你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的规范化安全内容包括分析规则、搜寻查询,以及使用统一的规范化分析程序的工作簿。
可在 Microsoft Sentinel 库和解决方案中查找规范化的内置内容、自行创建规范化内容或修改现有内容以使用规范化数据。
本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置 Microsoft Sentinel 内容。 虽然提供了指向 Microsoft Sentinel GitHub 存储库的链接作为参考,但也可以在 Microsoft Sentinel Analytics 规则库中找到这些规则。 请使用链接的 GitHub 页复制任何相关的搜寻查询。
若要了解规范化内容如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
提示
另请观看关于 Microsoft Sentinel 规范化分析程序和规范化内容的深入探讨网络研讨会或查看幻灯片。 有关详细信息,请参阅后续步骤。
身份验证安全内容
ASIM 规范化支持以下内置身份验证内容。
分析规则
- 潜在的密码喷涂攻击(使用身份验证规范化)
- 对用户凭据进行的暴力攻击(使用身份验证规范化)
- 用户在 3 小时内从不同国家/地区登录(使用身份验证规范化)
- 尝试登录已禁用帐户的 IP 登录(使用身份验证规范化)
文件活动安全内容
ASIM 规范化支持以下内置文件活动内容。
分析规则
注册表活动安全内容
ASIM 规范化支持以下内置注册表活动内容。
分析规则
搜寻查询
DNS 查询安全内容
ASIM 规范化支持以下内置 DNS 查询内容。
网络会话安全内容
ASIM 规范化支持以下内置网络会话相关内容。
进程活动安全内容
ASIM 规范化支持以下内置进程活动内容。
Web 会话安全内容
ASIM 规范化支持以下内置 Web 会话相关内容。
后续步骤
有关详细信息,请参阅: