ASIM-sikkerhedsindhold (Advanced Security Information Model)

Normaliseret sikkerhedsindhold i Microsoft Sentinel omfatter analyseregler, jagtforespørgsler og projektmapper, der fungerer sammen med samlende normaliseringsparsere.

Du kan finde normaliseret, indbygget indhold i Microsoft Sentinel gallerier og løsninger, oprette dit eget normaliserede indhold eller redigere eksisterende indhold for at bruge normaliserede data.

Denne artikel indeholder en liste over indbygget Microsoft Sentinel indhold, der er konfigureret til at understøtte ASIM (Advanced Security Information Model). Selvom der er angivet links til Microsoft Sentinel GitHub-lageret som reference, kan du også finde disse regler i galleriet med Microsoft Sentinel Analytics-regler. Brug de sammenkædede GitHub-sider til at kopiere relevante jagtforespørgsler.

Hvis du vil vide, hvordan normaliseret indhold passer inden for ASIM-arkitekturen, skal du se ASIM-arkitekturdiagrammet.

Tip

Du kan også se webinaret til detaljeret gennemgang på Microsoft Sentinel normalisere fortolkere og normaliseret indhold eller gennemse slides. Du kan finde flere oplysninger under Næste trin.

Sikkerhedsindhold til godkendelse

Følgende indbyggede godkendelsesindhold understøttes i forbindelse med ASIM-normalisering.

Analyseregler

Sikkerhedsindhold for filaktivitet

Følgende indbyggede filaktivitetsindhold understøttes i forbindelse med ASIM-normalisering.

Analyseregler

Sikkerhedsindhold for registreringsdatabaseaktivitet

Følgende indbyggede aktivitetsindhold i registreringsdatabasen understøttes i forbindelse med ASIM-normalisering.

Analyseregler

Jagtforespørgsler

Sikkerhedsindhold i DNS-forespørgsel

Følgende indbyggede DNS-forespørgselsindhold understøttes til ASIM-normalisering.

Løsninger Analyseregler
DNS Essentials
Registrering af log4j-sårbarhed
Ældre IOC-baseret trusselsregistrering		 TI knytter domæneobjektet til DNS-hændelser (ASIM DNS-skema)
TI knytter IP-enheden til DNS-hændelser (ASIM DNS-skema)
Potentiel DGA registreret (ASimDNS)
For mange NXDOMAIN DNS-forespørgsler (ASIM DNS-skema)
DNS-hændelser relateret til minepuljer (ASIM DNS-skema)
DNS-hændelser relateret til ToR-proxyer (ASIM DNS-skema)
Kendte skov-Blizzard-gruppedomæner - juli 2019

Sikkerhedsindhold for netværkssession

Følgende indbyggede indhold, der er relateret til netværkssessionen, understøttes til ASIM-normalisering.

Løsninger Analyseregler Jagtforespørgsler
Grundlæggende oplysninger om netværkssession
Registrering af log4j-sårbarhed
Ældre IOC-baseret trusselsregistrering		 Udnyttelse af Log4j-sårbarhed, også kaldet Log4Shell IP IOC
Stort antal mislykkede forbindelser fra en enkelt kilde (ASIM-netværkssessionsskema)
Potentiel beaconingaktivitet (ASIM-netværkssessionsskema)
TI knytter IP-enhed til hændelser for netværkssessioner (ASIM-netværkssessionsskema)
Portscanning registreret (ASIM-skema til netværkssession)
Kendte skov-Blizzard-gruppedomæner - juli 2019		 Forbindelse fra ekstern IP til OMI-relaterede porte

Behandl sikkerhedsindhold for aktivitet

Følgende indbyggede procesaktivitetsindhold understøttes til ASIM-normalisering.

Løsninger Analyseregler Jagtforespørgsler
Endpoint Threat Protection Essentials
Ældre IOC-baseret trusselsregistrering		 Sandsynlig brug af AdFind Recon Tool (normaliserede proceshændelser)
Base64-kodede Windows-proceskommandolinjer (normaliserede proceshændelser)
Malware i papirkurven (normaliserede proceshændelser)
Midnight Blizzard – mistænkelig rundll32.exe udførelse af vbscript (normaliserede proceshændelser)
SUNBURST mistænkelige SolarWinds-underordnede processer (normaliserede proceshændelser)		 Oversigt over Cscript-scripts daglige oversigt (normaliserede proceshændelser)
Optælling af brugere og grupper (normaliserede proceshændelser)
Exchange PowerShell-snapin tilføjet (normaliserede proceshændelser)
Vært eksporterer postkasse og fjerner eksport (normaliserede proceshændelser)
Aktivér-PowerShellTcpOneLine-forbrug (normaliserede proceshændelser)
Nishang Reverse TCP Shell i Base64 (normaliserede proceshændelser)
Oversigt over brugere, der er oprettet ved hjælp af ualmindelige/udokumenterede kommandolinjeparametre (normaliserede proceshændelser)
Powercat Download (normaliserede proceshændelser)
PowerShell-downloads (normaliserede proceshændelser)
Entropy for processer for en given vært (normaliserede proceshændelser)
SolarWinds Inventory (normaliserede proceshændelser)
Mistænkelig optælling ved hjælp af Adfind-værktøjet (normaliserede proceshændelser)
Windows System Shutdown/Reboot (normaliserede proceshændelser)
Certutil (LOLBins og LOLScripts, normaliserede proceshændelser)
Rundll32 (LOLBins og LOLScripts, normaliserede proceshændelser)
Ualmindelige processer – nederste 5 % (normaliserede proceshændelser)
Unicode-tilsløring på kommandolinjen

Sikkerhedsindhold i websession

Følgende indbyggede websessionsrelaterede indhold understøttes i forbindelse med ASIM-normalisering.

Løsninger Analyseregler
Registrering af log4j-sårbarhed
Threat Intelligence		 Ti-tilknytning af domæneobjekt til websessionshændelser (ASIM-websessionsskema)
TI-tilknytning af IP-enhed til websessionshændelser (ASIM-websessionsskema)
Potentiel kommunikation med et DGA-baseret værtsnavn (ASIM-netværkssessionsskema)
En klient har foretaget en webanmodning til en potentielt skadelig fil (ASIM-websessionsskema)
En vært kører muligvis en kryptografi-minearbejder (ASIM-websessionsskema)
En vært kører muligvis et hackingværktøj (ASIM-websessionsskema)
En vært kører muligvis PowerShell for at sende HTTP(S)-anmodninger (ASIM-websessionsskema)
Diskord CDN Risky File Download (ASIM-websessionsskema)
Stort antal HTTP-godkendelsesfejl fra en kilde (ASIM-websessionsskema)
Brugeragentsøgning efter log4j-udnyttelsesforsøg

Næste trin

Du kan finde flere oplysninger under:

  • Last updated on