Obsah zabezpečení MODELU ASIM (Advanced Security Information Model) (Public Preview)
Normalizovaný obsah zabezpečení ve službě Microsoft Sentinel zahrnuje analytická pravidla, dotazy proaktivního vyhledávání a sešity, které pracují se sjednocením analyzátorů normalizace.
V galeriích a řešeních služby Microsoft Sentinel můžete najít normalizovaný integrovaný obsah, vytvořit si vlastní normalizovaný obsah nebo upravit existující obsah tak, aby používal normalizovaná data.
Tento článek obsahuje seznam předdefinovaného obsahu služby Microsoft Sentinel, který byl nakonfigurován pro podporu modelu ASIM (Advanced Security Information Model). Odkazy na úložiště Microsoft Sentinel Na GitHubu jsou uvedeny níže, ale tato pravidla najdete také v galerii pravidel Microsoft Sentinel Analytics. Pomocí propojených stránek GitHubu můžete zkopírovat všechny relevantní dotazy proaktivního vyhledávání.
Informace o tom, jak normalizovaný obsah zapadá do architektury ASIM, najdete v diagramu architektury ASIM.
Tip
Také watch podrobného webináře o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky. Další informace najdete v části Další kroky.
Důležité
ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.
Obsah zabezpečení ověřování
Normalizace ASIM podporuje následující předdefinovaný obsah ověřování.
Analytická pravidla
- Potenciální útok password spray (používá normalizaci ověřování)
- Útok hrubou silou na přihlašovací údaje uživatele (používá normalizaci ověřování)
- Přihlášení uživatele z různých zemí do 3 hodin (používá normalizaci ověřování)
- Přihlášení z IP adres, které se pokoušejí přihlásit k zakázaným účtům (používá normalizaci ověřování)
Obsah zabezpečení dotazů DNS
Normalizace ASIM podporuje následující předdefinovaný obsah dotazů DNS.
Řešení
Analytická pravidla
- (Preview) Ti mapuje entitu domény na události DNS (schéma ASIM DNS)
- (Preview) Ti mapuje entitu IP na události DNS (schéma DNS ASIM)
- Potenciální zjištění DGA (ASimDNS)
- Nadměrné množství dotazů DNS NXDOMAIN (schéma DNS ASIM)
- Události DNS související s fondy dolování (schéma DNS ASIM)
- Události DNS související s proxy serverem ToR (schéma ASIM DNS)
- Známé baryové domény
- Známé IP adresy barya
- Exchange Server ohrožení zabezpečení zveřejněná v březnu 2021 – shoda IoC
- Známé žulové typhoonové domény a hodnoty hash
- Známá IP adresa mušle Blizzard
- Midnight Blizzard – doména a IOC IP adres – březen 2021
- Známé domény skupiny fosforu / IP adresa
- Známé domény skupiny Forest Blizzard – červenec 2019
- Solorigate Síťový signál
- Smaragdové sleet domény zahrnuté v dcu takedown
- Známé hodnoty hash malwaru Diamond Sleet Comebacker a Klackring
- Známé domény a hodnoty hash Ruby Sleet
- Známé domény a hodnoty hash niklu
- Midnight Blizzard – doména, hodnota hash a IOC IP adres – květen 2021
- Solorigate Síťový signál
Obsah zabezpečení aktivity souborů
Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivity souborů.
Analytická pravidla
- Hodnoty hash zadních vrátek SUNBURST a SUPERNOVA (normalizované události souborů)
- Exchange Server ohrožení zabezpečení zveřejněná v březnu 2021 – shoda IoC
- Silk Typhoon UM Service zapisuje podezřelý soubor
- Midnight Blizzard – doména, hodnota hash a IOC IP adres – květen 2021
- Vytvoření souboru protokolu SUNSPOT
- Známé hodnoty hash malwaru Diamond Sleet Comebacker a Klackring
- Kadet Blizzard Actor IOC - leden 2022
- IoC Midnight Blizzard související se zadními vrátky FoggyWeb
Obsah zabezpečení relace sítě
Normalizace ASIM podporuje následující předdefinovaný obsah související se síťovými relacemi.
