進階安全性資訊模型 (ASIM) 安全性內容 (公開預覽)
Microsoft Sentinel 中的正規化安全性內容包括分析規則、搜捕查詢,以及搭配統一正規化剖析器使用的活頁簿。
您可以在 Microsoft Sentinel 資源庫和解決方案中找到正規化的內建內容,建立您自己的正規化內容,或修改現有的內容以使用正規化資料。
本文列出已設定為支援進階安全性資訊模型 (ASIM) 的內建 Microsoft Sentinel 內容。 雖然以下提供 Microsoft Sentinel GitHub 存放庫的連結作為參考,但您也可以在 Microsoft Sentinel Analytics 規則庫中找到這些規則。 使用連結的 GitHub 分頁,複製任何相關的搜捕查詢。
若要了解正規化內容如何放入 ASIM 架構,請參閱 ASIM 架構圖。
提示
另請觀看有關 Microsoft Sentinel 正規化剖析器和正規化內容的深入探討網路研討會,或檢閱投影片。 如需詳細資訊,請參閱後續步驟。
重要
ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
驗證安全性內容
ASIM 正規化支援下列內建驗證內容。
Analytics 規則
- 潛在的密碼噴灑攻擊 (使用驗證正規化)
- 對使用者認證進行暴力密碼破解攻擊 (使用驗證正規化)
- 使用者在 3 小時內從不同國家/地區登入 (使用驗證正規化)
- 從 IP 登入,嘗試登入以停用帳戶 (使用驗證正規化)
DNS 查詢安全性內容
ASIM 正規化支援下列內建 DNS 查詢內容。
方案
Analytics 規則
- (預覽版) TI 會將網域實體對應至 DNS 事件 (ASIM DNS 結構描述)
- (預覽版) TI 將 IP 實體對應至 DNS 事件 (ASIM DNS 結構描述)
- 偵測到潛在的 DGA (ASimDNS)
- 過多的 NXDOMAIN DNS 查詢 (ASIM DNS 結構描述)
- 與採礦集區相關的 DNS 事件 (ASIM DNS 結構描述)
- 與 ToR Proxy 相關的 DNS 事件 (ASIM DNS 結構描述)
- 已知的 Barium 網域
- 已知的 Barium IP 位址
- Exchange Server 弱點揭露 2021 年 3 月 IoC 比對
- 已知的 Granite Typhoon 網域和雜湊
- 已知的 Seashell Blizzard IP
- 午夜 Blizzard - 網域和 IP IOC - 2021 年 3 月
- 已知的 Phosphorus 群組網域/IP
- 已知的樹系 Blizzard 群組網域 - 2019 年 7 月
- Solorigate 網路指標
- DCU 下帶中所含的 Azure Sleet 網域
- 已知的菱形 Sleet Comebacker 和 Klackring 惡意程式碼雜湊
- 已知的 Ruby Sleet 網域和雜湊
- 已知的 NICKEL 網域和雜湊
- 午夜 Blizzard - 網域、雜湊和 IP IOC - 2021 年 5 月
- Solorigate 網路指標
檔案活動安全性內容
ASIM 正規化支援下列內建檔案活動內容。
分析規則
- SUNBURST 和 SUPERNOVA 後門程式雜湊 (正規化檔案事件)
- Exchange Server 弱點揭露 2021 年 3 月 IoC 比對
- 寫入可疑檔案的 Silk Typhoon UM 服務
- 午夜 Blizzard - 網域、雜湊和 IP IOC - 2021 年 5 月
- SUNSPOT 記錄檔建立
- 已知的菱形 Sleet Comebacker 和 Klackring 惡意程式碼雜湊
- Cadet Blizzard 動作專案 IOC - 2022 年 1 月
- 與 FoggyWeb backdoor 相關的午夜 Blizzard IOC
網路工作階段安全性內容
ASIM 正規化支援下列內建網路工作階段相關內容。
方案
Analytics 規則
- Log4j 弱點惡意探索,也稱為 Log4Shell IP IOC
- 單一來源的失敗連線數目過多 (ASIM 網路工作階段結構描述)
- 潛在的指標活動 (ASIM 網路工作階段結構描述)
- (預覽版) TI 會將 IP 實體對應至網路工作階段事件 (ASIM 網路工作階段結構描述)
