Advanced Security Information Model (ASIM) セキュリティ コンテンツ (パブリック プレビュー)

Microsoft Sentinel の正規化されたセキュリティ コンテンツには、統合された正規化パーサーで使用できる分析ルール、ハンティング クエリ、ブックが含まれています。

Microsoft Sentinel のギャラリーやで正規化された組み込みのコンテンツを見つけること、独自の正規化されたコンテンツを作成すること、正規化されたデータを使用するために既存のコンテンツを変更することができます。

この記事では、Advanced Security Information Model (ASIM) をサポートするように構成された組み込みの Microsoft Sentinel コンテンツを紹介します。 Microsoft Sentinel GitHub リポジトリへのリンクは下に参照として掲載していますが、これらのルールは Microsoft Sentinel Analytics ルール ギャラリーでも見つけることができます。 ルールに関連するハンティング クエリをコピーするには、リンクされた GitHub ページを使用してください。

正規化されたコンテンツが ASIM アーキテクチャにどのように適合するかを理解するには、ASIM アーキテクチャの図を参照してください。

認証のセキュリティ コンテンツ

ASIM の正規化では、次の組み込みの認証コンテンツがサポートされています。

分析ルール

• 潜在的なパスワード スプレー攻撃 (認証正規化を使用)
• Brute force attack against user credentials (Uses Authentication Normalization) (ユーザー資格情報に対するブルート フォース攻撃 (認証正規化を使用))
• User login from different countries within 3 hours (Uses Authentication Normalization) (さまざまな国からの 3 時間以内のユーザー ログイン (認証正規化を使用))
• Sign-ins from IPs that attempt sign-ins to disabled accounts (Uses Authentication Normalization) (無効なアカウントへのサインインを試行する IP からのサインイン (認証正規化を使用))

DNS クエリのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みの DNS クエリ コンテンツがサポートされています。

ソリューション

• DNS の基本
• Log4j Vulnerability Detection
• Legacy IOC Based Threat Detection

分析ルール

• (プレビュー) TI のドメイン エンティティの DNS イベントへのマッピング (ASIM DNS スキーマ)
• (プレビュー) TI の IP エンティティの DNS イベントへのマッピング (ASIM DNS スキーマ)
• 潜在的 DGA の検出 (ASimDNS)
• 過度の NXDOMAIN DNS クエリ (ASIM DNS スキーマ)
• マイニング プールに関連する DNS イベント (ASIM DNS スキーマ)
• ToR プロキシに関連する DNS イベント (ASIM DNS スキーマ)
• Known Barium domains (既知の Barium ドメイン)
• Known Barium IP addresses (既知の Barium IP アドレス)
• Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
• 既知の Granite Typhoon のドメインとハッシュ
• 既知の Seashell Blizzard の IP
• Midnight Blizzard - ドメインと IP の IOC - 2021 年 3 月
• 既知の Phosphorus グループ ドメイン/IP
• 既知の Forest Blizzard のグループ ドメイン - 2019 年 7 月
• Solorigate ネットワーク ビーコン
• DCU 削除に含まれる Emerald Sleet ドメイン
• 既知の Diamond Sleet Comebacker および Klackring のマルウェア ハッシュ
• 既知の Ruby Sleet のドメインとハッシュ
• 既知の NICKEL ドメインとハッシュ
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• Solorigate ネットワーク ビーコン

ファイル アクティビティのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのファイル アクティビティ コンテンツがサポートされています。

• Legacy IOC Based Threat Detection

分析ルール:

• SUNBURST and SUPERNOVA backdoor hashes (Normalized File Events) (SUNBURST と SUPERNOVA のバックドア ハッシュ (正規化されたファイル イベント))
• Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
• Silk Typhoon UM Service の疑わしいファイル書き込み
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• SUNSPOT log file creation (SUNSPOT ログ ファイルの作成)
• 既知の Diamond Sleet Comebacker および Klackring のマルウェア ハッシュ
• Cadet Blizzard アクターの IOC - 2022 年 1月
• FoggyWeb バックドアに関連する、Midnight Blizzard の IOC

ネットワーク セッションのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのネットワーク セッション関連コンテンツがサポートされています。

ソリューション

• ネットワーク セッションの要点
• Log4j Vulnerability Detection
• Legacy IOC Based Threat Detection

分析ルール

• Log4Shell IP IOC と呼ばれる Log4j 脆弱性の悪用
• 1 つのソースからの過剰な数の失敗した接続 (ASIM ネットワーク セッション スキーマ)
• 潜在的なビーコン アクティビティ (ASIM ネットワーク セッション スキーマ)
• (プレビュー) TI の IP エンティティのネットワーク セッション イベントのマッピング (ASIM ネットワーク セッション スキーマ)
• ポート スキャンが検出されました (ASIM ネットワーク セッション スキーマ)
• Known Barium IP addresses (既知の Barium IP アドレス)
• Exchange Server Vulnerabilities Disclosed March 2021 IoC Match (2021 年 3 月に公開された Exchange Server の脆弱性の IoC 一致)
• [既知の Seashell Blizzard の IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• 既知の Forest Blizzard のグループ ドメイン - 2019 年 7 月

