Advanced Security Information Model (ASIM) biztonsági tartalom (nyilvános előzetes verzió)

A Microsoft Sentinel normalizált biztonsági tartalma elemzési szabályokat, keresési lekérdezéseket és munkafüzeteket tartalmaz, amelyek a normalizálási elemzők egységesítésével működnek.

A Microsoft Sentinel-katalógusokban és - megoldásokban találhat normalizált, beépített tartalmakat, létrehozhat saját normalizált tartalmakat, vagy módosíthatja a meglévő tartalmakat a normalizált adatok használatához.

Ez a cikk az Advanced Security Information Model (ASIM) támogatásához konfigurált beépített Microsoft Sentinel-tartalmakat sorolja fel. Bár a Microsoft Sentinel GitHub-adattárra mutató hivatkozásokat alább találja hivatkozásként, ezeket a szabályokat a Microsoft Sentinel Analytics szabálygyűjteményében is megtalálhatja. A csatolt GitHub-oldalak használatával másolhatja a releváns keresési lekérdezéseket.

Ha szeretné megtudni, hogy a normalizált tartalom hogyan illeszkedik az ASIM-architektúrába, tekintse meg az ASIM-architektúra diagramot.

Tipp

Emellett watch a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content szolgáltatásban, vagy tekintse át a diákat. További információ: Következő lépések.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

Hitelesítési biztonsági tartalom

Az ASIM-normalizáláshoz az alábbi beépített hitelesítési tartalom támogatott.

Elemzési szabályok

• Lehetséges jelszópermetes támadás (hitelesítési normalizálást használ)
• Találgatásos támadás a felhasználói hitelesítő adatok ellen (hitelesítési normalizálást használ)
• Felhasználói bejelentkezés különböző országokból 3 órán belül (Hitelesítési normalizálást használ)
• Olyan IP-címekről érkező bejelentkezések, amelyek letiltott fiókokba próbálnak bejelentkezni (hitelesítési normalizálást használ)

DNS-lekérdezés biztonsági tartalma

Az ASIM-normalizáláshoz az alábbi beépített DNS-lekérdezési tartalom támogatott.

Megoldások

• DNS Essentials
• Log4j biztonsági rések észlelése
• Örökölt IOC-alapú fenyegetésészlelés

Elemzési szabályok

• (Előzetes verzió) TI-leképezési tartomány entitása DNS-eseményekhez (ASIM DNS-séma)
• (Előzetes verzió) TI-leképezési IP-entitás DNS-eseményekre (ASIM DNS-séma)
• Lehetséges DGA észlelve (ASimDNS)
• Túlzott NXDOMAIN DNS-lekérdezések (ASIM DNS-séma)
• A bányászati készletekhez kapcsolódó DNS-események (ASIM DNS-séma)
• ToR-proxykkal kapcsolatos DNS-események (ASIM DNS-séma)
• Ismert báriumtartományok
• Ismert bárium IP-címek
• Exchange Server 2021. márciusi IoC-mérkőzésen közzétett biztonsági rések
• Ismert gránit tájfun tartományok és kivonatok
• Ismert Seashell-hóvihar IP-címe
• Midnight Blizzard – Tartomány- és IP-IOC-k – 2021. március
• Ismert foszforcsoport-tartományok/IP-címek
• Ismert Forest Blizzard-csoporttartományok – 2019. július
• Solorigate Network Beacon
• A DCU-ban foglalt Smaragd Sleet-tartományok
• Ismert Diamond Sleet Comebacker és Klackring malware kivonatok
• Ismert Ruby Sleet-tartományok és kivonatok
• Ismert NICKEL-tartományok és kivonatok
• Midnight Blizzard – Domain, Hash és IP IOCs – 2021. május
• Solorigate Network Beacon

Fájltevékenység biztonsági tartalma

Az ASIM-normalizáláshoz az alábbi beépített fájltevékenység-tartalom támogatott.

• Örökölt IOC-alapú fenyegetésészlelés

Elemzési szabályok

• SUNBURST és SUPERNOVA háttérkivonatok (normalizált fájlesemények)
• Exchange Server 2021. márciusi IoC-mérkőzésen közzétett biztonsági rések
• Silk Typhoon UM Service, gyanús fájl írása
• Midnight Blizzard – Domain, Hash és IP IOCs – 2021. május
• SUNSPOT naplófájl létrehozása
• Ismert Diamond Sleet Comebacker és Klackring malware kivonatok
• Cadet Blizzard actor IOC – 2022. január
• Midnight Blizzard IOC kapcsolódó FoggyWeb backdoor

Hálózati munkamenet biztonsági tartalma

Az ASIM-normalizáláshoz az alábbi beépített hálózati munkamenetekhez kapcsolódó tartalom támogatott.

Megoldások

• Hálózati munkamenet alapvető elemei
• Log4j biztonsági rések észlelése
• Örökölt IOC-alapú fenyegetésészlelés

Elemzési szabályok

• Log4j biztonsági rés kiaknázása, más néven Log4Shell IP IOC
• Túl sok sikertelen kapcsolat egyetlen forrásból (ASIM hálózati munkamenet sémája)
• Lehetséges jelzőtevékenység (ASIM hálózati munkamenet sémája)
• (Előzetes verzió) TI ip-entitás leképezése hálózati munkameneteseményekbe (ASIM hálózati munkamenet sémája)
• Portvizsgálat észlelhető (ASIM hálózati munkamenet sémája)
• Ismert bárium IP-címek
• Exchange Server 2021. márciusi IoC-mérkőzésen közzétett biztonsági rések
• [Ismert SeaShell-hóvihar IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard – Domain, Hash és IP IOCs – 2021. május
• Ismert Forest Blizzard-csoporttartományok – 2019. július

Veszélyforrás-keresési lekérdezések

• Kapcsolat külső IP-címről OMI-hez kapcsolódó portokkal

Folyamattevékenység biztonsági tartalma

Az ASIM-normalizáláshoz az alábbi beépített folyamattevékenység-tartalom támogatott.

