التسوية ونموذج معلومات الأمان المتقدم (ASIM)

Microsoft Sentinel استيعاب البيانات من العديد من المصادر. يتطلب العمل مع أنواع البيانات والجداول المختلفة معا فهم كل منها، وكتابة واستخدام مجموعات فريدة من البيانات لقواعد التحليلات والمصنفات واستعلامات التتبع لكل نوع أو مخطط.

في بعض الأحيان، ستحتاج إلى قواعد ومصنفات واستعلامات منفصلة، حتى عندما تشترك أنواع البيانات في عناصر مشتركة، مثل أجهزة جدار الحماية. يمكن أن يكون العلاقة بين أنواع مختلفة من البيانات أثناء التحقيق والتتبع أمرا صعبا أيضا.

نموذج معلومات الأمان المتقدم (ASIM) هو طبقة تقع بين هذه المصادر المتنوعة والمستخدم. يتبع ASIM مبدأ القوة: "كن صارما في ما ترسله، كن مرنا في ما تقبله". باستخدام مبدأ القوة كنمط تصميم، يحول ASIM بيانات تتبع الاستخدام المصدر الخاصة التي تم جمعها بواسطة Microsoft Sentinel إلى بيانات سهلة الاستخدام لتسهيل التبادل والتكامل.

توفر هذه المقالة نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM) وحالات استخدامه والمكونات الرئيسية.

تلميح

شاهد أيضا ندوة ويب ASIM أو راجع شرائح ندوة الإنترنت.

استخدام ASIM الشائع

يوفر ASIM تجربة سلسة للتعامل مع المصادر المختلفة في طرق العرض الموحدة والمتطبيعة، من خلال توفير الوظائف التالية:

• الكشف عبر المصدر. تعمل قواعد التحليلات التي تمت تسويتها عبر المصادر والأماكن المحلية والسحابة، وتكتشف الهجمات مثل القوة الغاشمة أو السفر المستحيل عبر الأنظمة، بما في ذلك Okta وAWS Azure.

• المحتوى غير محدد المصدر. تتوسع تغطية كل من المحتوى المضمن والمخصص باستخدام ASIM تلقائيا إلى أي مصدر يدعم ASIM، حتى إذا تمت إضافة المصدر بعد إنشاء المحتوى. على سبيل المثال، تدعم تحليلات أحداث العملية أي مصدر قد يستخدمه العميل لإحضار البيانات، مثل Microsoft Defender لنقطة النهاية وأحداث Windows وSysmon.

• دعم مصادرك المخصصة، في التحليلات المضمنة

• سهولة الاستخدام. بعد أن يتعلم المحلل ASIM، تكون كتابة الاستعلامات أبسط بكثير لأن أسماء الحقول هي نفسها دائما.

ASIM وبيانات تعريف أحداث الأمان مفتوحة المصدر

يتوافق ASIM مع نموذج المعلومات الشائعة لبيانات تعريف أحداث الأمان مفتوحة المصدر (OSSEM)، مما يسمح لارتباط الكيانات القابلة للتنبؤ عبر الجداول التي تمت تسويتها.

OSSEM هو مشروع يقوده المجتمع يركز بشكل أساسي على وثائق وتوحيد سجلات أحداث الأمان من مصادر البيانات وأنظمة التشغيل المتنوعة. يوفر المشروع أيضا نموذج معلومات مشتركة (CIM) يمكن استخدامه لمهندسي البيانات أثناء إجراءات تسوية البيانات للسماح لمحللي الأمان بالاستعلام عن البيانات وتحليلها عبر مصادر بيانات متنوعة.

لمزيد من المعلومات، راجع الوثائق المرجعية OSSEM.

مكونات ASIM

توضح الصورة التالية كيف يمكن ترجمة البيانات غير التي تمت تسويتها إلى محتوى تمت تسويتها واستخدامها في Microsoft Sentinel. على سبيل المثال، يمكنك البدء بجدول مخصص خاص بالمنتج وغير تسوية، واستخدام محلل ومخطط تسوية لتحويل هذا الجدول إلى بيانات تمت تسويتها. استخدم بياناتك التي تمت تسويتها في كل من Microsoft والتحليلات المخصصة والقواعد والمصنفات والاستعلامات والمزيد.

يتضمن ASIM المكونات التالية:

المخططات التي تمت تسويتها

تغطي المخططات التي تمت تسويتها مجموعات قياسية من أنواع الأحداث التي يمكن التنبؤ بها والتي يمكنك استخدامها عند إنشاء قدرات موحدة. يحدد كل مخطط الحقول التي تمثل حدثا واصطلاح تسمية عمود تمت تسويته وتنسيق قياسي لقيم الحقول.

