Conteúdo de segurança do ASIM (Advanced Security Information Model)

O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras analíticas, consultas de busca e pastas de trabalho que funcionam com analisadores de normalização unificados.

Você pode encontrar conteúdo interno normalizado em galerias e do Microsoft Sentinel, criar seu conteúdo normalizado ou modificar o conteúdo existente para usar dados normalizados.

Este artigo lista o conteúdo do Microsoft Sentinel integrado que foi configurado para dar suporte ao ASIM (Modelo de Informações de Segurança Avançado). Embora os links para o repositório GitHub do Microsoft Sentinel sejam fornecidos como referência, você também pode encontrar essas regras na galeria de regras do Microsoft Sentinel Analytics. Use as páginas GitHub vinculadas para copiar todas as consultas de busca relevantes.

Para entender como o conteúdo normalizado se ajusta à arquitetura do ASIM, veja o Diagrama de arquitetura do ASIM.

Conteúdo de segurança de autenticação

O conteúdo de autenticação interno a seguir tem suporte para normalização do ASIM.

Regras de análise

• Ataque potencial de pulverização de senha (usa a normalização de autenticação)
• Ataque de força bruta contra credenciais do usuário (usa a normalização de autenticação)
• Login de usuário de diferentes países/regiões em 3 horas (usa normalização de autenticação)
• Entradas de IPs que tentam entrar em contas desabilitadas (usa a normalização de autenticação)

Conteúdo de segurança da atividade de arquivo

O conteúdo de atividade de arquivo interno a seguir tem suporte para normalização do ASIM.

• Detecção de Ameaças Baseada em IOC Herdada

Regras de análise

• Hashes de backdoor SUNBURST e SUPERNOVA (eventos de arquivo normalizados)

Conteúdo de segurança da atividade de registro

O conteúdo de atividade de registro interno a seguir tem suporte para normalização do ASIM.

Regras de análise

• Possível bypass do UAC Fodhelper (versão ASIM)

Consultas de busca

• Persistindo por meio da chave do registro IFEO

Conteúdo de segurança de consulta DNS

O conteúdo de consulta DNS interno a seguir tem suporte para normalização do ASIM.

Conteúdo de segurança da sessão de rede

O conteúdo relacionado à sessão de rede interna a seguir tem suporte para normalização do ASIM.

Conteúdo de segurança da atividade de processo

O conteúdo de atividade de processo interno a seguir tem suporte para normalização do ASIM.

Conteúdo de segurança da sessão da Web

O conteúdo relacionado à sessão da Web interna a seguir tem suporte para normalização do ASIM.

Próximas etapas

Para obter mais informações, consulte:

• Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
• Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
• Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
• Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
• Usando o ASIM (Modelo de Informações de Segurança Avançado)
• Modificando o conteúdo do Microsoft Sentinel para usar os analisadores do ASIM (Modelo de Informações de Segurança Avançado)