Megoldások

• Endpoint Threat Protection Essentials
• Örökölt IOC-alapú fenyegetésészlelés

Elemzési szabályok

• Valószínű AdFind recon tool usage (normalizált folyamatesemények)
• Base64 kódolású Windows-folyamat parancssorai (Normalizált folyamatesemények)
• Kártevők a lomtárban (normalizált folyamatesemények)
• Midnight Blizzard – gyanús rundll32.exe vbscript végrehajtása (normalizált folyamatesemények)
• SUNBURST gyanús SolarWinds gyermekfolyamatok (Normalizált folyamatesemények)

Veszélyforrás-keresési lekérdezések

• Cscript-szkript napi összefoglaló lebontása (Normalizált folyamatesemények)
• Felhasználók és csoportok számbavétele (Normalizált folyamatesemények)
• Exchange PowerShell beépülő modul hozzáadva (normalizált folyamatesemények)
• Gazdagép exportálása postaláda és exportálás eltávolítása (normalizált folyamatesemények)
• Invoke-PowerShellTcpOneLine-használat (normalizált folyamatesemények)
• Nishang Fordított TCP-rendszerhéj a Base64-ben (normalizált folyamatesemények)
• Nem gyakori/nem dokumentált parancssori kapcsolókkal létrehozott felhasználók összegzése (Normalizált folyamatesemények)
• Powercat-letöltés (normalizált folyamatesemények)
• PowerShell-letöltések (normalizált folyamatesemények)
• Entrópia egy adott gazdagép folyamataihoz (normalizált folyamatesemények)
• SolarWinds Inventory (Normalizált folyamatesemények)
• Gyanús enumerálás az Adfind eszközzel (normalizált folyamatesemények)
• Windows rendszer leállítása/újraindítása (normalizált folyamatesemények)
• Certutil (LOLBins és LOLScripts, normalizált folyamatesemények)
• Rundll32 (LOLBinek és LOLScriptek, normalizált folyamatesemények)
• Nem gyakori folyamatok – alsó 5% (Normalizált folyamatesemények)
• Unicode-elfedés a parancssorban

Beállításjegyzék-tevékenység biztonsági tartalma

Az ASIM normalizálásához az alábbi beépített beállításjegyzék-tevékenységtartalom támogatott.

Elemzési szabályok

• Lehetséges Fodhelper UAC-megkerülés (ASIM-verzió)

Veszélyforrás-keresési lekérdezések

• Megőrzés IFEO beállításkulcson keresztül

Webes munkamenet biztonsági tartalma

Az ASIM normalizálásához az alábbi beépített webes munkamenetekhez kapcsolódó tartalmak támogatottak.

Megoldások

• Log4j biztonsági rések észlelése
• Fenyegetések felderítése

Elemzési szabályok

• (Előzetes verzió) TI-leképezési tartományentitás webes munkamenetesemények (ASIM webes munkamenet sémája)
• (Előzetes verzió) TI ip-entitás leképezése webes munkameneteseményekbe (ASIM webes munkamenet sémája)
• Lehetséges kommunikáció egy DGA-alapú gazdagépnévvel (ASIM hálózati munkamenetséma)
• Egy ügyfél webes kérést küldött egy potenciálisan káros fájlra (ASIM webes munkamenet sémája)
• A gazdagép potenciálisan kriptovaluta bányászt futtat (ASIM webes munkamenet sémája)
• A gazdagép valószínűleg hackelési eszközt futtat (ASIM webes munkamenet sémája)
• A gazdagép valószínűleg a PowerShellt futtatja HTTP-kérések (ASIM webes munkamenetséma) küldéséhez
• CdN kockázatos fájl letöltésének diszkontolása (ASIM webes munkamenetséma)
• Túl sok HTTP-hitelesítési hiba egy forrásból (ASIM webes munkamenet sémája)
• Ismert báriumtartományok
• Ismert bárium IP-címek
• Ismert Ruby Sleet-tartományok és kivonatok
• Ismert SeaShell Blizzard IP
• Ismert NICKEL-tartományok és kivonatok
• Midnight Blizzard - Domain és IP IOCs - Március 2021
• Midnight Blizzard - Domain, Hash és IP IOCs - Május 2021
• Ismert foszforcsoport-tartományok/IP-címek
• A felhasználói ügynök a log4j kihasználtsági kísérletére keres

Következő lépések

Ez a cikk az Advanced Security Information Model (ASIM) tartalmát ismerteti.

További információkért lásd:

• Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Elemzők és normalizált tartalom normalizálása szolgáltatásában , vagy tekintse át a diákat
• Az Advanced Security Information Model (ASIM) áttekintése
• Advanced Security Information Model- (ASIM-) sémák
• Advanced Security Information Model (ASIM) elemzők
• Az Advanced Security Information Model (ASIM) használata
• Microsoft Sentinel-tartalom módosítása az Advanced Security Information Model (ASIM) elemzők használatára