يحدد ASIM حاليا المخططات التالية:

• حدث التنبيه
• حدث التدقيق
• حدث المصادقة
• نشاط DHCP
• نشاط DNS
• نشاط الملف
• جلسة عمل الشبكة
• حدث العملية
• حدث التسجيل
• إدارة المستخدم
• جلسة عمل ويب

لمزيد من المعلومات، راجع مخططات ASIM.

محللات وقت الاستعلام

يستخدم ASIM محللات وقت الاستعلام لتعيين البيانات الموجودة إلى المخططات التي تمت تسويتها باستخدام وظائف KQL. تتوفر العديد من محللات ASIM خارج الصندوق مع Microsoft Sentinel. يمكن نشر المزيد من المحللات وإصدارات المحللات المضمنة التي يمكن تعديلها من مستودع GitHub Microsoft Sentinel.

لمزيد من المعلومات، راجع محللات ASIM.

استيعاب تسوية الوقت

يتمتع محللات وقت الاستعلام بالعديد من المزايا:

• وهي لا تتطلب تعديل البيانات، وبالتالي الحفاظ على تنسيق المصدر.
• نظرا لأنها لا تعدل البيانات، ولكنها تقدم بدلا من ذلك عرضا للبيانات، فمن السهل تطويرها. يمكن أن يتم تطوير المحلل واختباره وإصلاحه على البيانات الموجودة. علاوة على ذلك، يمكن إصلاح المحللات عند اكتشاف مشكلة وسيتم تطبيق الإصلاح على البيانات الموجودة.

من ناحية أخرى، أثناء تحسين محللات ASIM، يمكن لتحليل وقت الاستعلام إبطاء الاستعلامات، خاصة على مجموعات البيانات الكبيرة. لحل هذه المشكلة، يكمل Microsoft Sentinel تحليل وقت الاستعلام باستيعاب تحليل الوقت. باستخدام تحويل استيعاب، يتم تسوية الأحداث إلى جدول تمت تسويته، وتسريع الاستعلامات التي تستخدم البيانات التي تمت تسويتها.

حاليا، يدعم ASIM الجداول الأصلية التالية التي تمت تسويتها كوجهة لاستيعاب تسوية الوقت:

• ASimAuditEventLogs لمخطط حدث التدقيق .
• ASimAuthenticationEventLogs لمخطط المصادقة .
• ASimDhcpEventLogs لمخطط حدث DHCP .
• ASimDnsActivityLogs لمخطط DNS .
• ASimFileEventLogs لمخطط حدث الملف .
• ASimNetworkSessionLogs لمخطط جلسة الشبكة .
• ASimProcessEventLogs لمخطط حدث العملية .
• ASimRegistryEventLogs لمخطط حدث التسجيل .
• ASimUserManagementActivityLogs لمخطط إدارة المستخدم .
• ASimWebSessionLogs لمخطط جلسة ويب .

لمزيد من المعلومات، راجع استيعاب تسوية الوقت.

محتوى لكل مخطط تمت تسويته

يتضمن المحتوى الذي يستخدم ASIM الحلول وقواعد التحليلات والمصنفات واستعلامات التتبع والمزيد. يعمل المحتوى لكل مخطط تمت تسويته على أي بيانات تمت تسويتها دون الحاجة إلى إنشاء محتوى خاص بالمصدر.

لمزيد من المعلومات، راجع محتوى ASIM.

بدء استخدام ASIM

لبدء استخدام ASIM:

• نشر حل مجال يستند إلى ASIM مثل حل مجال Network Threat Protection Essentials .

• تنشيط قوالب قواعد التحليلات التي تستخدم ASIM. لمزيد من المعلومات، راجع قائمة محتوى ASIM.

• استخدم استعلامات تتبع ASIM من مستودع GitHub Microsoft Sentinel، عند الاستعلام عن السجلات في KQL في صفحة سجلات Microsoft Sentinel. لمزيد من المعلومات، راجع قائمة محتوى ASIM.

• اكتب قواعد التحليلات الخاصة بك باستخدام ASIM أو قم بتحويل القواعد الموجودة.

• قم بتمكين بياناتك المخصصة لاستخدام التحليلات المضمنة عن طريق كتابة المحللات لمصادرك المخصصة وإضافتها إلى المحلل غير المتصل بالمصادر ذي الصلة.

المحتويات ذات الصلة

توفر هذه المقالة نظرة عامة على التسوية في Microsoft Sentinel وASIM.

لمزيد من المعلومات، اطلع على:

• مشاهدة ندوة ويب ASIM أو مراجعة الشرائح
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• محللات نموذج معلومات الأمان المتقدم (ASIM)
• محتوى نموذج معلومات الأمان المتقدم (ASIM)