ASIM (Advanced Security Information Model) -suojaussisältö

Microsoft Sentinel normalisoitu suojaussisältö sisältää analytiikkasäännöt, metsästyskyselyt ja työkirjat, jotka toimivat normalisoinnin jäsennysten yhtenäistämisen kanssa.

Voit etsiä normalisoitua, sisäistä sisältöä Microsoft Sentinel valikoimista ja ratkaisuista, luoda omaa normalisoitua sisältöä tai muokata olemassa olevaa sisältöä käyttämään normalisoituja tietoja.

Tässä artikkelissa luetellaan sisäinen Microsoft Sentinel sisältö, joka on määritetty tukemaan ASIM-mallia. Vaikka linkit GitHub Microsoft Sentinel säilöön on annettu viitteenä, nämä säännöt löytyvät myös Microsoft Sentinel Analysointisääntövalikoimasta. Kopioi tarvittavat metsästyskyselyt linkitetyillä GitHub-sivuilla.

Lisätietoja siitä, miten normalisoitu sisältö sopii ASIM-arkkitehtuuriin, on ASIM-arkkitehtuurikaaviossa.

Vihje

Katso myös syväsukellus-verkkoseminaari Microsoft Sentinel Jäsennysten ja normalisoidun sisällön normalisointi tai katso diat. Lisätietoja on kohdassa Seuraavat vaiheet.

Todentamisen suojaussisältö

Asim-normalisointi tukee seuraavaa sisäistä todennussisältöä.

Analysointisäännöt

Tiedostotoiminnan suojaussisältö

Asim-normalisointi tukee seuraavaa sisäistä tiedostotoimintojen sisältöä.

Analytiikkasäännöt

Rekisteritoimintojen suojaussisältö

Asim-normalisointi tukee seuraavaa sisäistä rekisteritoimintojen sisältöä.

Analysointisäännöt

Metsästyskyselyt

DNS-kyselyn suojaussisältö

Asim-normalisointi tukee seuraavaa sisäistä DNS-kyselyn sisältöä.

Ratkaisuja Analysointisäännöt
DNS Essentials
Log4j-haavoittuvuuden tunnistus
Vanha IOC-pohjainen uhkien tunnistaminen		 Ti-yhdistä toimialueentiteetti DNS-tapahtumiin (ASIM DNS -rakenne)
TI-yhdistä IP-entiteetti DNS-tapahtumiin (ASIM DNS -rakenne)
Mahdollinen DGA havaittu (ASimDNS)
Liian suuret NXDOMAIN DNS -kyselyt (ASIM DNS -rakenne)
Kaivosvarantoihin liittyvät DNS-tapahtumat (ASIM DNS -rakenne)
ToR-välityspalvelimeen liittyvät DNS-tapahtumat (ASIM DNS -rakenne)
Tunnetut Forest Blizzard -ryhmätoimialueet - heinäkuu 2019

Verkkoistunnon suojaussisältö

Asim-normalisointi tukee seuraavaa sisäistä verkkoistuntoon liittyvää sisältöä.

Ratkaisuja Analysointisäännöt Metsästyskyselyt
Verkkoistunnon perusteet
Log4j-haavoittuvuuden tunnistus
Vanha IOC-pohjainen uhkien tunnistaminen		 Log4j-haavoittuvuuden hyödyntäminen, alias Log4Shell IP IOC
Yksittäisen lähteen epäonnistuneiden yhteyksien liian suuri määrä (ASIM-verkkoistunnon rakenne)
Mahdollinen majakkatoiminto (ASIM-verkkoistunnon rakenne)
TI-yhdistä IP-entiteetti verkkoistuntotapahtumiin (ASIM-verkkoistunnon rakenne)
Porttitarkistus havaittu (ASIM-verkkoistunnon rakenne)
Tunnetut Forest Blizzard -ryhmätoimialueet - heinäkuu 2019		 Yhteys ulkoisesta IP:stä OMI:iin liittyviin portteihin

Käsittele toiminnan suojauksen sisältö

Asim-normalisointi tukee seuraavaa sisäistä prosessin toiminnan sisältöä.

