 事件(ASIM DNS 架构)
- 与 ToR 代理相关的 DNS 事件(ASIM DNS 架构)
- 已知的 Barium 域
- 已知的 Barium IP 地址
- 2021 年 3 月 IoC 匹配中披露的 Exchange Server 漏洞
- 已知的 Granite Typhoon 域和哈希
- 已知的 Seashell Blizzard IP
- Midnight Blizzard - 域和 IP IOC - 2021 年 3 月
- 已知 Phosphorus 组域/IP
- 已知 Forest Blizzard 组域 - 2019 年 7 月
- Solorigate 网络信标
- 包含在 DCU 撤销中的 Emerald Sleet 域
- 已知 Diamond Sleet Comebacker 和 Klackring 恶意软件哈希
- 已知 Ruby Sleet 域和哈希
- 已知的 NICKEL 域和哈希
- Midnight Blizzard - 域、哈希和 IP IOC - 2021 年 5 月
- Solorigate 网络信标
文件活动安全内容
ASIM 规范化支持以下内置文件活动内容。
分析规则
- SUNBURST 和 SUPERNOVA 后门程序哈希(规范化文件事件)
- 2021 年 3 月 IoC 匹配中披露的 Exchange Server 漏洞
- Silk Typhoon UM 服务写入可疑文件
- Midnight Blizzard - 域、哈希和 IP IOC - 2021 年 5 月
- SUNSPOT 日志文件创建
- 已知 Diamond Sleet Comebacker 和 Klackring 恶意软件哈希
- Cadet Blizzard Actor IOC - 2022 年 1 月
- 与 FoggyWeb 后门程序相关的 Midnight Blizzard IOC
网络会话安全内容
ASIM 规范化支持以下内置网络会话相关内容。
解决方案
分析规则
- Log4j 漏洞攻击,又名 Log4Shell IP IOC
- 来自单一源的失败连接过多(ASIM 网络会话架构)
- 潜在信标活动(ASIM 网络会话架构)
- (预览)网络会话事件(ASIM 网络会话架构)的 TI 映射 IP 实体
- 检测到端口扫描(ASIM 网络会话架构)
- 已知的 Barium IP 地址
- 2021 年 3 月 IoC 匹配中披露的 Exchange Server 漏洞
- [已知 Seashell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard - 域、哈希和 IP IOC - 2021 年 5 月
- 已知 Forest Blizzard 组域 - 2019 年 7 月
搜寻查询
进程活动安全内容
ASIM 规范化支持以下内置进程活动内容。
解决方案
分析规则
- 可能的 AdFind Recon 工具使用情况(规范化进程事件)
- Base64 编码 Windows 进程命令行(规范化进程事件)
- 回收站中的恶意软件(规范化进程事件)
- Midnight Blizzard - vbscript 的可疑 rundll32.exe 执行(规范化进程事件)
- SUNBURST 可疑 SolarWinds 子进程(规范化进程事件)
搜寻查询
- Cscript 脚本每日摘要明细(规范化进程事件)
- 用户和组的枚举(规范化进程事件)
- 已添加 Exchange PowerShell 管理单元(规范化进程事件)
- 主机导出邮箱和删除导出(规范化进程事件)
- Invoke-PowerShellTcpOneLine 使用情况(规范化进程事件)
- Base64 的 Nishang 反向 TCP Shell(规范化进程事件)
- 使用非通用/未记录的命令行开关创建的用户摘要(规范化进程事件)
- Powercat 下载(规范化进程事件)
- PowerShell 下载(规范化进程事件)
- 给定主机的进程熵(规范化进程事件)
- SolarWinds 清单(规范化进程事件)
- 使用 Adfind 工具进行可疑枚举(规范化进程事件)
- Windows 系统关闭/重启(规范化进程事件)
- Certutil(LOLBin 和 LOLScript,规范化进程事件)
- Rundll32(LOLBin 和 LOLScript,规范化进程事件)
- 非通用进程 - 下 5%(规范化进程事件)
- 命令行中的 Unicode 模糊处理
注册表活动安全内容
ASIM 规范化支持以下内置注册表活动内容。
分析规则
搜寻查询
Web 会话安全内容
ASIM 规范化支持以下内置 Web 会话相关内容。
解决方案
分析规则
- (预览)Web 会话事件(ASIM Web 会话架构)的 TI 映射域实体
- (预览)Web 会话事件(ASIM Web 会话架构)的 TI 映射 IP 实体
- 与基于域生成算法 (DGA) 的主机名的潜在通信(ASIM 网络会话架构)
- 客户端向潜在危险文件发出 Web 请求(ASIM Web 会话架构)
- 主机可能正在运行加密矿工(ASIM Web 会话架构)
- 主机可能正在运行黑客工具(ASIM Web 会话架构)
- 主机可能正在运行 PowerShell 以发送 HTTP(S) 请求(ASIM Web 会话架构)
- Discord CDN 有风险的文件下载(ASIM Web 会话架构)
- 来自源的 HTTP 身份验证失败次数过多(ASIM Web 会话架构)
- 已知的 Barium 域
- 已知的 Barium IP 地址
- 已知 Ruby Sleet 域和哈希
- 已知的 Seashell Blizzard IP
- 已知的 NICKEL 域和哈希
- Midnight Blizzard - 域和 IP IOC - 2021 年 3 月
- Midnight Blizzard - 域、哈希和 IP IOC - 2021 年 5 月
- 已知 Phosphorus 组域/IP
- 用户代理搜索 log4j 漏洞攻击尝试
后续步骤
本文讨论高级安全信息模型 (ASIM) 内容。
有关详细信息,请参阅: