Microsoft Sentinel 정규화된 보안 콘텐츠에는 통합 정규화 파서와 함께 작동하는 분석 규칙, 헌팅 쿼리 및 통합 문서가 포함됩니다.
Microsoft Sentinel 갤러리 및 솔루션에서 정규화된 기본 제공 콘텐츠를 찾거나, 정규화된 콘텐츠를 만들거나, 정규화된 데이터를 사용하도록 기존 콘텐츠를 수정할 수 있습니다.
이 문서에서는 ASIM(고급 보안 정보 모델)을 지원하도록 구성된 기본 제공 Microsoft Sentinel 콘텐츠를 나열합니다. Microsoft Sentinel GitHub 리포지토리에 대한 링크는 참조로 제공되지만 Microsoft Sentinel Analytics 규칙 갤러리에서 이러한 규칙을 찾을 수도 있습니다. 연결된 GitHub 페이지를 사용하여 관련 헌팅 쿼리를 복사합니다.
정규화된 콘텐츠가 ASIM 아키텍처 내에서 어떻게 적합한지 이해하려면 ASIM 아키텍처 다이어그램을 참조하세요.
팁
또한 파서 정규화 및 정규화된 콘텐츠 Microsoft Sentinel 심층 분석 웨비나를 시청하거나 슬라이드를 검토합니다. 자세한 내용은 다음 단계를 참조하세요.
인증 보안 콘텐츠
ASIM 정규화를 위해 다음과 같은 기본 제공 인증 콘텐츠가 지원됩니다.
분석 규칙
- 잠재적인 암호 스프레이 공격(인증 정규화 사용)
- 사용자 자격 증명에 대한 무차별 암호 대입 공격(인증 정규화 사용)
- 3시간 이내에 다른 국가/지역의 사용자 로그인(인증 정규화 사용)
- 비활성화된 계정에 로그인을 시도하는 IP의 로그인(인증 정규화 사용)
파일 활동 보안 콘텐츠
ASIM 정규화를 위해 다음과 같은 기본 제공 파일 작업 콘텐츠가 지원됩니다.
분석 규칙
레지스트리 활동 보안 콘텐츠
다음 기본 제공 레지스트리 활동 콘텐츠는 ASIM 정규화를 위해 지원됩니다.
분석 규칙
헌팅 쿼리
DNS 쿼리 보안 콘텐츠
다음 기본 제공 DNS 쿼리 콘텐츠는 ASIM 정규화를 위해 지원됩니다.
네트워크 세션 보안 콘텐츠
ASIM 정규화를 위해 다음과 같은 기본 제공 네트워크 세션 관련 콘텐츠가 지원됩니다.
작업 보안 콘텐츠 처리
ASIM 정규화를 위해 다음과 같은 기본 제공 프로세스 작업 콘텐츠가 지원됩니다.
웹 세션 보안 콘텐츠
ASIM 정규화를 위해 다음과 같은 기본 제공 웹 세션 관련 콘텐츠가 지원됩니다.
다음 단계
자세한 내용은 다음을 참조하세요.