محتوى أمان نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

يتضمن محتوى الأمان الذي تمت تسويته في Microsoft Sentinel قواعد التحليلات واستعلامات التتبع والمصنفات التي تعمل مع تحليلات التسوية الموحدة.

يمكنك العثور على محتوى عادي ومضمن في معارض وحلول Microsoft Sentinel، أو إنشاء المحتوى الذي تمت تسويته، أو تعديل المحتوى الموجود لاستخدام البيانات التي تمت تسويتها.

تسرد هذه المقالة محتوى Microsoft Sentinel المضمن الذي تم تكوينه لدعم نموذج معلومات الأمان المتقدم (ASIM). بينما يتم توفير ارتباطات إلى مستودع GitHub Microsoft Sentinel أدناه كمرجع، يمكنك أيضا العثور على هذه القواعد في معرض قواعد Microsoft Sentinel Analytics. استخدم صفحات GitHub المرتبطة لنسخ أي استعلامات تتبع ذات صلة.

لفهم كيفية احتواء المحتوى الذي تمت تسويته داخل بنية ASIM، راجع الرسم التخطيطي لبنية ASIM.

تلميح

شاهد أيضا مؤتمر ويب Deep Dive على Microsoft Sentinel Normalizing Parsers and Normalized Content أو راجع الشرائح. لمزيد من المعلومات، راجع الخطوات التالية.

هام

ASIM قيد المعاينة حاليا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

محتوى أمان المصادقة

يتم دعم محتوى المصادقة المضمن التالي لتطبيع ASIM.

قواعد التحليلات

• هجوم رش كلمة المرور المحتملة (يستخدم تطبيع المصادقة)
• هجوم القوة الغاشمة على بيانات اعتماد المستخدم (يستخدم تسوية المصادقة)
• تسجيل دخول المستخدم من بلدان مختلفة في غضون 3 ساعات (يستخدم تسوية المصادقة)
• عمليات تسجيل الدخول من عناوين IP التي تحاول تسجيل الدخول إلى الحسابات المعطلة (يستخدم تسوية المصادقة)

محتوى أمان استعلام DNS

يتم دعم محتوى استعلام DNS المضمن التالي لتطبيع ASIM.

قواعد التحليلات

• (معاينة) TI تعيين كيان المجال لأحداث DNS (مخطط DNS ASIM)
• (معاينة) TI تعيين كيان IP لأحداث DNS (مخطط DNS ASIM)
• تم الكشف عن DGA المحتملة (ASimDNS)
• استعلامات NXDOMAIN DNS المفرطة (مخطط DNS ASIM)
• أحداث DNS المتعلقة بتجمعات التعدين (مخطط DNS ASIM)
• أحداث DNS المتعلقة بوكلاء ToR (مخطط DNS ASIM)
• مجالات Barium المعروفة
• عناوين IP الباريوم المعروفة
• الكشف عن نقاط الضعف Exchange Server مارس 2021 IoC Match
• مجالات وتجزئات GALLIUM المعروفة
• IP IRIDIUM المعروف
• نوبليوم - المجال وIP IOCs - مارس 2021
• مجالات مجموعة الفوسفور المعروفة/IP
• مجالات مجموعة STRONTIUM المعروفة - يوليو 2019
• Solorigate Network Beacon
• مجالات THALLIUM المضمنة في إيقاف DCU
• تجزئات البرامج الضارة المعروفة ل الزنك والزنك
• مجالات وتجزئات CERIUM المعروفة
• مجالات وتجزئات النيكل المعروفة
• نوبليوم - المجال والتجزئة وIP IOCs - مايو 2021
• Solorigate Network Beacon

محتوى أمان نشاط الملف

يتم دعم محتوى نشاط الملف المضمن التالي لتطبيع ASIM.

القواعد التحليلية

• تجزئات المستند الخلفي SUNBURST و SUPERNOVA (أحداث الملفات التي تمت تسويتها)
• الكشف عن نقاط الضعف Exchange Server مارس 2021 IoC Match
• خدمة HAFNIUM UM لكتابة ملف مريب
• نوبليوم - المجال والتجزئة وIP IOCs - مايو 2021
• إنشاء ملف سجل SUNSPOT
• تجزئات البرامج الضارة المعروفة ل الزنك والزنك
• DEV-0586 Actor IOC - يناير 2022
• بطاقات IOCs الخاصة ب FOGGYWeb ذات الصلة بالمستند الخلفي ل FoggyWeb

محتوى أمان جلسة عمل الشبكة

يتم دعم المحتوى التالي المرتبط بجلسة عمل الشبكة المضمنة لتطبيع ASIM.

قواعد التحليلات

• استغلال الثغرة الأمنية Log4j المعروف أيضا باسم Log4Shell IP IOC
• العدد الزائد للاتصالات الفاشلة من مصدر واحد (مخطط جلسة عمل شبكة ASIM)
• نشاط التوجيه المحتمل (مخطط جلسة عمل شبكة ASIM)
• (معاينة) TI تعيين كيان IP إلى أحداث جلسة عمل الشبكة (مخطط جلسة عمل شبكة ASIM)
• تم الكشف عن فحص المنفذ (مخطط جلسة عمل شبكة ASIM)
• عناوين IP الباريوم المعروفة
• الكشف عن نقاط الضعف Exchange Server مارس 2021 IoC Match
• IP IRIDIUM المعروف
• نوبليوم - المجال والتجزئة وIP IOCs - مايو 2021
• مجالات مجموعة STRONTIUM المعروفة - يوليو 2019

باستعلامات الاصطياد

• الاتصال من IP الخارجي إلى المنافذ ذات الصلة ب OMI

مصنفات

• مصنف التحليل الذكي للمخاطر

معالجة محتوى أمان النشاط

يتم دعم محتوى نشاط العملية المضمنة التالي لتطبيع ASIM.

