高级安全信息模型 (ASIM) 安全内容(公开预览)

Important

注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

Microsoft Sentinel 中的规范化安全内容包括分析规则、搜寻查询,以及使用统一的规范化分析程序的工作簿。

可以在 sentinel 库和 解决方案Microsoft中找到规范化、内置内容、创建自己的规范化内容或修改现有内容以使用规范化数据。

本文列出了已配置为支持高级安全信息模型 (ASIM) 的内置 Microsoft Sentinel 内容。 虽然提供了指向 Microsoft Sentinel GitHub 存储库的链接作为参考,但也可以在 Microsoft Sentinel Analytics 规则库中找到这些规则。 请使用链接的 GitHub 页复制任何相关的搜寻查询。

若要了解规范化内容如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图

Important

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

身份验证安全内容

ASIM 规范化支持以下内置身份验证内容。

分析规则

文件活动安全内容

ASIM 规范化支持以下内置文件活动内容。

  • 基于旧版 IOC 的威胁检测

分析规则

注册表活动安全内容

ASIM 规范化支持以下内置注册表活动内容。

分析规则

搜寻查询

DNS 查询安全内容

ASIM 规范化支持以下内置 DNS 查询内容。

Solutions 分析规则
DNS Essentials
Log4j 漏洞检测
基于旧版 IOC 的威胁检测
(预览)DNS 事件(ASIM DNS 架构)的 TI 映射域实体
(预览)DNS 事件(ASIM DNS 架构)的 TI 映射 IP 实体
检测到可能的 DGA (ASimDNS)
NXDOMAIN DNS 查询过多(ASIM DNS 架构)
与挖掘池相关的 DNS 事件(ASIM DNS 架构)
与 ToR 代理相关的 DNS 事件(ASIM DNS 架构)
已知 Forest Blizzard 组域 - 2019 年 7 月

网络会话安全内容

ASIM 规范化支持以下内置网络会话相关内容。

Solutions 分析规则 搜寻查询
网络会话概要
Log4j 漏洞检测
基于旧版 IOC 的威胁检测
Log4j 漏洞攻击,又名 Log4Shell IP IOC
来自单一源的失败连接过多(ASIM 网络会话架构)
潜在信标活动(ASIM 网络会话架构)
(预览)网络会话事件(ASIM 网络会话架构)的 TI 映射 IP 实体
检测到端口扫描(ASIM 网络会话架构)
已知 Forest Blizzard 组域 - 2019 年 7 月
从外部 IP 到 OMI 相关端口的连接

进程活动安全内容

ASIM 规范化支持以下内置进程活动内容。

Solutions 分析规则 搜寻查询
Endpoint Threat Protection Essentials
基于旧版 IOC 的威胁检测
可能的 AdFind Recon 工具使用情况(规范化进程事件)
Base64 编码 Windows 进程命令行(规范化进程事件)
回收站中的恶意软件(规范化进程事件)
Midnight Blizzard - vbscript 的可疑 rundll32.exe 执行(规范化进程事件)
SUNBURST 可疑 SolarWinds 子进程(规范化进程事件)
Cscript 脚本每日摘要明细(规范化进程事件)
用户和组的枚举(规范化进程事件)
已添加 Exchange PowerShell 管理单元(规范化进程事件)
主机导出邮箱和删除导出(规范化进程事件)
Invoke-PowerShellTcpOneLine 使用情况(规范化进程事件)
Base64 的 Nishang 反向 TCP Shell(规范化进程事件)
使用非通用/未记录的命令行开关创建的用户摘要(规范化进程事件)
Powercat 下载(规范化进程事件)
PowerShell 下载(规范化进程事件)
给定主机的进程熵(规范化进程事件)
SolarWinds 清单(规范化进程事件)
使用 Adfind 工具进行可疑枚举(规范化进程事件)
Windows 系统关闭/重启(规范化进程事件)
Certutil(LOLBin 和 LOLScript,规范化进程事件)
Rundll32(LOLBin 和 LOLScript,规范化进程事件)
非通用进程 - 下 5%(规范化进程事件)
命令行中的 Unicode 模糊处理

Web 会话安全内容

ASIM 规范化支持以下内置 Web 会话相关内容。

Solutions 分析规则
Log4j 漏洞检测
威胁情报
(预览)Web 会话事件(ASIM Web 会话架构)的 TI 映射域实体
(预览)Web 会话事件(ASIM Web 会话架构)的 TI 映射 IP 实体
与基于域生成算法 (DGA) 的主机名的潜在通信(ASIM 网络会话架构)
客户端向潜在危险文件发出 Web 请求(ASIM Web 会话架构)
主机可能正在运行加密矿工(ASIM Web 会话架构)
主机可能正在运行黑客工具(ASIM Web 会话架构)
主机可能正在运行 PowerShell 以发送 HTTP(S) 请求(ASIM Web 会话架构)
Discord CDN 有风险的文件下载(ASIM Web 会话架构)
来自源的 HTTP 身份验证失败次数过多(ASIM Web 会话架构)
用户代理搜索 Log4j 攻击尝试

后续步骤

有关详细信息,请参阅: