ASIM-sikkerhetsinnhold (Advanced Security Information Model)

Normalisert sikkerhetsinnhold i Microsoft Sentinel omfatter analyseregler, jaktspørringer og arbeidsbøker som fungerer med samlende normaliseringsanalyser.

Du kan finne normalisert, innebygd innhold i Microsoft Sentinel gallerier og løsninger, opprette ditt eget normaliserte innhold eller endre eksisterende innhold for å bruke normaliserte data.

Denne artikkelen viser innebygd Microsoft Sentinel innhold som er konfigurert til å støtte ASIM (Advanced Security Information Model). Selv om koblinger til Microsoft Sentinel GitHub-repositorium er angitt som en referanse, kan du også finne disse reglene i Microsoft Sentinel analyseregelgalleriet. Bruk de koblede GitHub-sidene til å kopiere eventuelle relevante jaktspørringer.

Hvis du vil forstå hvordan normalisert innhold passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.

Tips

Se også nettseminaret Deep Dive på Microsoft Sentinel Normalisere analyser og normalisert innhold, eller se gjennom lysbildene. Hvis du vil ha mer informasjon, kan du se Neste trinn.

Sikkerhetsinnhold for godkjenning

Følgende innebygd godkjenningsinnhold støttes for ASIM-normalisering.

Analyseregler

Sikkerhetsinnhold for filaktivitet

Følgende innebygde innhold for filaktivitet støttes for ASIM-normalisering.

Analyseregler

Sikkerhetsinnhold for registeraktivitet

Følgende innebygd innhold for registeraktivitet støttes for ASIM-normalisering.

Analyseregler

Jaktspørringer

Sikkerhetsinnhold for DNS-spørring

Følgende innebygd DNS-spørringsinnhold støttes for ASIM-normalisering.

Løsninger Analyseregler
DNS Essentials
Log4j-sikkerhetsproblemregistrering
Eldre IOC-basert trusselregistrering		 TI tilordner domeneenhet til DNS-hendelser (ASIM DNS-skjema)
TI tilordner IP-enheten til DNS-hendelser (ASIM DNS-skjema)
Potensiell DGA-oppdaget (ASimDNS)
Overflødige DNS-spørringer for NXDOMAIN (ASIM DNS-skjema)
DNS-hendelser relatert til gruveutvalg (ASIM DNS-skjema)
DNS-hendelser relatert til ToR-proxyer (ASIM DNS-skjema)
Kjente Forest Blizzard-gruppedomener – juli 2019

Sikkerhetsinnhold for nettverksøkt

Følgende innebygde nettverksøktrelaterte innhold støttes for ASIM-normalisering.

Løsninger Analyseregler Jaktspørringer
Network Session Essentials
Log4j-sikkerhetsproblemregistrering
Eldre IOC-basert trusselregistrering		 Log4j-sårbarhetsutnyttelse også kalt Log4Shell IP IOC
For mange mislykkede tilkoblinger fra én enkelt kilde (ASIM Network Session-skjema)
Potensiell signalaktivitet (ASIM Network Session-skjema)
TI tilordner IP-enheten til nettverksøkthendelser (ASIM-nettverksøktskjema)
Oppdaget portskanning (ASIM Network Session-skjema)
Kjente Forest Blizzard-gruppedomener – juli 2019		 Tilkobling fra ekstern IP til OMI-relaterte porter

Behandle aktivitetssikkerhetsinnhold

Følgende innebygd prosessaktivitetsinnhold støttes for ASIM-normalisering.

Løsninger Analyseregler Jaktspørringer
Grunnleggende om trusselbeskyttelse for endepunkt
Eldre IOC-basert trusselregistrering		 Sannsynlig bruk av AdFind-rekonseringsverktøy (normaliserte prosesshendelser)
Base64-kodede kommandolinjer for Windows-prosesser (normaliserte prosesshendelser)
Skadelig programvare i papirkurven (normaliserte prosesshendelser)
Midnight Blizzard - mistenkelig rundll32.exe kjøring av vbscript (Normaliserte prosesshendelser)
SUNBURST mistenkelige SolarWinds-barneprosesser (normaliserte prosesshendelser)		 Daglig sammendrag av Cscript-skript (normaliserte prosesshendelser)
Opplisting av brukere og grupper (normaliserte prosesshendelser)
Snapin-bokstav for Exchange PowerShell lagt til (normaliserte prosesshendelser)
Vert eksporterer postboks og fjerner eksport (normaliserte prosesshendelser)
Aktiver PowerShellTcpOneLine-bruk (normaliserte prosesshendelser)
Nishang Reverse TCP Shell i Base64 (normaliserte prosesshendelser)
Sammendrag av brukere som er opprettet ved hjelp av uvanlige/udokumenterte kommandolinjebrytere (normaliserte prosesshendelser)
Powercat-nedlasting (normaliserte prosesshendelser)
PowerShell-nedlastinger (normaliserte prosesshendelser)
Entropi for prosesser for en gitt vert (normaliserte prosesshendelser)
SolarWinds-beholdning (normaliserte prosesshendelser)
Mistenkelig opplisting ved hjelp av Adfind-verktøyet (normaliserte prosesshendelser)
Windows System Shutdown/Reboot (normaliserte prosesshendelser)
Certutil (LOLBins og LOLScripts, normaliserte prosesshendelser)
Rundll32 (LOLBins og LOLScripts, normaliserte prosesshendelser)
Uvanlige prosesser – nederste 5 % (normaliserte prosesshendelser)
Unicode Obfuscation i kommandolinjen

Sikkerhetsinnhold for nettøkt

Følgende innebygde nettøktrelaterte innhold støttes for ASIM-normalisering.

Løsninger Analyseregler
Log4j-sikkerhetsproblemregistrering
Trusselintelligens		 TI tilordner domeneenhet til nettøkthendelser (skjema for ASIM-nettøkt)
IP-enhet for TI-tilordning til webøkthendelser (skjema for ASIM-nettøkt)
Potensiell kommunikasjon med et domenegenereringsalgoritme (DGA)-basert vertsnavn (ASIM Network Session-skjema)
En klient har gjort en nettforespørsel til en potensielt skadelig fil (ASIM Web Session-skjema)
En vert kjører potensielt en kryptominer (ASIM Web Session-skjema)
En vert kjører potensielt et hackingverktøy (ASIM Web Session-skjema)
En vert kjører potensielt PowerShell for å sende HTTP(S)-forespørsler (ASIM Web Session-skjema)
Discord CDN Risky File Download (ASIM Web Session Schema)
For mange HTTP-godkjenningsfeil fra en kilde (ASIM Web Session-skjema)
Brukeragentsøk etter log4j-utnyttelsesforsøk

Neste trinn

Hvis du vil ha mer informasjon, kan du se:

  • Last updated on