Contenuto di sicurezza advanced security information model (ASIM) (anteprima pubblica)
Il contenuto di sicurezza normalizzato in Microsoft Sentinel include regole di analisi, query di ricerca e cartelle di lavoro che funzionano con parser di normalizzazione unificati.
È possibile trovare contenuti normalizzati e predefiniti nelle raccolte e nelle soluzioni di Microsoft Sentinel, creare contenuti normalizzati o modificare il contenuto esistente per usare i dati normalizzati.
Questo articolo elenca il contenuto predefinito di Microsoft Sentinel configurato per supportare Advanced Security Information Model (ASIM). Anche se i collegamenti al repository GitHub di Microsoft Sentinel sono disponibili di seguito come riferimento, è anche possibile trovare queste regole nella raccolta regole di Microsoft Sentinel Analytics. Usare le pagine Di GitHub collegate per copiare eventuali query di ricerca pertinenti.
Per comprendere il modo in cui il contenuto normalizzato rientra nell'architettura ASIM, vedere il diagramma dell'architettura ASIM.
Suggerimento
Guardare anche il webinar di approfondimento sulla normalizzazione dei parser e sul contenuto normalizzato di Microsoft Sentinel o esaminare le diapositive. Per altre informazioni, vedere Passaggi successivi.
Importante
ASIM è attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Contenuto della sicurezza dell'autenticazione
Il contenuto di autenticazione predefinito seguente è supportato per la normalizzazione ASIM.
Regole di Analytics
- Potenziale attacco password spraying (usa la normalizzazione dell'autenticazione)
- Attacco di forza bruta contro le credenziali utente (usa la normalizzazione dell'autenticazione)
- Accesso utente da paesi/aree geografiche diverse entro 3 ore (usa la normalizzazione dell'autenticazione)
- Accessi da indirizzi IP che tentano gli accessi agli account disabilitati (usa la normalizzazione dell'autenticazione)
Contenuto della sicurezza delle query DNS
Il contenuto di query DNS predefinito seguente è supportato per la normalizzazione ASIM.
Soluzioni
- Informazioni di base su DNS
- Rilevamento delle vulnerabilità di Log4j
- Rilevamento delle minacce basato su IOC legacy
Regole di Analytics
- (Anteprima) TI esegue il mapping dell'entità dominio agli eventi DNS (schema DNS ASIM)
- (Anteprima) TI esegue il mapping dell'entità IP agli eventi DNS (schema DNS ASIM)
- Rilevato potenziale DGA (ASimDNS)
- Query DNS NXDOMAIN eccessive (schema DNS ASIM)
- Eventi DNS correlati ai pool di data mining (schema DNS ASIM)
- Eventi DNS correlati ai proxy ToR (schema DNS ASIM)
- Domini barium noti
- Indirizzi IP barium noti
- Vulnerabilità di Exchange Server divulgate a marzo 2021 Corrispondenza IoC
- Domini e hash di granite typhoon noti
- Ip di Blizzard di SeaShell noto
- Midnight Blizzard - Domain and IP IOCs - Marzo 2021
- Domini/IP noti del gruppo di domini del blocco di magnesio
- Domini noti del gruppo Blizzard foresta - luglio 2019
- Solorigate Network Beacon
- Domini Sleet Disasas inclusi nel takedown DCU
- Hash malware diamond Sleet comebacker e Klackring noti
- Domini e hash di Ruby Sleet noti
- Domini e hash DI HASH noti
- Midnight Blizzard - Domain, Hash and IP IOCs - Maggio 2021
- Solorigate Network Beacon
Contenuto della sicurezza dell'attività file
Il contenuto dell'attività file predefinita seguente è supportato per la normalizzazione ASIM.
Regole di analisi
- Hash backdoor SUNBURST e SUPERNOVA (eventi di file normalizzati)
- Vulnerabilità di Exchange Server divulgate a marzo 2021 Corrispondenza IoC
- Servizio di messaggistica unificata silk typhoon che scrive file sospetti
- Midnight Blizzard - Domain, Hash and IP IOCs - Maggio 2021
- Creazione del file di log SUNSPOT
- Hash malware diamond Sleet comebacker e Klackring noti
- Cadet Blizzard Actor IOC - Gennaio 2022
- Midnight Blizzard IOC correlati al backdoor FoggyWeb
Contenuto della sicurezza delle sessioni di rete
Il contenuto correlato alla sessione di rete predefinita seguente è supportato per la normalizzazione ASIM.
