高级安全信息模型 (ASIM) 安全内容(公开预览)

Microsoft Sentinel 中的规范化安全内容包括分析规则、搜寻查询,以及使用统一的规范化分析程序的工作簿。

可在 Microsoft Sentinel 库和解决方案中查找规范化的内置内容、自行创建规范化内容或修改现有内容以使用规范化数据。

本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置 Microsoft Sentinel 内容。 虽然下面提供了 Microsoft Sentinel GitHub 存储库的链接作为参考,但也可在 Microsoft Sentinel Analytics 规则库中找到这些规则。 请使用链接的 GitHub 页复制任何相关的搜寻查询。

若要了解规范化内容如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

身份验证安全内容

ASIM 规范化支持以下内置身份验证内容。

分析规则

DNS 查询安全内容

ASIM 规范化支持以下内置 DNS 查询内容。

解决方案

  • DNS Essentials
  • Log4j 漏洞检测
  • 基于旧版 IOC 的威胁检测

分析规则

文件活动安全内容

ASIM 规范化支持以下内置文件活动内容。

  • 基于旧版 IOC 的威胁检测

分析规则

网络会话安全内容

ASIM 规范化支持以下内置网络会话相关内容。

解决方案

  • Network Session Essentials
  • Log4j 漏洞检测
  • 基于旧版 IOC 的威胁检测

分析规则

搜寻查询

进程活动安全内容

ASIM 规范化支持以下内置进程活动内容。

解决方案

  • 终结点威胁防护要点
  • 基于旧版 IOC 的威胁检测

分析规则

搜寻查询

注册表活动安全内容

ASIM 规范化支持以下内置注册表活动内容。

分析规则

搜寻查询

Web 会话安全内容

ASIM 规范化支持以下内置 Web 会话相关内容。

解决方案

  • Log4j 漏洞检测
  • 威胁情报

分析规则

后续步骤

本文讨论高级安全信息模型 (ASIM) 内容。

有关详细信息,请参阅: