Gelişmiş Güvenlik Bilgileri Modeli (ASIM) güvenlik içeriği (Genel önizleme)

Microsoft Sentinel'de normalleştirilmiş güvenlik içeriği analiz kurallarını, tehdit avcılığı sorgularını ve birleştirici normalleştirme ayrıştırıcılarıyla çalışan çalışma kitaplarını içerir.

Microsoft Sentinel galerilerinde ve çözümlerinde normalleştirilmiş, yerleşik içerik bulabilir, kendi normalleştirilmiş içeriğinizi oluşturabilir veya mevcut içeriği normalleştirilmiş verileri kullanacak şekilde değiştirebilirsiniz.

Bu makalede, Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) destekleyecek şekilde yapılandırılmış yerleşik Microsoft Sentinel içeriği listelenmiştir. Microsoft Sentinel GitHub deposuna bağlantılar aşağıda başvuru olarak sağlanmış olsa da, bu kuralları Microsoft Sentinel Analytics kural galerisinde de bulabilirsiniz. İlgili tehdit avcılığı sorgularını kopyalamak için bağlantılı GitHub sayfalarını kullanın.

Normalleştirilmiş içeriğin ASIM mimarisine nasıl uyduğunu anlamak için ASIM mimari diyagramına bakın.

Kimlik doğrulaması güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik kimlik doğrulama içeriği desteklenir.

Analiz kuralları

• Olası Parola Spreyi Saldırısı (Kimlik Doğrulama Normalleştirmesi Kullanır)
• Kullanıcı kimlik bilgilerine karşı deneme yanılma saldırısı (Kimlik Doğrulama Normalleştirmesi Kullanır)
• 3 saat içinde farklı ülkelerden kullanıcı oturumu açma (Kimlik Doğrulama Normalleştirmesi Kullanır)
• Devre dışı bırakılmış hesaplarda oturum açmayı deneyen IP'lerden oturum açma işlemleri (Kimlik Doğrulama Normalleştirmesi Kullanır)

DNS sorgusu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik DNS sorgu içeriği desteklenir.

Çözümler

• DNS Temel Bileşenleri
• Log4j Güvenlik Açığı Algılama
• Eski IOC Tabanlı Tehdit Algılama

Analiz kuralları

• (Önizleme) TI, Etki Alanı varlığını DNS Olaylarına eşleme (ASIM DNS Şeması)
• (Önizleme) TI, IP varlığını DNS Olaylarına eşleme (ASIM DNS Şeması)
• Olası DGA algılandı (ASimDNS)
• Aşırı NXDOMAIN DNS Sorguları (ASIM DNS Şeması)
• Madencilik havuzları ile ilgili DNS olayları (ASIM DNS Şeması)
• ToR proxy'leriyle ilgili DNS olayları (ASIM DNS Şeması)
• Bilinen Barium etki alanları
• Bilinen Baryum IP adresleri
• Exchange Server Güvenlik Açıkları Mart 2021 IoC Eşleşmesi Açıklandı
• Bilinen Granit Tayfun etki alanları ve karmaları
• Bilinen Deniz Kabuğu Blizzard IP'si
• Midnight Blizzard - Etki alanı ve IP ICS - Mart 2021
• Bilinen Fosfor grubu etki alanları/IP
• Bilinen Orman Tipi grup etki alanları - Temmuz 2019
• Solorigate Ağ İşareti
• DCU'nun kaldırılmasına dahil edilen Emerald Sleet etki alanları
• Bilinen Diamond Sleet Comebacker ve Klackring kötü amaçlı yazılım karmaları
• Bilinen Ruby Sleet etki alanları ve karmaları
• Bilinen NIKEL etki alanları ve karmalar
• Gece Yarısı Tipi - Etki Alanı, Karma ve IP ICS - Mayıs 2021
• Solorigate Ağ İşareti

Dosya Etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik dosya etkinliği içeriği desteklenir.

• Eski IOC Tabanlı Tehdit Algılama

Analiz Kuralları

• SUNBURST ve SUPERNOVA arka kapı karmaları (Normalleştirilmiş Dosya Olayları)
• Exchange Server Güvenlik Açıkları Mart 2021 IoC Eşleşmesi Açıklandı
• İpek Tayfun UM Hizmeti şüpheli dosya yazıyor
• Gece Yarısı Tipi - Etki Alanı, Karma ve IP ICS - Mayıs 2021
• SUNSPOT günlük dosyası oluşturma
• Bilinen Diamond Sleet Comebacker ve Klackring kötü amaçlı yazılım karmaları
• Cadet Blizzard Aktör IOC - Ocak 2022
• FoggyWeb arka kapı ile ilgili Gece Yarısı Tipi GÇ'ler

Ağ oturumu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik ağ oturumuyla ilgili içerik desteklenir.

Çözümler

• Ağ Oturumu Temel Bileşenleri
• Log4j Güvenlik Açığı Algılama
• Eski IOC Tabanlı Tehdit Algılama

Analiz kuralları

• Log4j güvenlik açığından yararlanma aka Log4Shell IP IOC
• Tek bir kaynaktan çok fazla başarısız bağlantı (ASIM Ağ Oturumu şeması)
• Olası işaret etkinliği (ASIM Ağ Oturumu şeması)
• (Önizleme) TI, IP varlığını Ağ Oturumu Olaylarına eşleme (ASIM Ağ Oturumu şeması)
• Bağlantı noktası taraması algılandı (ASIM Ağ Oturumu şeması)
• Bilinen Baryum IP adresleri
• Exchange Server Güvenlik Açıkları Mart 2021 IoC Eşleşmesi Açıklandı
• [Bilinen Deniz Kabuğu Tipi IP' si(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
• Gece Yarısı Tipi - Etki Alanı, Karma ve IP ICS - Mayıs 2021
• Bilinen Orman Tipi grup etki alanları - Temmuz 2019

Arama sorguları

• Dış IP'den OMI ile ilgili Bağlantı Noktalarına bağlantı

İşlem etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik işlem etkinliği içeriği desteklenir.

Çözümler

• Endpoint Threat Protection Essentials
• Eski IOC Tabanlı Tehdit Algılama

Analiz kuralları

• Olası AdFind Keşif Aracı Kullanımı (Normalleştirilmiş İşlem Olayları)
• Base64 kodlamalı Windows işlem komut satırları (Normalleştirilmiş İşlem Olayları)
• Geri dönüşüm kutusundaki kötü amaçlı yazılım (Normalleştirilmiş İşlem Olayları)
• Gece Yarısı Tipi - vbscript'in şüpheli rundll32.exe yürütülmesi (Normalleştirilmiş İşlem Olayları)
• SUNBURST şüpheli SolarWinds alt işlemleri (Normalleştirilmiş İşlem Olayları)

Arama sorguları

• Cscript betiği günlük özet dökümü (Normalleştirilmiş İşlem Olayları)
• Kullanıcıların ve grupların numaralandırması (Normalleştirilmiş İşlem Olayları)
• Exchange PowerShell Ek Bileşeni Eklendi (Normalleştirilmiş İşlem Olayları)
• Konak Posta Kutusunu Dışarı Aktarma ve Dışarı Aktarmayı Kaldırma (Normalleştirilmiş İşlem Olayları)
• Invoke-PowerShellTcpOneLine Kullanımı (Normalleştirilmiş İşlem Olayları)
• Base64'te Nishang Ters TCP Kabuğu (Normalleştirilmiş İşlem Olayları)
• Nadir/belgelenmemiş komut satırı anahtarları kullanılarak oluşturulan kullanıcıların özeti (Normalleştirilmiş İşlem Olayları)
• Powercat İndirme (Normalleştirilmiş İşlem Olayları)
• PowerShell indirmeleri (Normalleştirilmiş İşlem Olayları)
• Belirli bir Konak için İşlemler için Entropi (Normalleştirilmiş İşlem Olayları)
• SolarWinds Envanteri (Normalleştirilmiş İşlem Olayları)
• Adfind aracını kullanarak şüpheli numaralandırma (Normalleştirilmiş İşlem Olayları)
• Windows Sistem Kapatma/Yeniden Başlatma (Normalleştirilmiş İşlem Olayları)
• Certutil (LOLBins ve LOLScripts, Normalleştirilmiş İşlem Olayları)
• Rundll32 (LOLBins ve LOLScripts, Normalleştirilmiş İşlem Olayları)
• Yaygın olmayan işlemler - alt %5 (Normalleştirilmiş İşlem Olayları)
• Komut Satırında Unicode Karartma

Kayıt defteri etkinliği güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik kayıt defteri etkinlik içeriği desteklenir.

Analiz kuralları

• Olası Fodhelper UAC Bypass (ASIM Sürümü)

Arama sorguları

• IFEO Kayıt Defteri Anahtarı Aracılığıyla KalıcıLık

Web oturumu güvenlik içeriği

ASIM normalleştirmesi için aşağıdaki yerleşik web oturumuyla ilgili içerik desteklenir.

Çözümler

• Log4j Güvenlik Açığı Algılama
• Tehdit Bilgisi

Analiz kuralları

• (Önizleme) TI, Etki Alanı varlığını Web Oturumu Olaylarına eşleme (ASIM Web Oturumu şeması)
• (Önizleme) TI, IP varlığını Web Oturumu Olaylarına eşleme (ASIM Web Oturumu şeması)
• Etki Alanı Oluşturma Algoritması (DGA) tabanlı ana bilgisayar adı (ASIM Ağ Oturumu şeması) ile olası iletişim
• İstemci zararlı olabilecek bir dosyaya web isteğinde bulundu (ASIM Web Oturumu şeması)
• Bir konak potansiyel olarak bir şifreleme madencisi çalıştırıyor (ASIM Web Oturumu şeması)
• Bir konak potansiyel olarak bir korsanlık aracı çalıştırıyor (ASIM Web Oturumu şeması)
• Bir konak HTTP(S) istekleri göndermek için PowerShell çalıştırıyor (ASIM Web Oturumu şeması)
• Diskord CDN Riskli Dosya İndirme (ASIM Web Oturumu Şeması)
• Kaynaktan aşırı sayıda HTTP kimlik doğrulaması hatası (ASIM Web Oturumu şeması)
• Bilinen Barium etki alanları
• Bilinen Barium IP adresleri
• Bilinen Ruby Sleet etki alanları ve karmaları
• Bilinen Deniz Kabuğu Tipi IP
• Bilinen NICKEL etki alanları ve karmaları
• Gece Yarısı Tipi - Etki Alanı ve IP ICS - Mart 2021
• Gece Yarısı Tipi - Etki Alanı, Karma ve IP ICS - Mayıs 2021
• Bilinen Fosfor grubu etki alanları/IP
• Log4j yararlanma girişimi için kullanıcı aracısı araması

Sonraki adımlar

Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) içeriği ele alınmaktadır.

Daha fazla bilgi için bkz.

• Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeli'ne (ASIM) genel bakış
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) kullanma
• Microsoft Sentinel içeriğini Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını kullanacak şekilde değiştirme