Sicherheitsinhalte des Advanced Security Information Model (ASIM)

Zu den normalisierten Sicherheitsinhalten in Microsoft Sentinel gehören Analyseregeln, Hunting-Abfragen und Arbeitsmappen, die mit vereinheitlichenden Normalisierungsparsern arbeiten.

Sie finden normalisierte, integrierte Inhalte in Microsoft Sentinel-Katalogen und Lösungen, erstellen Sie Ihre eigenen normalisierten Inhalte, oder ändern Sie bestehende Inhalte, um normalisierte Daten zu verwenden.

In diesem Artikel werden integrierte Microsoft Sentinel-Inhalte aufgelistet, die für die Unterstützung des erweiterten Sicherheitsinformationsmodells (ASIM) konfiguriert wurden. Während Links zum Microsoft Sentinel GitHub-Repository als Referenz bereitgestellt werden, finden Sie diese Regeln auch im Microsoft Sentinel Analytics-Regelkatalog. Verwenden Sie die verlinkten GitHub-Seiten, um alle relevanten Hunting-Abfragen zu kopieren.

Informationen dazu, wie normalisierte Inhalte in die ASIM-Architektur passen, finden Sie im Architekturdiagramm zu ASIM.

Inhalt der Authentifizierungssicherheit

Der folgende integrierte Authentifizierungsinhalt wird für die ASIM-Normalisierung unterstützt.

Analyseregeln

• Potenzieller Kennwortspray-Angriff (Verwendung der Authentifizierungsnormalisierung)
• Brute-Force-Angriff auf Anmeldeinformationen von Benutzern (Verwendung der Authentifizierungsnormalisierung)
• Benutzeranmeldung aus verschiedenen Ländern/Regionen innerhalb von 3 Stunden (Verwendet die Authentifizierungsnormalisierung)
• Anmeldungen von IPs, die versuchen, sich bei deaktivierten Konten anzumelden (verwendet die Authentifizierungsnormalisierung)

Sicherheitsinhalt der Dateiaktivität

Der folgende integrierte Dateiaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

• Legacy-IOC-basierte Bedrohungserkennung

Analyseregeln

• SUNBURST- und SUPERNOVA-Hintertürhashes (normalisierte Dateiereignisse)

Sicherheitsinhalte für Registrierungsaktivitäten

Der folgende integrierte Registrierungsaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

Analyseregeln

• Potenzielle Fodhelper-UAC-Umgehung (ASIM-Version)

Hunting-Abfragen

• Persistieren über IFEO-Registrierungsschlüssel

Sicherheitsinhalt von DNS-Abfragen

Der folgende integrierte DNS-Abfrageinhalt wird für die ASIM-Normalisierung unterstützt.

Sicherheitsinhalte für Netzwerksitzungen

Die folgenden integrierten Inhalte, die mit Netzwerksitzungen zusammenhängen, werden für die ASIM-Normalisierung unterstützt.

Sicherheitsinhalte für Prozessaktivitäten

Der folgende integrierte Prozessaktivitätsinhalt wird für die ASIM-Normalisierung unterstützt.

Sicherheitsinhalte für Websitzungen

Der folgende integrierte Websitzungsinhalt wird für die ASIM-Normalisierung unterstützt.

Nächste Schritte

Weitere Informationen finden Sie unter

• Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
• Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Verwenden des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)
• Ändern von Microsoft Sentinel-Inhalten zur Verwendung der ASIM-Parser (erweitertes Sicherheitsinformationsmodells)