- 已偵測到連接埠掃描 (ASIM 網路工作階段結構描述)
- 已知的 Barium IP 位址
- Exchange Server 弱點揭露 2021 年 3 月 IoC 比對
- [已知的 Seashell Blizzard IP (https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- 午夜 Blizzard - 網域、雜湊和 IP IOC - 2021 年 5 月
- 已知的樹系 Blizzard 群組網域 - 2019 年 7 月
搜捕查詢
流程活動安全性內容
ASIM 正規化支援下列內建流程活動內容。
方案
Analytics 規則
- 可能的 AdFind 偵察工具使用方式 (正規化處理程序事件)
- Base64 編碼 Windows 處理程序命令列 (正規化處理程序事件)
- 資源回收桶中的惡意程式碼 (正規化處理程序事件)
- 午夜 Blizzard - vbscript (正規化進程事件的可疑rundll32.exe執行)
- SUNBURST 可疑的 SolarWinds (正規化處理程序事件)
搜捕查詢
- Cscript 指令碼每日摘要明細 (正規化處理程序事件)
- 列舉使用者和群組 (正規化處理程序事件)
- 新增 Exchange PowerShell 嵌入式管理單元 (正規化處理程序事件)
- 主機匯出箱和移除匯出 (正規化處理程序事件)
- 叫用 PowerShellTcpOneLine 使用方式 (正規化處理程序事件)
- Base64 中的 Nishang 反向 TCP 殼層 (正規化處理程序事件)
- 使用不常見/未記載的命令列參數建立的使用者概觀 (正規化處理程序事件)
- Powercat 下載 (正規化處理程序事件)
- PowerShell 下載 (正規化處理程序事件)
- 針對指定主機的處理程序熵 (正規化處理程序事件)
- SolarWinds 詳細目錄 (正規化處理程序事件)
- 使用 Adfibd 工具的可疑列舉 (正規化處理程序事件)
- Windows 系統關機/重新開機 (正規化處理程序事件)
- Certutil (LOLBins 和 LOLScripts,正規化處理程序事件)
- Rundll32 (LOLBins 和 LOLScripts,正規化處理程序事件)
- 不常見的處理程序 - 最低的 5% (正規化處理程序事件)
- 命令列中的Unicode 混淆
登錄活動安全性內容
ASIM 正規化支援下列內建登錄活動內容。
Analytics 規則
搜捕查詢
Web 工作階段安全性內容
ASIM 正規化支援下列內建 Web 工作階段相關內容。
方案
Analytics 規則
- (預覽版) TI 將網域實體對應至 Web 工作階段事件 (ASIM Web 工作階段結構描述)
- (預覽版) TI 將 IP 實體對應至 Web 工作階段事件 (ASIM Web 工作階段結構描述)
- 與網域產生演算法 (DGA) 型主機名稱 (ASIM 網路工作階段結構描述) 的潛在通訊
- 用戶端對可能有害的檔案 (ASIM Web 工作階段結構描述) 提出 Web 要求
- 主機可能正在執行加密貨幣挖礦 (ASIM Web 工作階段結構描述)
- 主機可能正在執行駭客工具 (ASIM Web 工作階段結構描述)
- 主機可能正在執行 PowerShell 以傳送 HTTP(S) 要求 (ASIM Web 工作階段結構描述)
- 捨棄 CDN 風險檔案下載 (ASIM Web 工作階段結構描述)
- 來源的 HTTP 驗證失敗數目過多 (ASIM Web 工作階段結構描述)
- 已知的 Barium 網域
- 已知的 Barium IP 位址
- 已知的 Ruby Sleet 網域和雜湊
- 已知的 Seashell Blizzard IP
- 已知的 NICKEL 網域和雜湊
- 午夜 Blizzard - 網域和 IP IOC - 2021 年 3 月
- 午夜 Blizzard - 網域、雜湊和 IP IOC - 2021 年 5 月
- 已知的 Phosphorus 群組網域/IP
- 使用者代理程式嘗試搜尋 log4j 惡意探索
後續步驟
本文討論進階安全性資訊模型 (ASIM) 內容。
如需詳細資訊,請參閱