高级安全信息模型 (ASIM) 安全内容

Microsoft Sentinel中的规范化安全内容包括分析规则、搜寻查询以及使用统一规范化分析器的工作簿。

可以在Microsoft Sentinel库和解决方案中找到规范化内置内容，创建自己的规范化内容，或修改现有内容以使用规范化数据。

本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置Microsoft Sentinel内容。 虽然提供了指向 gitHub 存储库Microsoft Sentinel链接作为参考，但你也可以在 Microsoft Sentinel Analytics 规则库中找到这些规则。 使用链接的 GitHub 页面复制任何相关的搜寻查询。

若要了解规范化内容如何适合 ASIM 体系结构，请参阅 ASIM 体系结构图。

身份验证安全内容

ASIM 规范化支持以下内置身份验证内容。

分析规则

• 潜在的密码喷射攻击 (使用身份验证规范化)
• 针对用户凭据的暴力攻击 (使用身份验证规范化)
• 用户在 3 小时内从不同国家/地区登录， (使用身份验证规范化)
• 尝试登录已禁用帐户的 IP 的登录 (使用身份验证规范化)

文件活动安全内容

ASIM 规范化支持以下内置文件活动内容。

• 基于 IOC 的旧版威胁检测

分析规则

• SUNBURST 和 SUPERNOVA 后门哈希 (规范化文件事件)

注册表活动安全内容

ASIM 规范化支持以下内置注册表活动内容。

分析规则

• 潜在的 Fodhelper UAC 旁路 (ASIM 版本)

搜寻查询

• 通过 IFEO 注册表项持久保存

DNS 查询安全内容

ASIM 规范化支持以下内置 DNS 查询内容。

网络会话安全内容

ASIM 规范化支持以下内置网络会话相关内容。

处理活动安全内容

ASIM 规范化支持以下内置进程活动内容。

Web 会话安全内容

ASIM 规范化支持以下内置 Web 会话相关内容。

后续步骤

有关更多信息，请参阅：

• 观看有关规范化分析器和规范化内容的Microsoft Sentinel深入探讨网络研讨会，或查看幻灯片
• 高级安全信息模型 (ASIM) 概述
• (ASIM) 架构的高级安全信息模型
• 高级安全信息模型 (ASIM) 分析程序
• 使用高级安全信息模型 (ASIM)
• 修改Microsoft Sentinel内容以使用高级安全信息模型 (ASIM) 分析程序