Important
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
Microsoft Sentinel 中的规范化安全内容包括分析规则、搜寻查询,以及使用统一的规范化分析程序的工作簿。
可以在 sentinel 库和 解决方案Microsoft中找到规范化、内置内容、创建自己的规范化内容或修改现有内容以使用规范化数据。
本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置 Microsoft Sentinel 内容。 虽然提供了指向 Microsoft Sentinel GitHub 存储库的链接作为参考,但也可以在 Microsoft Sentinel Analytics 规则库中找到这些规则。 请使用链接的 GitHub 页复制任何相关的搜寻查询。
若要了解规范化内容如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
Important
ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
身份验证安全内容
ASIM 规范化支持以下内置身份验证内容。
分析规则
- 潜在的密码喷涂攻击(使用身份验证规范化)
- 对用户凭据进行的暴力攻击(使用身份验证规范化)
- 3 小时内来自不同国家/地区的用户登录(使用身份验证规范化)
- 尝试登录已禁用帐户的 IP 登录(使用身份验证规范化)
文件活动安全内容
ASIM 规范化支持以下内置文件活动内容。
- 基于旧版 IOC 的威胁检测
分析规则
注册表活动安全内容
ASIM 规范化支持以下内置注册表活动内容。
分析规则
搜寻查询
DNS 查询安全内容
ASIM 规范化支持以下内置 DNS 查询内容。
| Solutions | 分析规则 |
|---|---|
| DNS Essentials Log4j 漏洞检测 基于旧版 IOC 的威胁检测 |
(预览)DNS 事件(ASIM DNS 架构)的 TI 映射域实体 (预览)DNS 事件(ASIM DNS 架构)的 TI 映射 IP 实体 检测到可能的 DGA (ASimDNS) NXDOMAIN DNS 查询过多(ASIM DNS 架构) 与挖掘池相关的 DNS 事件(ASIM DNS 架构) 与 ToR 代理相关的 DNS 事件(ASIM DNS 架构) 已知 Forest Blizzard 组域 - 2019 年 7 月 |
网络会话安全内容
ASIM 规范化支持以下内置网络会话相关内容。
| Solutions | 分析规则 | 搜寻查询 |
|---|---|---|
| 网络会话概要 Log4j 漏洞检测 基于旧版 IOC 的威胁检测 |
Log4j 漏洞攻击,又名 Log4Shell IP IOC 来自单一源的失败连接过多(ASIM 网络会话架构) 潜在信标活动(ASIM 网络会话架构) (预览)网络会话事件(ASIM 网络会话架构)的 TI 映射 IP 实体 检测到端口扫描(ASIM 网络会话架构) 已知 Forest Blizzard 组域 - 2019 年 7 月 |
从外部 IP 到 OMI 相关端口的连接 |
进程活动安全内容
ASIM 规范化支持以下内置进程活动内容。
Web 会话安全内容
ASIM 规范化支持以下内置 Web 会话相关内容。
后续步骤
有关详细信息,请参阅: