Microsoft Sentinelの正規化されたセキュリティ コンテンツには、正規化パーサーを統合する分析ルール、ハンティング クエリ、ブックが含まれます。
正規化された組み込みのコンテンツは、Microsoft Sentinelギャラリーとソリューションで見つけたり、独自の正規化されたコンテンツを作成したり、正規化されたデータを使用するように既存のコンテンツを変更したりできます。
この記事では、高度なセキュリティ情報モデル (ASIM) をサポートするように構成された組み込みのMicrosoft Sentinel コンテンツの一覧を示します。 Microsoft Sentinel GitHub リポジトリへのリンクは参照として提供されますが、これらのルールは Microsoft Sentinel Analytics ルール ギャラリーにも表示されます。 リンクされた GitHub ページを使用して、関連するハンティング クエリをコピーします。
正規化されたコンテンツが ASIM アーキテクチャにどのように適合するかを理解するには、 ASIM アーキテクチャの図を参照してください。
ヒント
また、パーサーの正規化と正規化されたコンテンツのMicrosoft Sentinelに関する詳細なウェビナーを見るか、スライドを確認してください。 詳細については、「次の手順」を参照してください。
認証セキュリティ コンテンツ
ASIM 正規化では、次の組み込みの認証コンテンツがサポートされています。
分析ルール
- パスワード スプレー攻撃の可能性 (認証正規化を使用)
- ユーザー資格情報に対するブルート フォース攻撃 (認証正規化を使用)
- 3 時間以内に異なる国/地域からのユーザー ログイン (認証正規化を使用)
- 無効なアカウントへのサインインを試みる IP からのサインイン (認証正規化を使用)
ファイル アクティビティのセキュリティ コンテンツ
ASIM 正規化では、次の組み込みのファイル アクティビティ コンテンツがサポートされています。
分析ルール
レジストリ アクティビティのセキュリティ コンテンツ
ASIM 正規化では、次の組み込みのレジストリ アクティビティ コンテンツがサポートされています。
分析ルール
ハンティング クエリ
DNS クエリのセキュリティ コンテンツ
ASIM 正規化では、次の組み込みの DNS クエリ コンテンツがサポートされています。
ネットワーク セッションのセキュリティ コンテンツ
ASIM 正規化では、次の組み込みのネットワーク セッション関連コンテンツがサポートされています。
プロセス アクティビティのセキュリティ コンテンツ
ASIM 正規化では、次の組み込みのプロセス アクティビティ コンテンツがサポートされています。
Web セッションのセキュリティ コンテンツ
ASIM 正規化では、次の組み込みの Web セッション関連コンテンツがサポートされています。
次の手順
詳細については、以下を参照してください。