حلول المجال المستندة إلى نموذج معلومات الأمان المتقدم (ASIM) ل Microsoft Sentinel (معاينة)
حلول Microsoft الأساسية هي حلول المجال التي تنشرها Microsoft ل Microsoft Sentinel. تحتوي هذه الحلول على محتوى غير مجزئ يمكن أن يعمل عبر منتجات متعددة لفئات معينة مثل الشبكات. تستخدم بعض هذه الحلول الأساسية تقنية التطبيع نموذج معلومات الأمان المتقدم (ASIM) لتطبيع البيانات في وقت الاستعلام أو وقت الاستيعاب.
هام
حلول Microsoft الأساسية وحل Network Session Essentials قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
لماذا تستخدم حلول Microsoft الأساسية المستندة إلى ASIM؟
عندما تشترك حلول متعددة في فئة مجال في أنماط اكتشاف مماثلة، فمن المنطقي أن يتم التقاط البيانات ضمن مخطط تمت تسويته مثل ASIM. تستخدم الحلول الأساسية مخطط ASIM هذا للكشف عن التهديدات على نطاق واسع.
في مركز المحتوى، هناك حلول منتجات متعددة لفئات المجال المختلفة مثل "الأمان - الشبكة". على سبيل المثال، يحتوي جدار حماية Azure وجدار حماية Palo Alto و Corelight على حلول منتجات لفئة المجال "الأمان - الشبكة".
- تحتوي هذه الحلول على مكونات استيعاب بيانات مختلفة حسب التصميم. ولكن هناك نمطا معينا للتحليقات والتتبع والمصنفات والمحتوى الآخر ضمن نفس فئة المجال.
- تحتوي معظم منتجات الشبكة الرئيسية على مجموعة أساسية شائعة من تنبيهات جدار الحماية التي تتضمن تهديدات ضارة قادمة من عناوين IP غير عادية. قالب القاعدة التحليلية، بشكل عام، مكرر لكل فئة من فئة "الأمان - الشبكة" لحلول المنتج. إذا كنت تقوم بتشغيل منتجات شبكة متعددة، فأنت بحاجة إلى التحقق من قواعد تحليلية متعددة وتكوينها بشكل فردي، وهو أمر غير فعال. ستحصل أيضا على تنبيهات لكل قاعدة تم تكوينها وقد ينتهي الأمر بتعب التنبيه.
- إذا كان لديك استعلامات تتبع متكررة، فقد يكون لديك تجارب صيد أقل أداء مع وضع التشغيل الكل للتتبع. تقدم استعلامات التتبع المتكررة هذه أيضا أوجه قصور لمتتبعي التهديدات لتحديد وتشغيل استعلامات مماثلة.
قد تفكر في حلول Microsoft الأساسية للأسباب التالية:
- يسهل لك المخطط الذي تمت تسويته الاستعلام عن تفاصيل الحادث. لا يتعين عليك تذكر بناء جملة مورد مختلف لسمات السجل المماثلة.
- إذا لم يكن عليك إدارة المحتوى لحلول متعددة، فإن استخدام نشر حالة الأحرف ومعالجة الحوادث أسهل.
- تمنحك طريقة عرض المصنف الموحد رؤية أفضل للبيئة وتحليل وقت الاستعلام المحتمل مع محللات ASIM عالية الأداء.
مخططات ASIM المدعومة
تمتد حلول الأساسيات حاليا عبر مخططات ASIM المختلفة التالية التي يدعمها Sentinel:
- حدث التدقيق
- حدث المصادقة
- نشاط DNS
- نشاط الملف
- جلسة عمل الشبكة
- حدث المعالجة
- جلسة عمل ويب
لمزيد من المعلومات، راجع مخططات نموذج معلومات الأمان المتقدمة (ASIM).
تطبيع وقت الاستيعاب
يمكن استيعاب نتائج تسوية وقت الاستيعاب في الجدول التالي الذي تمت تسويته:
- سجلات نشاط ASimDns لمخطط DNS.
- ASimNetworkSessionLogs لمخطط جلسة عمل الشبكة
لمزيد من المعلومات، راجع استيعاب تطبيع الوقت.
المحتوى المتوفر مع حلول المجال الأساسية المستندة إلى ASIM
يصف الجدول التالي نوع المحتوى المتوفر مع كل حل أساسي. بالنسبة لبعض حالات الاستخدام المحددة، قد تحتاج أيضا إلى استخدام المحتوى المتوفر مع حل منتج Microsoft Sentinel.
| نوع المحتوى | الوصف |
|---|---|
| قاعدة تحليلية | القواعد التحليلية المتوفرة في الحلول الأساسية المستندة إلى ASIM عامة ومناسبة تماما لأي من حلول منتجات Microsoft Sentinel التابعة لهذا المجال. قد يحتوي حل منتج Microsoft Sentinel على حالة استخدام خاصة بالمصدر مشمولة كجزء من القاعدة التحليلية. تمكين قواعد حل منتج Microsoft Sentinel حسب الحاجة للبيئة الخاصة بك. |
| استعلام التتبع | استعلامات التتبع المتوفرة في الحلول الأساسية المستندة إلى ASIM عامة ومناسبة تماما للبحث عن التهديدات من أي من حلول منتجات Microsoft Sentinel التابعة لهذا المجال. قد يحتوي حل منتج Microsoft Sentinel على استعلام تتبع محدد المصدر متوفر خارج الصندوق. استخدم استعلامات التتبع من حل منتج Microsoft Sentinel حسب الحاجة للبيئة الخاصة بك. |
| دليل المبادئ | من المتوقع أن تتعامل الحلول الأساسية المستندة إلى ASIM مع البيانات بأحداث عالية في الثانية. عندما يكون لديك محتوى يستخدم حجم البيانات هذا، قد تواجه بعض التأثير على الأداء الذي قد يتسبب في بطء تحميل المصنفات أو نتائج الاستعلام. لحل هذه المشكلة، يلخص دليل المبادئ التلخيص سجلات المصدر ويخزن المعلومات في جدول معرف مسبقا. تمكين دليل مبادئ التلخيص للسماح للحلول الأساسية بالاستعلام عن هذا الجدول. نظرا لأن أدلة المبادئ في Microsoft Sentinel تستند إلى مهام سير العمل المضمنة في Azure Logic Apps التي تنشئ موارد منفصلة، فقد يتم تطبيق رسوم أخرى. لمزيد من المعلومات، راجع صفحة تسعير Azure Logic Apps. قد تنطبق رسوم أخرى أيضا على تخزين البيانات الملخصة. |
| Watchlist | تستخدم الحلول الأساسية المستندة إلى ASIM قائمة مراقبة تتضمن مجموعات متعددة من الشروط للكشف عن القواعد التحليلية واستعلامات التتبع. تسمح لك قائمة المشاهدة بالقيام بالمهام التالية: - قم بمراقبة مركزة مع ترشيح البيانات. - التبديل بين التتبع والكشف لكل عنصر قائمة. - حافظ على تعيين نوع الحد إلى ثابت للاستفادة من التنبيه المستند إلى العتبة بينما ستتعلم التنبيهات المستندة إلى الحالات الشاذة من الأيام القليلة الماضية من البيانات (14 يوما كحد أقصى). - تعديل اسم التنبيه والوصف والتكتيك والخطورة باستخدام قائمة المراقبة هذه لعناصر القائمة الفردية. - تعطيل الكشف عن طريق تعيين الخطورة على أنها معطل. |
| مصنف | يوفر المصنف المتوفر مع الحلول الأساسية المستندة إلى ASIM عرضا موحدا للأحداث والنشاطات المختلفة التي تحدث في المجال التابع. نظرا لأن هذا المصنف يجلب نتائج من حجم كبير جدا من البيانات، فقد يكون هناك بعض التأخر في الأداء. إذا واجهت مشكلات في الأداء، فاستخدم دليل مبادئ التلخيص. |
لا تحتوي هذه الحلول الأساسية مثل حلول مجال Microsoft Sentinel الأخرى على موصل خاص بها. وهي تعتمد على الموصلات الخاصة بالمصدر في حلول منتجات Microsoft Sentinel لسحب السجلات. لفهم المنتجات التي يدعمها حل المجال، راجع قائمة المتطلبات الأساسية لحلول المنتج لكل قائمة من قوائم حلول أساسيات مجال ASIM. قم بتثبيت حل واحد أو أكثر من حلول المنتجات. قم بتكوين موصلات البيانات لتلبية احتياجات تبعية المنتج الأساسية ولتمكين استخدام أفضل لمحتوى حل المجال هذا.
المقالات ذات الصلة
- ابحث عن حلول المجال الأساسية المستندة إلى ASIM مثل Network Session Essentials وDNS Essentials Solution ل Microsoft Sentinel
- استخدام نموذج معلومات الأمان المتقدم (ASIM)