ASIM (安全內容) 進階安全資訊模型

Microsoft Sentinel 中的標準化安全內容包括分析規則、搜尋查詢，以及與統一正規化解析器合作的工作簿。

你可以在 Microsoft Sentinel 的畫廊和解決方案中找到已正規化的內建內容，建立自己的正規化內容，或修改現有內容以使用正規化資料。

本文列出已設定支援 ASIM) 進階安全資訊模型 (內建的 Microsoft Sentinel 內容。 雖然 Microsoft Sentinel GitHub 倉庫的連結作為參考，你也可以在 Microsoft Sentinel Analytics 的規則庫中找到這些規則。 請使用連結的 GitHub 頁面複製任何相關的狩獵查詢。

要了解正規化內容如何融入 ASIM 架構，請參考 ASIM 架構圖。

認證安全內容

以下內建認證內容支援 ASIM 正規化。

分析規則

• 潛在的密碼噴射攻擊 (使用認證正規化)
• 針對使用者憑證的暴力破解攻擊 (使用認證正規化)
• 使用者在不同國家/地區3小時內登入 (使用認證正規化)
• 嘗試登入停用帳號的 IP (使用 Authentication Normalization)

檔案活動安全內容

以下內建的檔案活動內容支援 ASIM 正規化。

• 舊有的基於 IOC 的威脅偵測

分析規則

• SUNBURST 與 SUPERNOVA 後門雜湊 (正規化檔案事件)

登錄活動安全內容

以下內建登錄檔活動內容支援 ASIM 正規化。

分析規則

• 潛在的 Fodhelper UAC 繞過 (ASIM 版本)

狩獵查詢

• 透過 IFEO 登錄檔金鑰持續存在

DNS 查詢安全性內容

以下內建的 DNS 查詢內容支援 ASIM 正規化。

解決方案	分析規則
DNS 必備資料 Log4j 漏洞偵測 舊有的基於 IOC 的威脅偵測	TI 將網域實體映射到 DNS 事件 (ASIM DNS 結構) TI 將 IP 實體映射到 DNS 事件 (ASIM DNS 結構) 潛在的 DGA 偵測到 (ASimDNS) ASIM DNS 結構 (過多的 NXDOMAIN DNS 查詢) 與挖礦池相關的 DNS 事件 (ASIM DNS 架構) 與 ToR 代理相關的 DNS 事件 (ASIM DNS 結構) 已知的森林暴風雪群組網域 - 2019年7月

網路會話安全內容

以下內建的網路會話相關內容支援 ASIM 正規化。

解決方案	分析規則	狩獵查詢
網路會話必備 Log4j 漏洞偵測 舊有的基於 IOC 的威脅偵測	Log4j 漏洞利用，也就是 Log4Shell IP IOC 單一來源 (ASIM網路會話結構中，連線失敗次數過多) 潛在信標活動 (ASIM網路會話結構) TI 將 IP 實體映射到 Network Session Events (ASIM Network Session Schema) 偵測到 (ASIM 網路會話結構) 偵測到埠掃描 已知的森林暴風雪群組網域 - 2019年7月	外部 IP 與 OMI 相關埠的連接

程序活動安全內容

以下內建的製程活動內容支援 ASIM 正規化。

解決方案	分析規則	狩獵查詢
端點威脅防護要點 舊有的基於 IOC 的威脅偵測	可能的 AdFind Recon 工具使用 (正規化流程事件) Base64 編碼的 Windows 程序命令列 (正規化程序事件) 回收筒中的惡意軟體 (正規化程序事件) 午夜暴風雪 - vbscript 執行 rundll32.exe 可疑 (正規化過程事件) SUNBURST 可疑的 SolarWinds 子程序 (正規化過程事件)	Cscript 腳本每日摘要分解 (正規化流程事件) 使用者與群組的列舉 (正規化流程事件) Exchange PowerShell Snapin 新增了 (正規化的程序事件) 主機匯出信箱並移除匯出 (正規化流程事件) Invoke-PowerShellTcpOneLine 使用 (normalized process events) Base64 中的 Nishang 反向 TCP 殼層 (正規化程序事件) 使用罕見/未公開命令列交換器建立的使用者摘要 (正規化程序事件) Powercat 下載 (正規化流程事件) PowerShell 下載 (正規化程序事件) 對於特定宿主的程序熵 (正規化的程序事件) SolarWinds 的庫存 (正規化過程事件) 使用 Adfind 工具進行可疑列舉 (正規化過程事件) Windows 系統關機/重啟 (正規化的程序事件) Certutil (LOLBins 與 LOLScripts，正規化程序事件) Rundll32 (LOLBins 與 LOLScripts，正規化過程事件) 不常見流程 - 標準化流程事件 (底5%) 命令列中的 Unicode 混淆

網頁會話安全內容

以下內建的網頁會話相關內容支援 ASIM 正規化。

解決方案	分析規則
Log4j 漏洞偵測 威脅情報	TI 將網域實體映射至 (ASIM 網頁會話結構) TI 將 IP 實體映射到 ASIM 網頁會話結構 (Web Session 事件) 與基於 DGA) 的主機名稱 (ASIM 網路會話結構 (領域產生演算法的潛在通訊) 有客戶端對一個可能有害的檔案 (ASIM 網頁會話結構) 主機可能正在運行 (ASIM 網頁會話架構的加密礦工) 主機可能正在運行 (ASIM 網頁會話架構) 的駭客工具 主機可能正在執行 PowerShell，將 HTTP (S) 請求 (ASIM 網頁會話結構) Discord CDN Risky File 下載 (ASIM 網頁會話架構) 來自 ASIM 網頁會話結構 (來源的 HTTP 認證失敗過多) 使用者代理搜尋 Log4j 利用嘗試

相關內容

• ASIM (進階安全資訊模型) 概述
• ASIM) 架構 (進階安全資訊模型
• ASIM) 解析器 (進階安全資訊模型
• 修改Microsoft Sentinel內容以使用 ASIM) 解析器 (先進安全資訊模型
• Microsoft Sentinel 正規化解析器與正規化內容的深入網路研討會