Important
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
Microsoft Sentinel 中的规范化安全内容包括分析规则、搜寻查询,以及使用统一的规范化分析程序的工作簿。
可以在 sentinel 库和 解决方案Microsoft中找到规范化、内置内容、创建自己的规范化内容或修改现有内容以使用规范化数据。
本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置 Microsoft Sentinel 内容。 虽然提供了指向 Microsoft Sentinel GitHub 存储库的链接作为参考,但也可以在 Microsoft Sentinel Analytics 规则库中找到这些规则。 请使用链接的 GitHub 页复制任何相关的搜寻查询。
若要了解规范化内容如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
身份验证安全内容
ASIM 规范化支持以下内置身份验证内容。
分析规则
- 潜在的密码喷涂攻击(使用身份验证规范化)
- 对用户凭据进行的暴力攻击(使用身份验证规范化)
- 3 小时内来自不同国家/地区的用户登录(使用身份验证规范化)
- 尝试登录已禁用帐户的 IP 登录(使用身份验证规范化)
文件活动安全内容
ASIM 规范化支持以下内置文件活动内容。
- 基于旧版 IOC 的威胁检测
分析规则
注册表活动安全内容
ASIM 规范化支持以下内置注册表活动内容。
分析规则
搜寻查询
DNS 查询安全内容
ASIM 规范化支持以下内置 DNS 查询内容。
| Solutions | 分析规则 |
|---|---|
| DNS Essentials Log4j 漏洞检测 基于旧版 IOC 的威胁检测 |
TI 将域实体映射到 DNS 事件(ASIM DNS 架构)](https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Threat%20Intelligence/Analytic%20Rules/imDns_DomainEntity_DnsEvents.yaml) (预览)DNS 事件(ASIM DNS 架构)的 TI 映射 IP 实体 检测到可能的 DGA (ASimDNS) NXDOMAIN DNS 查询过多(ASIM DNS 架构) 与挖掘池相关的 DNS 事件(ASIM DNS 架构) 与 ToR 代理相关的 DNS 事件(ASIM DNS 架构) 已知 Forest Blizzard 组域 - 2019 年 7 月 |
网络会话安全内容
ASIM 规范化支持以下内置网络会话相关内容。
| Solutions | 分析规则 | 搜寻查询 |
|---|---|---|
| 网络会话概要 Log4j 漏洞检测 基于旧版 IOC 的威胁检测 |
Log4j 漏洞攻击,又名 Log4Shell IP IOC 来自单一源的失败连接过多(ASIM 网络会话架构) 潜在信标活动(ASIM 网络会话架构) TI 将 IP 实体映射到 ASIM 网络会话架构 (网络会话事件) 检测到端口扫描(ASIM 网络会话架构) 已知 Forest Blizzard 组域 - 2019 年 7 月 |
从外部 IP 到 OMI 相关端口的连接 |
进程活动安全内容
ASIM 规范化支持以下内置进程活动内容。
Web 会话安全内容
ASIM 规范化支持以下内置 Web 会话相关内容。