Soluzioni
- Informazioni di base sulle sessioni di rete
- Rilevamento delle vulnerabilità di Log4j
- Rilevamento delle minacce basato su IOC legacy
Regole di Analytics
- Exploit della vulnerabilità log4j noto anche come IOC IP di Log4Shell
- Numero eccessivo di connessioni non riuscite da una singola origine (schema sessione di rete ASIM)
- Potenziale attività di beaconing (schema di sessione di rete ASIM)
- (Anteprima) TI esegue il mapping dell'entità IP agli eventi di sessione di rete (schema sessione di rete ASIM)
- Rilevamento dell'analisi delle porte (schema sessione di rete ASIM)
- Indirizzi IP barium noti
- Vulnerabilità di Exchange Server divulgate a marzo 2021 Corrispondenza IoC
- [Noto SeaShell Blizzard IP(https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/SeashellBlizzardIOCs.yaml)
- Midnight Blizzard - Domain, Hash and IP IOCs - Maggio 2021
- Domini noti del gruppo Blizzard foresta - luglio 2019
Query di ricerca
Contenuto della sicurezza delle attività di processo
Il contenuto predefinito dell'attività di processo seguente è supportato per la normalizzazione ASIM.
Soluzioni
Regole di Analytics
- Probabile utilizzo dello strumento di riconciliazione AdFind (eventi di processo normalizzati)
- Righe di comando del processo Windows con codifica Base64 (eventi processo normalizzato)
- Malware nel Cestino (eventi del processo normalizzato)
- Mezzanotte Blizzard - Esecuzione sospetta rundll32.exe di vbscript (eventi di processo normalizzato)
- Processi figlio SunBURST sospetti SolarWinds (eventi di processo normalizzati)
Query di ricerca
- Riepilogo giornaliero dello script Cscript (eventi del processo normalizzato)
- Enumerazione di utenti e gruppi (eventi di processo normalizzato)
- Aggiunta di Snapin di PowerShell per Exchange (eventi di processo normalizzati)
- Esportazione della cassetta postale host e rimozione dell'esportazione (eventi di processo normalizzati)
- Utilizzo invoke-PowerShellTcpOneLine (eventi di processo normalizzati)
- Shell TCP inversa Nishang in Base64 (eventi di processo normalizzati)
- Riepilogo degli utenti creati con opzioni non comuni/non documentate della riga di comando (eventi di processo normalizzati)
- Download di Powercat (eventi del processo normalizzato)
- Download di PowerShell (eventi di processo normalizzati)
- Entropia per i processi per un determinato host (eventi di processo normalizzato)
- Inventario SolarWinds (eventi del processo normalizzato)
- Enumerazione sospetta con lo strumento Adfind (Eventi processo normalizzato)
- Arresto/riavvio del sistema Windows (eventi di processo normalizzati)
- Certutil (LOLBins e LOLScripts, Normald Process Events)
- Rundll32 (LOLBins e LOLScripts, eventi del processo normalizzato)
- Processi non comuni - inferiore al 5% (eventi del processo normalizzato)
- Offuscamento Unicode nella riga di comando
Contenuto della sicurezza delle attività del Registro di sistema
Il contenuto predefinito dell'attività del Registro di sistema seguente è supportato per la normalizzazione ASIM.
Regole di Analytics
Query di ricerca
Contenuto della sicurezza della sessione Web
Il contenuto correlato alla sessione Web predefinita seguente è supportato per la normalizzazione ASIM.
Soluzioni
Regole di Analytics
- (Anteprima) TI esegue il mapping dell'entità dominio agli eventi di sessione Web (schema sessione Web ASIM)
- (Anteprima) TI esegue il mapping dell'entità IP agli eventi della sessione Web (schema sessione Web ASIM)
- Potenziale comunicazione con un nome host basato su DGA (Domain Generation Algorithm) (schema di sessione di rete ASIM)
- Un client ha effettuato una richiesta Web a un file potenzialmente dannoso (schema di sessione Web ASIM)
- Un host esegue potenzialmente un minatore di crittografia (schema di sessione Web ASIM)
- Un host esegue potenzialmente uno strumento di hacking (schema di sessione Web ASIM)
- Un host esegue potenzialmente PowerShell per inviare richieste HTTP(S) (schema sessione Web ASIM)
- Download dei file a rischio della rete CDN Discord (schema sessione Web ASIM)
- Numero eccessivo di errori di autenticazione HTTP da un'origine (schema sessione Web ASIM)
- Domini barium noti
- Indirizzi IP barium noti
- Domini e hash di Ruby Sleet noti
- Ip di Blizzard di SeaShell noto
- Domini e hash DI HASH noti
- Midnight Blizzard - Domain and IP IOCs - Marzo 2021
- Midnight Blizzard - Domain, Hash and IP IOCs - Maggio 2021
- Domini/IP noti del gruppo di domini del blocco di magnesio
- Tentativo di sfruttamento dell'agente utente per log4j
Passaggi successivi
Questo articolo illustra il contenuto di Advanced Security Information Model (ASIM).
Per altre informazioni, vedi:
- Guardare il webinar di approfondimento sui parser di normalizzazione e i contenuti normalizzati di Microsoft Sentinel o esaminare le diapositive
- Panoramica di ASIM (Advanced Security Information Model)
- Schemi ASIM (Advanced Security Information Model)
- Parser ASIM (Advanced Security Information Model)
- Uso del modello ASIM (Advanced Security Information Model)
- Modifica del contenuto di Microsoft Sentinel per l'uso dei parser ASIM (Advanced Security Information Model)