Microsoft Sentinel の正規化されたセキュリティ コンテンツには、統合された正規化パーサーで使用できる分析ルール、ハンティング クエリ、ブックが含まれています。
Microsoft Sentinel のギャラリーやで正規化された組み込みのコンテンツを見つけること、独自の正規化されたコンテンツを作成すること、正規化されたデータを使用するために既存のコンテンツを変更することができます。
この記事では、Advanced Security Information Model (ASIM) をサポートするように構成された組み込みの Microsoft Sentinel コンテンツを紹介します。 Microsoft Sentinel GitHub リポジトリへのリンクは参照として提供されますが、これらのルールは Microsoft Sentinel Analytics ルール ギャラリーでも確認できます。 ルールに関連するハンティング クエリをコピーするには、リンクされた GitHub ページを使用してください。
正規化されたコンテンツが ASIM アーキテクチャにどのように適合するかを理解するには、ASIM アーキテクチャの図を参照してください。
ヒント
また、Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。 詳細については、「次のステップ」を参照してください。
認証のセキュリティ コンテンツ
ASIM の正規化では、次の組み込みの認証コンテンツがサポートされています。
分析ルール
- 潜在的なパスワード スプレー攻撃 (認証正規化を使用)
- Brute force attack against user credentials (Uses Authentication Normalization) (ユーザー資格情報に対するブルート フォース攻撃 (認証正規化を使用))
- 3 時間以内に異なる国/地域からのユーザー ログイン (認証正規化を使用)
- Sign-ins from IPs that attempt sign-ins to disabled accounts (Uses Authentication Normalization) (無効なアカウントへのサインインを試行する IP からのサインイン (認証正規化を使用))
ファイル アクティビティのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのファイル アクティビティ コンテンツがサポートされています。
分析ルール:
レジストリ アクティビティのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのレジストリ アクティビティ コンテンツがサポートされています。
分析ルール
ハンティング クエリ
DNS クエリのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みの DNS クエリ コンテンツがサポートされています。
ネットワーク セッションのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのネットワーク セッション関連コンテンツがサポートされています。
プロセス アクティビティのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みのプロセス アクティビティ コンテンツがサポートされています。
Web セッションのセキュリティ コンテンツ
ASIM の正規化では、次の組み込みの Web セッション関連コンテンツがサポートされています。
次のステップ
詳細については、次を参照してください。
- Microsoft Sentinel の正規化パーサーと正規化されたコンテンツに関する詳しいウェビナーをこちらでご視聴いただけます。スライドはこちらでご確認いただけます。
- Advanced Security Information Model (ASIM) の概要
- Advanced Security Information Model (ASIM) スキーマ
- Advanced Security Information Model (ASIM) のパーサー
- Advanced Security Information Model (ASIM) の使用
- Advanced Security Information Model (ASIM) パーサーを使用するように Microsoft Sentinel コンテンツを変更する | Microsoft Docs