Microsoft Sentinel 中的正規化安全性內容包括分析規則、搜捕查詢,以及搭配統一正規化剖析器使用的活頁簿。
您可以在Microsoft Sentinel 資源庫和 解決方案中找到標準化的內建內容、建立您自己的正規化內容,或修改現有的內容以使用標準化數據。
本文列出已設定為支援進階安全性資訊模型 (ASIM) 的內建Microsoft Sentinel 內容。 雖然提供Microsoft Sentinel GitHub 存放庫的鏈接作為參考,但您也可以在 Microsoft Sentinel Analytics 規則庫中找到這些規則。 使用連結的 GitHub 頁面來複製任何相關的搜捕查詢。
若要了解正規化內容如何放入 ASIM 架構,請參閱 ASIM 架構圖。
提示
另請觀看有關 Microsoft Sentinel 正規化剖析器和正規化內容的深入探討網路研討會,或檢閱投影片。 如需詳細資訊,請參閱後續步驟。
驗證安全性內容
ASIM 正規化支援下列內建驗證內容。
Analytics 規則
- 潛在的密碼噴灑攻擊 (使用驗證正規化)
- 針對使用者認證的暴力密碼破解攻擊 (使用驗證正規化)
- 3 小時內來自不同國家/地區的使用者登入(使用驗證正規化)
- 嘗試登入已停用帳戶的 IP 登入(使用驗證正規化)
檔案活動安全性內容
ASIM 正規化支援下列內建檔案活動內容。
分析規則
登錄活動安全性內容
ASIM 正規化支援下列內建登錄活動內容。
Analytics 規則
搜捕查詢
DNS 查詢安全性內容
ASIM 正規化支援下列內建 DNS 查詢內容。
網路會話安全性內容
ASIM 正規化支援下列內建網路會話相關內容。
處理活動安全性內容
ASIM 正規化支援下列內建進程活動內容。
Web 工作話安全性內容
ASIM 正規化支援下列內建 Web 工作階段相關內容。
下一步
如需詳細資訊,請參閱