قواعد التحليلات

• استخدام أداة AdFind Recon المحتمل (أحداث العملية العادية)
• أسطر أوامر عملية Base64 المرمزة Windows (أحداث العملية التي تمت تسويتها)
• البرامج الضارة في سلة المحذوفات (أحداث العملية التي تمت تسويتها)
• نوبليوم - تنفيذ rundll32.exe مشبوهة ل vbscript (أحداث العملية العادية)
• العمليات التابعة ل SUNBURST المشبوهة SolarWinds (أحداث العملية العادية)

باستعلامات الاصطياد

• تصنيف ملخص البرنامج النصي اليومي (أحداث العملية العادية)
• تعداد المستخدمين والمجموعات (أحداث العملية العادية)
• تمت إضافة Exchange PowerShell Snapin (أحداث العملية التي تمت تسويتها)
• استضافة علبة البريد المصدرة وإزالة التصدير (أحداث العملية التي تمت تسويتها)
• استخدام Invoke-PowerShellTcpOneLine (أحداث العملية التي تمت تسويتها)
• Nishang عكس TCP Shell في Base64 (أحداث العملية التي تمت تسويتها)
• ملخص المستخدمين الذين تم إنشاؤهم باستخدام مفاتيح سطر الأوامر غير الشائعة/غير الموثقة (أحداث العملية العادية)
• تنزيل Powercat (أحداث العملية التي تمت تسويتها)
• تنزيلات PowerShell (أحداث العملية التي تمت تسويتها)
• إنتروبيا للعمليات لمضيف معين (أحداث العملية العادية)
• مخزون SolarWinds (أحداث العملية التي تمت تسويتها)
• تعداد مريب باستخدام أداة Adfind (أحداث العملية العادية)
• إيقاف تشغيل/إعادة تشغيل النظام Windows (أحداث العملية التي تمت تسويتها)
• Certutil (LOLBins وLOLScripts، أحداث العملية العادية)
• Rundll32 (LOLBins وLOLScripts، أحداث العملية التي تمت تسويتها)
• عمليات غير شائعة - أدنى 5٪ (أحداث العملية التي تمت تسويتها)
• Unicode Obfuscation في سطر الأوامر

محتوى أمان نشاط التسجيل

يتم دعم محتوى نشاط التسجيل المضمن التالي لتطبيع ASIM.

القواعد التحليلية

• تجاوز Fodhelper UAC المحتمل (إصدار ASIM)

باستعلامات الاصطياد

• الاستمرار عبر مفتاح تسجيل IFEO

محتوى أمان جلسة ويب

يتم دعم المحتوى المضمن التالي المتعلق بجلسة عمل الويب لتطبيع ASIM.

قواعد التحليلات

• (معاينة) TI تعيين كيان المجال إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM)
• (معاينة) TI تعيين كيان IP إلى أحداث جلسة ويب (مخطط جلسة ويب ASIM)
• الاتصال المحتمل مع اسم مضيف يستند إلى خوارزمية إنشاء المجال (DGA) (مخطط جلسة عمل شبكة ASIM)
• قدم عميل طلب ويب إلى ملف قد يكون ضارا (مخطط جلسة ويب ASIM)
• من المحتمل أن يقوم المضيف بتشغيل منجم تشفير (مخطط جلسة عمل ويب ASIM)
• من المحتمل أن يقوم المضيف بتشغيل أداة اختراق (مخطط جلسة ويب ASIM)
• من المحتمل أن يقوم المضيف بتشغيل PowerShell لإرسال طلبات HTTP(S) (مخطط جلسة عمل ويب ASIM)
• تنزيل ملف CDN غير آمن (مخطط جلسة عمل ويب ASIM)
• العدد المفرط لحالات فشل مصادقة HTTP من مصدر (مخطط جلسة ويب ASIM)
• مجالات Barium المعروفة
• عناوين IP الباريوم المعروفة
• مجالات وتجزئات CERIUM المعروفة
• IRIDIUM IP المعروف
• مجالات وتجزئات النيكل المعروفة
• نوبليوم - المجال وIP IOCs - مارس 2021
• نوبليوم - المجال والتجزئة وIP IOCs - مايو 2021
• مجالات مجموعة الفوسفور المعروفة/IP
• بحث عامل المستخدم عن محاولة استغلال log4j

الخطوات التالية

تتناول هذه المقالة محتوى نموذج معلومات الأمان المتقدم (ASIM).

لمزيد من المعلومات، انظر:

• شاهد مؤتمر ويب Deep Dive على Microsoft Sentinel Normalizing Parsers and Normalized Content أو راجع الشرائح
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدمة (ASIM)
• محللات نموذج معلومات الأمان المتقدمة (ASIM)
• استخدام نموذج معلومات الأمان المتقدم (ASIM)
• تعديل محتوى Microsoft Sentinel لاستخدام محللات نموذج معلومات الأمان المتقدم (ASIM)