ハンティング クエリ

• 外部 IP から OMI 関連ポートへの接続

プロセス アクティビティのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのプロセス アクティビティ コンテンツがサポートされています。

ソリューション

• Endpoint Threat Protection Essentials
• Legacy IOC Based Threat Detection

分析ルール

• Probable AdFind Recon Tool の使用 (正規化されたプロセス イベント)
• Base64 でエンコードされた Windows プロセスのコマンド ライン (正規化されたプロセス イベント)
• ごみ箱内のマルウェア (正規化されたプロセス イベント)
• Midnight Blizzard - vbscript の疑わしい rundll32.exe の実行 (正規化されたプロセス イベント)
• SUNBURST の疑わしい SolarWinds 子プロセス (正規化されたプロセス イベント)

ハンティング クエリ

• Cscript スクリプトの毎日の概要の内訳 (正規化されたプロセス イベント)
• ユーザーとグループの列挙 (正規化されたプロセス イベント)
• Exchange PowerShell スナップインの追加 (正規化されたプロセス イベント)
• メールボックスのエクスポートとエクスポートの削除を行うホスト (正規化されたプロセス イベント)
• Invoke-PowerShellTcpOneLine の使用 (正規化されたプロセス イベント)
• Base64 の Nishang リバース TCP シェル (正規化されたプロセス イベント)
• 一般的でない/ドキュメントに記載されていないコマンド ライン スイッチを使用して作成されたユーザーの概要 (正規化されたプロセス イベント)
• Powercat のダウンロード (正規化されたプロセス イベント)
• PowerShell のダウンロード (正規化されたプロセス イベント)
• 特定のホストのプロセスのエントロピ (正規化されたプロセス イベント)
• SolarWinds インベントリ (正規化されたプロセス イベント)
• Adfind ツールを使用した疑わしい列挙型 (正規化されたプロセス イベント)
• Windows システムのシャットダウン/再起動 (正規化されたプロセス イベント)
• Certutil (LOLBins と LOLScripts、正規化されたプロセス イベント)
• Rundll32 (LOLBins と LOLScripts、正規化されたプロセス イベント)
• 一般的でないプロセス - 下位 5% (正規化されたプロセス イベント)
• Unicode Obfuscation in Command Line (コマンドラインでの Unicode の難読化)

レジストリ アクティビティのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みのレジストリ アクティビティ コンテンツがサポートされています。

分析ルール

• 潜在的な Fodhelper UAC バイパス (ASIM バージョン)

ハンティング クエリ

• Persisting Via IFEO Registry Key (IFEO レジストリ キーを使用した永続化)

Web セッションのセキュリティ コンテンツ

ASIM の正規化では、次の組み込みの Web セッション関連コンテンツがサポートされています。

ソリューション

• Log4j Vulnerability Detection
• 脅威インテリジェンス

分析ルール

• (プレビュー) TI のドメイン エンティティの Web セッション イベントのマッピング (ASIM Web セッション スキーマ)
• (プレビュー) TI の IP エンティティの Web セッション イベントのマッピング (ASIM Web セッション スキーマ)
• ドメイン生成アルゴリズム (DGA) ベースのホスト名による可能性のある通信 (ASIM ネットワーク セッション スキーマ)
• クライアントが潜在的に有害なファイルに対して Web 要求を行った (ASIM Web セッション スキーマ)
• ホストがクリプト マイナーを実行している可能性がある (ASIM Web セッション スキーマ)
• ホストがハッキング ツールを実行している可能性がある (ASIM Web セッション スキーマ)
• ホストが、HTTP(S) 要求を送信する PowerShell を実行している可能性がある (ASIM Web セッションスキーマ)
• 不一致 CDN 危険なファイルのダウンロード (ASIM Web セッション スキーマ)
• ソースからの HTTP 認証エラーの数が過剰 (ASIM Web セッション スキーマ)
• Known Barium domains (既知の Barium ドメイン)
• Known Barium IP addresses (既知の Barium IP アドレス)
• 既知の Ruby Sleet のドメインとハッシュ
• 既知の Seashell Blizzard の IP
• 既知の NICKEL ドメインとハッシュ
• Midnight Blizzard - ドメインと IP の IOC - 2021 年 3 月
• Midnight Blizzard - ドメイン、ハッシュ、および IP の IOC - 2021 年 5 月
• 既知の Phosphorus グループ ドメイン/IP
• log4j 悪用試行のユーザー エージェント検索

次のステップ

この記事では、Advanced Security Information Model (ASIM) コンテンツについて説明します。

詳細については、次を参照してください。

• Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
• Advanced Security Information Model (ASIM) の概要
• Advanced Security Information Model (ASIM) スキーマ
• Advanced Security Information Model (ASIM) のパーサー
• Advanced Security Information Model (ASIM) の使用
• Advanced Security Information Model (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する | Microsoft Docs