Ratkaisuja Analysointisäännöt Metsästyskyselyt
Endpoint Threat Protection Essentials
Vanha IOC-pohjainen uhkien tunnistaminen		 Todennäköinen AdFind Recon Tool -työkalun käyttö (normalisoidut prosessitapahtumat)
Base64-koodattu Windows-prosessin komentorivit (normalisoidut prosessitapahtumat)
Haittaohjelma roskakorissa (normalisoidut prosessitapahtumat)
Midnight Blizzard – epäilyttävä rundll32.exe vbscriptin suoritus (normalisoidut prosessitapahtumat)
SUNBURST epäilyttävä SolarWinds-aliprosessit (normalisoidut prosessitapahtumat)		 Cscript-komentosarjan päivittäinen yhteenvedon erittely (normalisoidut prosessitapahtumat)
Käyttäjien ja ryhmien luettelointi (normalisoidut prosessitapahtumat)
Lisätty Exchange PowerShell -laajennus (normalisoidut prosessitapahtumat)
Isännän vieminen postilaatikkoon ja viennin poistaminen (normalisoidut prosessitapahtumat)
Invoke-PowerShelltcpOneLine-käyttö (normalisoidut prosessitapahtumat)
Nishang Reverse TCP Shell Base64:ssä (normalisoidut prosessitapahtumat)
Yhteenveto käyttäjistä, jotka on luotu käyttämällä epätavallisia tai dokumentoimattomia komentorivivalitsimia (normalisoidut prosessitapahtumat)
Powercat-lataus (normalisoidut prosessitapahtumat)
PowerShell-lataukset (normalisoidut prosessitapahtumat)
Entropy tietyn isännän prosesseille (normalisoidut prosessitapahtumat)
SolarWinds Inventory (normalisoidut prosessitapahtumat)
Epäilyttävä luettelointi Adfind-työkalun avulla (normalisoidut prosessitapahtumat)
Windows-järjestelmän sammutus/uudelleenkäynnistys (normalisoidut prosessitapahtumat)
Certutil (LOLBins ja LOLScripts, normalisoidut prosessitapahtumat)
Rundll32 (LOLBins ja LOLScripts, normalisoidut prosessitapahtumat)
Epätavalliset prosessit - alimmat 5 % (normalisoidut prosessitapahtumat)
Unicode Obfuscation komentorivillä

WWW-istunnon suojaussisältö

Asim-normalisointi tukee seuraavaa sisäistä verkkoistuntoon liittyvää sisältöä.

Ratkaisuja Analysointisäännöt
Log4j-haavoittuvuuden tunnistus
Uhkien tiedustelutiedot		 Ti-yhdistä toimialueentiteetti verkkoistuntotapahtumiin (ASIM-verkkoistunnon rakenne)
TI-yhdistä IP-entiteetti verkkoistuntotapahtumiin (ASIM-verkkoistunnon rakenne)
Mahdollinen viestintä DGA (Domain Generation Algorithm) -pohjaisen isäntänimen (ASIM-verkkoistunnon rakenne) kanssa
Asiakas teki verkkopyynnön mahdollisesti haitalliselle tiedostolle (ASIM-verkkoistunnon rakenne)
Isäntä suorittaa mahdollisesti salauksen louhijaa (ASIM-verkkoistunnon rakenne)
Isäntä voi suorittaa hakkerointityökalua (ASIM Web Session -rakenne)
Isäntä on mahdollisesti suorittamassa PowerShelliä HTTP(S) -pyyntöjen lähettämiseksi (ASIM-verkkoistunnon rakenne)
Disrd CDN Risky File Download (ASIM Web Session Schema)
Liikaa lähteen HTTP-todennusvirheitä (ASIM-verkkoistunnon rakenne)
Käyttäjäagentti etsii Log4j-riistoyritystä

Seuraavat vaiheet

Lisätietoja on seuraavissa artikkeleissa:

  • Last updated on