فهم تسوية البيانات
يستوعب Microsoft Sentinel البيانات من العديد من المصادر. يتطلب العمل مع أنواع البيانات والجداول المختلفة معاً فهم كل منها، وكتابة واستخدام مجموعات فريدة من البيانات لقواعد التحليلات والمصنفات واستعلامات التتبع لكل نوع أو مخطط.
في بعض الأحيان، ستحتاج إلى قواعد ومصنفات واستعلامات منفصلة، حتى عندما تشترك أنواع البيانات في عناصر مشتركة، مثل أجهزة جدار الحماية. يمكن أن يكون الروابط بين أنواع مختلفة من البيانات أثناء التحقيق والتتبع أمراً صعباً أيضاً.
نموذج معلومات الأمان المتقدم (ASIM) هو طبقة تقع بين هذه المصادر المتنوعة والمستخدم. يتبع ASIM مبدأ القوة: "كن حازمًا في ما ترسله، كن مرناً في ما تقبله". باستخدام مبدأ القوة كنمط تصميم، يحول ASIM بيانات تتبع الاستخدام غير المتسقة والصعبة الخاصة بـ Microsoft Sentinel إلى بيانات سهلة الاستخدام.
استخدام ASIM الشائع
يوفر ASIM تجربة سلسة للتعامل مع المصادر المختلفة في طرق العرض الموحدة والخاضعة للتسوية، من خلال توفير الوظائف التالية:
الكشف عن المصادر المشتركة. تعمل قواعد التحليلات التي تمت تسويتها عبر المصادر والأماكن المحلية والسحابة، وتكتشف الهجمات مثل القوة الغاشمة أو السفر المستحيل عبر الأنظمة، بما في ذلك Okta وAWS وAzure.
المحتوى غير محدد المصدر. يتم توسيع تغطية كل من المحتوى المضمن والمخصص باستخدام ASIM تلقائياً إلى أي مصدر يدعم ASIM، حتى إذا تمت إضافة المصدر بعد إنشاء المحتوى. على سبيل المثال، تدعم تحليلات أحداث العملية أي مصدر قد يستخدمه العميل لإحضار البيانات، مثل Microsoft Defender لنقطة النهاية وأحداث Windows وSysmon.
دعم مصادرك المخصصة، في التحليلات المضمنة
سهولة الاستخدام. بعد أن يتعلم المحلل ASIM، تكون كتابة الاستعلامات أبسط لأن أسماء الحقول هي نفسها دائما.
ASIM وبيانات تعريف أحداث الأمان مفتوحة المصدر
يتوافق ASIM مع نموذج المعلومات الشائعة لبيانات تعريف أحداث الأمان مفتوحة المصدر (OSSEM)، مما يسمح لارتباط الكيانات القابلة للتنبؤ عبر الجداول التي تمت تسويتها.
OSSEM هو مشروع يقوده المجتمع يركز في المقام الأول على وثائق وتوحيد سجلات أحداث الأمان من مصادر البيانات وأنظمة التشغيل المتنوعة. يوفر المشروع أيضاً وحدة نمطية للمعلومات الشائعة (CIM) يمكن استخدامه لمهندسي البيانات أثناء إجراءات تسوية البيانات للسماح لمحللي الأمان بالاستعلام عن البيانات وتحليلها عبر مصادر بيانات متنوعة.
مكونات ASIM
توضح الصورة التالية كيف يمكن ترجمة البيانات غير العادية إلى محتوى تمت تسويتها واستخدامها في Microsoft Sentinel. على سبيل المثال، يمكنك البدء بجدول مخصص خاص بالمنتج وغير عادي، واستخدام محلل ومخطط تسوية لتحويل هذا الجدول إلى بيانات تمت تسويتها. استخدم بياناتك التي تمت تسويتها في كل من Microsoft والتحليلات المخصصة والقواعد والمصنفات والاستعلامات والمزيد.
ويتضمن ASIM المكونات التالية:
| المكون | الوصف |
|---|---|
| المخططات التي تمت تسويتها | قم بتغطية المجموعات القياسية من أنواع الأحداث التي يمكن التنبؤ بها والتي يمكنك استخدامها عند إنشاء قدرات موحدة. يعرّف كل مخطط الحقول التي تمثل حدثًا، واصطلاح تسمية عمود معياري، وتنسيق قياسي لقيم الحقل. |
| المُحللات | تعيين البيانات الموجودة إلى المخططات التي تمت تسويتها باستخدام وظائف KQL. تتوفر العديد من محللات ASIM خارج الصندوق مع Microsoft Sentinel. يمكن توزيع المزيد من أدوات التحليل وإصدارات أدوات التحليل المضمنة التي يمكن تعديلها من مستودع Microsoft Sentinel GitHub. |
| محتوى لكل مخطط تمت تسويته | يتضمن قواعد التحليلات والمصنفات واستعلامات التتبع والمزيد. يعمل المحتوى لكل مخطط تمت تسويته على أي بيانات تمت تسويتها دون الحاجة إلى إنشاء محتوى خاص بالمصدر. |
مصطلحات ASIM
تستخدم ASIM المصطلحات التالية:
| الشرط | الوصف |
|---|---|
| جهاز إعداد التقارير | النظام الذي يرسل السجلات إلى Microsoft Sentinel. قد لا يكون هذا النظام هو نظام الموضوع للسجل الذي يتم إرساله. |
| سجل | وحدة من البيانات المرسلة من جهاز إعداد التقارير. غالباً ما يُشار إلى السجل على أنه سجل أو حدث أو تنبيه، ولكن يمكن أيضاً أن يمثل أنواعاً أخرى من البيانات. |
| المحتوى أو عنصر المحتوى | البيانات الاصطناعية المختلفة أو القابلة للتخصيص أو التي أنشأها المستخدم مما يمكن استخدامه مع Microsoft Sentinel. تتضمن هذه البيانات الاصطناعية، على سبيل المثال، قواعد التحليلات واستعلامات التتبع والمصنفات. عنصر المحتوى هو عنصر من هذا القبيل. |
عرض ASIM Parsers
لعرض دالات ASIM في بيئة Microsoft Sentinel خاصتك.
- انتقل إلى مساحة عمل Microsoft Sentinel في مدخل Microsoft Azure
- تحديد Logs من جزء التنقل الأيسر
- قم بتوسيع جزء المخطط والتصفية على الجانب الأيسر (إذا لزم الأمر، استخدم علامة الحذف للكشف عن جميع الأدوات)
- تحديد Functions
- توسيع Microsoft Sentinel
سترى دالات تبدأ بـ ASim و Im.