Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtige Microsoft-Lösungen sind Domänenlösungen, die von Microsoft für Microsoft Sentinel veröffentlicht werden. Diese Lösungen verfügen über sofort einsatzbereite Inhalte, die für mehrere Produkte für bestimmte Kategorien wie Netzwerke verwendet werden können. Einige dieser wesentlichen Lösungen verwenden das Normalisierungsverfahren Advanced Security Information Model (ASIM), um die Daten zur Abfragezeit oder Erfassungszeit zu normalisieren.
Wichtig
Wichtige Microsoft-Lösungen und die Network Session Essentials-Lösung befinden sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Gründe für die Verwendung von ASIM-basierten Microsoft Essential-Lösungen
Wenn mehrere Lösungen in einer Domänenkategorie ähnliche Erkennungsmuster verwenden, ist es sinnvoll, die Daten unter einem normalisierten Schema wie ASIM zu erfassen. Wesentliche Lösungen nutzen dieses ASIM-Schema, um Bedrohungen im großen Stil zu erkennen.
Im Content Hub gibt es mehrere Produktlösungen für verschiedene Domänenkategorien wie "Sicherheit – Netzwerk". Beispielsweise verfügen Azure Firewall, Palo Alto Firewall und Corelight über Produktlösungen für die Domänenkategorie "Sicherheit – Netzwerk".
- Diese Lösungen verfügen über unterschiedliche Datenerfassungskomponenten. Es gibt jedoch ein bestimmtes Muster für analysen, hunting, Arbeitsmappen und andere Inhalte innerhalb derselben Domänenkategorie.
- Die meisten der wichtigsten Netzwerkprodukte verfügen über einen gemeinsamen grundlegenden Satz von Firewallwarnungen, die böswillige Bedrohungen von ungewöhnlichen IP-Adressen enthalten. Die Analyseregelvorlage wird im Allgemeinen für jede der Produktlösungen der Kategorie "Sicherheit – Netzwerk" dupliziert. Wenn Sie mehrere Netzwerkprodukte ausführen, müssen Sie mehrere Analyseregeln einzeln überprüfen und konfigurieren, was ineffizient ist. Sie erhalten auch Warnungen für jede konfigurierte Regel und können zu Warnungsermüdung führen.
- Wenn Sie duplizierte Huntingabfragen haben, verfügen Sie möglicherweise über weniger leistungsfähige Suchfunktionen mit dem modus "Run-All" der Hunting. Diese duplizierten Huntingabfragen führen auch zu Ineffizienzen für Bedrohungsjäger, um ähnliche Abfragen auszuwählen und auszuführen.
Sie können aus den folgenden Gründen wichtige Microsoft-Lösungen in Betracht ziehen:
- Ein normalisiertes Schema erleichtert Ihnen das Abfragen von Incidentdetails. Sie müssen sich keine andere Anbietersyntax für ähnliche Protokollattribute merken.
- Wenn Sie keine Inhalte für mehrere Lösungen verwalten müssen, ist die Bereitstellung von Anwendungsfällen und die Behandlung von Incidents einfacher.
- Eine konsolidierte Arbeitsmappenansicht bietet Ihnen eine bessere Umgebungssicht und eine mögliche Abfragezeitanalyse mit leistungsstarken ASIM-Parsern.
Unterstützte ASIM-Schemas
Die essentials-Lösungen umfassen derzeit die folgenden verschiedenen ASIM-Schemas, die Sentinel unterstützt:
- Audit-Ereignis
- Authentifizierungsereignis
- DNS-Aktivität
- Dateiaktivität
- Netzwerksitzung
- Prozessereignis
- Websitzung
Weitere Informationen finden Sie unter Advanced Security Information Model (ASIM)-Schemas.
Normalisierung der Erfassungszeit
Die Ergebnisse der Erfassungszeitnormalisierung können in der folgenden normalisierten Tabelle erfasst werden:
- ASimDnsActivityLogs für das DNS-Schema.
- ASimNetworkSessionLogs für das Netzwerksitzungsschema
Weitere Informationen finden Sie unter Normalisierung der Erfassungszeit.
