Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El contenido de seguridad normalizado de Microsoft Sentinel incluye reglas de análisis, consultas de búsqueda y libros que funcionan con analizadores de normalización unificadores.
Puede encontrar contenido normalizado e integrado en Microsoft Sentinel galerías y soluciones, crear su propio contenido normalizado o modificar el contenido existente para usar datos normalizados.
En este artículo se muestra el contenido integrado Microsoft Sentinel que se ha configurado para admitir el modelo de información de seguridad avanzada (ASIM). Aunque los vínculos al repositorio de GitHub Microsoft Sentinel se proporcionan como referencia, también puede encontrar estas reglas en la galería de reglas de Microsoft Sentinel Analytics. Use las páginas vinculadas de GitHub para copiar las consultas de búsqueda pertinentes.
Para comprender cómo se ajusta el contenido normalizado dentro de la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
Sugerencia
Vea también el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas. Para más información, vea Pasos siguientes.
Contenido de seguridad de autenticación
El siguiente contenido de autenticación integrado se admite para la normalización de ASIM.
Reglas de análisis
- Posible ataque de difusión de contraseña (usa la normalización de autenticación)
- Ataque por fuerza bruta contra las credenciales de usuario (usa la normalización de autenticación)
- Inicio de sesión de usuario desde diferentes países o regiones en un plazo de 3 horas (usa la normalización de autenticación)
- Inicios de sesión desde direcciones IP que intentan iniciar sesión en cuentas deshabilitadas (usa la normalización de autenticación)
Contenido de seguridad de la actividad de archivo
El siguiente contenido de actividad de archivo integrado es compatible con la normalización de ASIM.
Reglas de análisis
Contenido de seguridad de la actividad del Registro
El siguiente contenido de actividad del Registro integrado es compatible con la normalización de ASIM.
Reglas de análisis
Consultas de búsqueda
Contenido de seguridad de consultas DNS
El siguiente contenido de consulta DNS integrado es compatible con la normalización de ASIM.
Contenido de seguridad de sesión de red
El siguiente contenido integrado relacionado con la sesión de red se admite para la normalización de ASIM.
Procesar el contenido de seguridad de la actividad
El siguiente contenido de actividad de proceso integrado se admite para la normalización de ASIM.
Contenido de seguridad de sesión web
El siguiente contenido integrado relacionado con la sesión web se admite para la normalización de ASIM.
Siguientes pasos
Para más información, vea:
- Vea el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Analizadores del modelo de información de seguridad avanzada (ASIM)
- Uso del modelo de información de seguridad avanzada (ASIM)
- Modificar Microsoft Sentinel contenido para usar los analizadores del modelo de información de seguridad avanzada (ASIM)