Partilhar via

Conteúdo de segurança ASIM (Advanced Security Information Model)

O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras de análise, consultas de caça e pastas de trabalho que funcionam com analisadores de normalização unificadores.

Você pode encontrar conteúdo interno normalizado nas galerias e soluções do Microsoft Sentinel, criar seu próprio conteúdo normalizado ou modificar o conteúdo existente para usar dados normalizados.

Este artigo lista o conteúdo interno do Microsoft Sentinel que foi configurado para oferecer suporte ao ASIM (Advanced Security Information Model). Embora os links para o repositório GitHub do Microsoft Sentinel sejam fornecidos como referência, você também pode encontrar essas regras na galeria de regras do Microsoft Sentinel Analytics. Use as páginas vinculadas do GitHub para copiar quaisquer consultas de caça relevantes.

Para entender como o conteúdo normalizado se encaixa na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.

Gorjeta

Assista também ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides. Para obter mais informações, veja Passos seguintes.

Conteúdo de segurança de autenticação

O seguinte conteúdo de autenticação interna é suportado para normalização do ASIM.

Regras de análise

Conteúdo de segurança da Atividade de Arquivo

O seguinte conteúdo interno de atividade de arquivo é suportado para normalização do ASIM.

Regras do Google Analytics

Conteúdo de segurança da atividade de registo

O seguinte conteúdo interno da atividade do registro é suportado para normalização do ASIM.

Regras de análise

Consultas de investigação

Conteúdo de segurança de consulta DNS

O seguinte conteúdo de consulta DNS interno é suportado para normalização do ASIM.

Soluções Regras de análise
DNS Essentials
Deteção de vulnerabilidade do Log4j
Deteção de ameaças legada baseada no COI		 Entidade de domínio do mapa TI para eventos DNS (esquema DNS ASIM)
TI mapeia entidade IP para eventos DNS (esquema DNS ASIM)
DGA potencial detetada (ASimDNS)
Consultas DNS NXDOMAIN excessivas (esquema DNS ASIM)
Eventos DNS relacionados a pools de mineração (Esquema DNS ASIM)
Eventos DNS relacionados a proxies ToR (ASIM DNS Schema)
Domínios conhecidos do grupo Forest Blizzard - julho 2019

Conteúdo de segurança da sessão de rede

O seguinte conteúdo interno relacionado à sessão de rede é suportado para normalização do ASIM.

Soluções Regras de análise Consultas de investigação
Noções básicas de sessão de rede
Deteção de vulnerabilidade do Log4j
Deteção de ameaças legada baseada no COI		 Exploração da vulnerabilidade Log4j, também conhecida como Log4Shell IP IOC
Número excessivo de conexões com falha de uma única fonte (esquema de sessão de rede ASIM)
Atividade potencial de beaconing (esquema de sessão de rede ASIM)
TI mapeia entidade IP para eventos de sessão de rede (esquema de sessão de rede ASIM)
Varredura de porta detetada (esquema de sessão de rede ASIM)
Domínios conhecidos do grupo Forest Blizzard - julho 2019		 Conexão de IP externo a portas relacionadas ao OMI

Conteúdo de segurança da atividade de processo

O seguinte conteúdo de atividade de processo interno é suportado para normalização do ASIM.

Soluções Regras de análise Consultas de investigação
Fundamentos da Proteção contra Ameaças de Pontos Finais
Deteção de ameaças legada baseada no COI		 Provável uso da ferramenta AdFind Recon (eventos de processo normalizados)
Linhas de comando de processo do Windows codificadas em Base64 (Eventos de Processo Normalizado)
Malware na lixeira (Eventos de Processo Normalizado)
Midnight Blizzard - execução suspeita de rundll32.exe de vbscript (Eventos de Processo Normalizado)
SUNBURST processos filho suspeitos do SolarWinds (Eventos de Processo Normalizado)		 Detalhamento de resumo diário do script Cscript (Eventos de Processo Normalizado)
Enumeração de usuários e grupos (Eventos de Processo Normalizado)
Snapin do Exchange PowerShell adicionado (eventos de processo normalizados)
Host exportando caixa de correio e removendo exportação (eventos de processo normalizado)
Uso de Invoke-PowerShellTcpOneLine (Eventos de Processo Normalizado)
Nishang Reverse TCP Shell em Base64 (Eventos de Processo Normalizado)
Resumo dos usuários criados usando opções de linha de comando incomuns/não documentadas (Eventos de Processo Normalizado)
Download do Powercat (Eventos de processo normalizados)
Downloads do PowerShell (Eventos de Processo Normalizado)
Entropia para processos para um determinado host (eventos de processo normalizados)
Inventário da SolarWinds (eventos de processo normalizados)
Enumeração suspeita usando a ferramenta Adfind (Eventos de processo normalizados)
Desligamento/reinicialização do sistema Windows (eventos de processo normalizados)
Certutil (LOLBins e LOLScripts, eventos de processo normalizados)
Rundll32 (LOLBins e LOLScripts, eventos de processo normalizados)
Processos incomuns - 5% inferiores (Eventos de Processo Normalizado)
Ofuscação Unicode na linha de comando

Conteúdo de segurança da sessão da Web

O seguinte conteúdo interno relacionado à sessão da Web é suportado para normalização do ASIM.

Soluções Regras de análise
Deteção de vulnerabilidade do Log4j
Inteligência de ameaças		 Mapa de TI Entidade de domínio para eventos de sessão da Web (esquema de sessão da Web ASIM)
TI mapeia entidade IP para eventos de sessão da Web (esquema ASIM Web Session)
Comunicação potencial com um nome de host baseado em algoritmo de geração de domínio (DGA) (esquema de sessão de rede ASIM)
Um cliente fez uma solicitação da Web para um arquivo potencialmente prejudicial (esquema ASIM Web Session)
Um host está potencialmente executando um minerador de criptografia (esquema ASIM Web Session)
Um host está potencialmente executando uma ferramenta de hacking (esquema ASIM Web Session)
Um host está potencialmente executando o PowerShell para enviar solicitações HTTP(S) (esquema ASIM Web Session)
Download do arquivo Discord CDN Risky (esquema de sessão da Web ASIM)
Número excessivo de falhas de autenticação HTTP de uma origem (esquema ASIM Web Session)
Pesquisa de agente do usuário para tentativa de exploração do Log4j

Próximos passos

Para obter mais informações, consulte:

  • Last updated on