Mit ASIM-basierten Domänen-Essential-Lösungen verfügbare Inhalte
In der folgenden Tabelle wird der Inhaltstyp beschrieben, der für jede wesentliche Lösung verfügbar ist. Für bestimmte Anwendungsfälle empfiehlt es sich möglicherweise, auch die mit der Microsoft Sentinel Produktlösung verfügbaren Inhalte zu verwenden.
| Inhaltstyp | description |
|---|---|
| Analytische Regel | Die analytischen Regeln, die in den ASIM-basierten wesentlichen Lösungen verfügbar sind, sind generisch und eignen sich gut für jede der abhängigen Microsoft Sentinel Produktlösungen für diesen Bereich. Die Microsoft Sentinel Produktlösung kann einen quellenspezifischen Anwendungsfall enthalten, der als Teil der Analyseregel behandelt wird. Aktivieren Sie Microsoft Sentinel Produktlösungsregeln nach Bedarf für Ihre Umgebung. |
| Hunting-Abfrage | Die in den ASIM-basierten wesentlichen Lösungen verfügbaren Huntingabfragen sind generisch und eignen sich gut für die Suche nach Bedrohungen aus einer der abhängigen Microsoft Sentinel Produktlösungen für diese Domäne. Die Microsoft Sentinel Produktlösung verfügt möglicherweise über eine quellspezifische Huntingabfrage, die sofort verfügbar ist. Verwenden Sie die Huntingabfragen aus der Microsoft Sentinel Produktlösung nach Bedarf für Ihre Umgebung. |
| Playbook | Von den ASIM-basierten wesentlichen Lösungen wird erwartet, dass sie Daten mit hohen Ereignissen pro Sekunde verarbeiten. Wenn Sie über Inhalte verfügen, die diese Datenmenge verwenden, kann es zu Leistungsbeeinträchtigungen kommen, die zu langsamem Laden von Arbeitsmappen oder Abfrageergebnissen führen können. Um dieses Problem zu beheben, fasst das Zusammenfassungsplaybook die Quellprotokolle zusammen und speichert die Informationen in einer vordefinierten Tabelle. Aktivieren Sie das Zusammenfassungsplaybook, damit die wesentlichen Lösungen diese Tabelle abfragen können. Da Playbooks in Microsoft Sentinel auf Workflows basieren, die in Azure Logic Apps erstellt wurden, die separate Ressourcen erstellen, können andere Gebühren anfallen. Weitere Informationen finden Sie auf der Preisseite Azure Logic Apps. Für die Speicherung der zusammengefassten Daten können auch andere Gebühren anfallen. |
| Watchlist | Die ASIM-basierten wesentlichen Lösungen verwenden eine Watchlist, die mehrere Sätze von Bedingungen für die Erkennung von Analyseregeln und Hunting-Abfragen enthält. Mit der Watchlist können Sie die folgenden Aufgaben ausführen: - Gezielte Überwachung mit Datenfiltration. – Wechseln zwischen Hunting und Erkennung für jedes Listenelement. – Legen Sie den Schwellenwerttyp auf Statisch fest, um schwellenwertbasierte Warnungen zu nutzen, während anomaliebasierte Warnungen aus den Daten der letzten Tage (maximal 14 Tage) lernen würden. – Ändern Sie Den Namen, die Beschreibung, die Taktik und den Schweregrad der Warnung , indem Sie diese Watchlist für einzelne Listenelemente verwenden. – Deaktivieren Sie die Erkennung, indem Sie den Schweregrad auf Deaktiviert festlegen. |
| Arbeitsmappe | Die Arbeitsmappe, die mit den ASIM-basierten wesentlichen Lösungen verfügbar ist, bietet eine konsolidierte Ansicht verschiedener Ereignisse und Aktivitäten, die in der abhängigen Domäne auftreten. Da diese Arbeitsmappe Ergebnisse aus einer sehr großen Datenmenge abruft, kann es zu einer Leistungsverzögerung kommen. Wenn Leistungsprobleme auftreten, verwenden Sie das Zusammenfassungsplaybook. |
Diese wesentlichen Lösungen wie andere Microsoft Sentinel Domänenlösungen verfügen nicht über einen eigenen Connector. Sie hängen von den quellspezifischen Connectors in Microsoft Sentinel Produktlösungen ab, um die Protokolle abzurufen. Informationen zu den Produkten, die von der Domänenlösung unterstützt werden, finden Sie in der Liste der Erforderlichen Produktlösungen, die in den einzelnen Asim-Domänen-Essentials-Lösungen aufgeführt sind. Installieren Sie mindestens eine der Produktlösungen. Konfigurieren Sie die Datenconnectors, um die zugrunde liegenden Produktabhängigkeitsanforderungen zu erfüllen und eine bessere Nutzung dieses Domänenlösungsinhalts zu ermöglichen.
Verwandte Artikel
- Suchen Sie nach ASIM-basierten Domänenlösungen wie Network Session Essentials und DNS Essentials Solution for Microsoft Sentinel
- Verwenden des advanced Security Information Model (ASIM)