Contenu de sécurité ASIM (Advanced Security Information Model)

Le contenu de sécurité normalisé dans Microsoft Sentinel comprend des règles analytiques, des requêtes de chasse et des classeurs qui fonctionnent avec des analyseurs de normalisation d’unification.

Vous pouvez trouver du contenu normalisé et intégré dans les galeries et les solutionsMicrosoft Sentinel, créer votre propre contenu normalisé ou modifier le contenu existant pour utiliser des données normalisées.

Cet article liste le contenu intégré de Microsoft Sentinel configuré pour prendre en charge le modèle ASIM. Bien que les liens vers le référentiel GitHub Microsoft Sentinel soient fournis en tant que référence, vous pouvez également trouver ces règles dans la galerie de règles Microsoft Sentinel Analytics. Utilisez les pages GitHub liées pour copier toutes les requêtes de chasse appropriées.

Pour comprendre le fonctionnement du contenu normalisé dans l’architecture ASIM, consultez le Diagramme de l’architecture ASIM.

Contenu de sécurité de l’authentification

Le contenu d’authentification intégré suivant est pris en charge pour la normalisation ASIM.

Règles analytiques

• Attaque par pulvérisation de mot de passe potentielle (utilise la normalisation de l’authentification)
• Attaque par force brute contre les informations d’identification de l’utilisateur (utilise la normalisation de l’authentification)
• Connexion utilisateur à partir de différents pays/régions dans les 3 heures (utilise la normalisation de l’authentification)
• Connexions à partir d’adresses IP qui tentent de se connecter à des comptes désactivés (utilise la normalisation de l’authentification)

Contenu de sécurité de l’activité de fichier

Le contenu d’activité du fichier intégré suivant est pris en charge pour la normalisation ASIM.

• Détection des menaces basée sur l’IOC hérité

Règles analytiques

• Hachages de porte dérobée SUNBURST et SUPERNOVA (événements de fichier normalisés)

Contenu de sécurité de l’activité de Registre

Le contenu d’activité du registre intégré suivant est pris en charge pour la normalisation ASIM.

Règles analytiques

• Ignorer l’UAC Fodhelper potentiel (version ASIM)

Requêtes de chasse

• Persistance via la clé de Registre IFEO

Contenu de sécurité des requêtes DNS

Le contenu de requête DNS intégré suivant est pris en charge pour la normalisation ASIM.

Contenu de sécurité de la session réseau

Le contenu intégré suivant, associé à la session réseau, est pris en charge pour la normalisation ASIM.

Contenu de sécurité de l’activité de processus

Le contenu d’activité du processus intégré suivant est pris en charge pour la normalisation ASIM.

Contenu de sécurité de la session réseau

Le contenu intégré suivant, associé à la session web, est pris en charge pour la normalisation ASIM.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

• Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
• Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
• Schémas de l’Advanced SIEM Information Model (ASIM)
• Analyseurs de l’Advanced SIEM Information Model (ASIM)
• Utilisation du modèle Advanced Security Information Model (ASIM)
• Modification du contenu Microsoft Sentinel pour utiliser les analyseurs du modèle ASIM (Advanced Security Information Model)