Řešení
- Základy síťových relací
- Detekce ohrožení zabezpečení Log4j
- Detekce hrozeb založených na IOC starší verze
Analytická pravidla
- Log4j vulnerability exploit neboli Log4Shell IP IOC
- Nadměrný počet neúspěšných připojení z jednoho zdroje (schéma síťové relace ASIM)
- Potenciální aktivita signálu (schéma síťové relace ASIM)
- (Preview) Ti mapuje entitu IP na události síťové relace (schéma síťové relace ASIM)
- Zjištění kontroly portů (schéma síťové relace ASIM)
- Známé IP adresy barya
- Exchange Server ohrožení zabezpečení zveřejněná v březnu 2021 – shoda IoC
- [Známá IP adresa mušle Blizzard(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard – doména, hodnota hash a IOC IP adres – květen 2021
- Známé domény skupiny Forest Blizzard – červenec 2019
Proaktivní dotazy
Obsah zabezpečení aktivit procesů
Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivit procesů.
Řešení
Analytická pravidla
- Pravděpodobné použití nástroje AdFind Recon (normalizované události procesu)
- Příkazové řádky procesů s kódováním Base64 ve Windows (normalizované události procesu)
- Malware v koši (normalizované události procesu)
- Midnight Blizzard – podezřelé rundll32.exe spuštění vbscriptu (normalizované události procesu)
- SUNBURST – podezřelé podřízené procesy SolarWinds (normalizované události procesů)
Proaktivní dotazy
- Denní souhrnný rozpis skriptu CScript (normalizované události procesu)
- Výčet uživatelů a skupin (normalizované události procesu)
- Přidaný modul snapin Exchange PowerShellu (normalizované události procesu)
- Export poštovní schránky hostitele a odebrání exportu (normalizované události procesu)
- Použití Invoke-PowerShellTcpOneLine (normalizované události procesu)
- Prostředí Nishang Reverse TCP v Base64 (normalizované události procesu)
- Souhrn uživatelů vytvořených pomocí neobvyklých nebo nezdokumentovaných přepínačů příkazového řádku (normalizované události procesu)
- Stažení Powercatu (normalizované události procesu)
- Stažení PowerShellu (normalizované události procesu)
- Entropie pro procesy pro daného hostitele (normalizované události procesu)
- Inventář solarWinds (normalizované události procesů)
- Podezřelý výčet pomocí nástroje Adfind (normalizované události procesu)
- Vypnutí/restartování systému Windows (normalizované události procesu)
- Certutil (LOLBins a LOLScripts, normalizované události procesu)
- Rundll32 (LOLBins a LOLScripts, normalizované události procesu)
- Neobvyklé procesy – nejnižší 5 % (normalizované události procesu)
- Obfuskace Unicode v příkazovém řádku
Obsah zabezpečení aktivit registru
Pro normalizaci ASIM se podporuje následující předdefinovaný obsah aktivit registru.
Analytická pravidla
Proaktivní dotazy
Obsah zabezpečení webové relace
Normalizace ASIM podporuje následující předdefinovaný obsah související s webovými relacemi.
Řešení
Analytická pravidla
- (Preview) Ti mapuje entitu domény na události webové relace (schéma webové relace ASIM)
- (Preview) Ti mapuje entitu IP na události webové relace (schéma webové relace ASIM)
- Potenciální komunikace s názvem hostitele založeným na algoritmu generování domény (DGA) (schéma síťové relace ASIM)
- Klient vytvořil webový požadavek na potenciálně škodlivý soubor (schéma webové relace ASIM).
- Hostitel potenciálně spouští kryptografický miner (schéma webové relace ASIM).
- Hostitel potenciálně spouští nástroj hacking (schéma webové relace ASIM).
- Hostitel potenciálně používá PowerShell k odesílání požadavků HTTP(S) (schéma webové relace ASIM).
- Discord CDN Risky File Download (schéma webové relace ASIM)
- Nadměrný počet selhání ověřování HTTP ze zdroje (schéma webové relace ASIM)
- Známé baryové domény
- Známé IP adresy barya
- Známé domény a hodnoty hash Ruby Sleet
- Známá IP adresa mušle Blizzard
- Známé domény a hodnoty hash niklu
- Midnight Blizzard – doména a IOC IP adres – březen 2021
- Midnight Blizzard – doména, hodnota hash a IOC IP adres – květen 2021
- Známé domény skupiny fosforu / IP adresa
- Hledání pokusu o zneužití log4j uživatelským agentem
Další kroky
Tento článek popisuje obsah modelu ASIM (Advanced Security Information Model).
Další informace naleznete v tématu:
- Podívejte se na webinář s podrobnými informacemi o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky.
- Přehled advanced Security Information Model (ASIM)
- Schémata ASIM (Advanced Security Information Model)
- Analyzátory ASIM (Advanced Security Information Model)
- Použití modelu ASIM (Advanced Security Information Model)
- Úprava obsahu služby Microsoft Sentinel tak, aby používal analyzátory ASIM (Advanced Security Information Model)