Ändern von Inhalten zur Verwendung des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)

Normalisierte Sicherheitsinhalte in Microsoft Sentinel umfassen Analyseregeln, Huntingabfragen und Arbeitsmappen, die mit vereinheitlichenden Normalisierungsparsern funktionieren.

Sie können normalisierte, sofort einsatzbereite Inhalte in Microsoft Sentinel Katalogen und Lösungen finden, eigene normalisierte Inhalte erstellen oder vorhandene, benutzerdefinierte Inhalte ändern, um normalisierte Daten zu verwenden.

In diesem Artikel wird erläutert, wie Sie vorhandene Microsoft Sentinel Analyseregeln konvertieren, um normalisierte Daten mit dem Advanced Security Information Model (ASIM) zu verwenden.

Informationen dazu, wie normalisierte Inhalte in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.

Tipp

Sehen Sie sich auch das Deep Dive-Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder sehen Sie sich die Folien an. Weitere Informationen finden Sie unter: Nächste Schritte.

Ändern von benutzerdefinierten Inhalten zur Verwendung der Normalisierung

So aktivieren Sie ihre benutzerdefinierten Microsoft Sentinel Inhalte für die Verwendung der Normalisierung:

• Ändern Sie Ihre Abfragen so, dass alle vereinheitlichenden Parser verwendet werden, die für die Abfrage relevant sind.

• Ändern Sie Feldnamen in Ihrer Abfrage, um die normalisierten Schemafeldnamen zu verwenden.

• Ändern Sie ggf. die Bedingungen, um die normalisierten Werte der Felder in Ihrer Abfrage zu verwenden.

Beispielnormalisierung für Analyseregeln

Betrachten Sie beispielsweise die DNS-Analyseregel "Seltener Client mit hoher Reverse-DNS-Lookupanzahl ", die für VON Infoblox-DNS-Servern gesendete DNS-Ereignisse funktioniert:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

Der folgende Code ist die quellunabhängige Version, die die Normalisierung verwendet, um die gleiche Erkennung für jede Quelle bereitzustellen, die DNS-Abfrageereignisse bereitstellt. Im folgenden Beispiel werden integrierte ASIM-Parser verwendet:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Die normalisierte, quellunabhängige Version weist die folgenden Unterschiede auf:

• imDnsDie _Im_Dns oder normalisierte Parser werden anstelle des Infoblox-Parsers verwendet.

• Die normalisierten Parser rufen nur DNS-Abfrageereignisse ab, sodass es nicht erforderlich ist, den Ereignistyp zu überprüfen, wie es von in where ProcessName =~ "named" and Log_Type =~ "client" der Infoblox-Version ausgeführt wird.

• Das SrcIpAddr -Feld wird anstelle von Client_IPverwendet.

• Die Parserparameterfilterung wird für ResponseCodeName verwendet, sodass keine expliziten where Klauseln erforderlich sind.

Hinweis

Abgesehen von der Unterstützung einer normalisierten DNS-Quelle ist die normalisierte Version kürzer und einfacher zu verstehen.

Wenn das Schema oder die Parser keine Filterparameter unterstützen, sind die Änderungen ähnlich, mit der Ausnahme, dass die Filterbedingungen von der ursprünglichen Abfrage beibehalten werden. Zum Beispiel:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:

• let-Anweisung
• where-Operator
• Extend-Operator
• Joinoperator
• summarize-Operator
• isnotempty()- Funktion
• count() -Aggregationsfunktion

Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

Weitere Ressourcen:

• KQL-Kurzübersicht
• Kusto-Abfragesprache Lernressourcen

Nächste Schritte

In diesem Artikel wird der Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) erläutert.

Weitere Informationen finden Sie unter:

• Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
• Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• ASIM-Parser (Advanced Security Information Model)
• Advanced Security Information Model (ASIM)-Schemas
• Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)