Freigeben über


Auf Advanced Security Information Model (ASIM) beruhende Domänenlösungen für Microsoft Sentinel (Vorschau)

Essenzielle Microsoft-Lösungen sind Domänenlösungen, die von Microsoft für Microsoft Sentinel veröffentlicht werden. Diese Lösungen bieten sofort einsatzbereite Inhalte, die produktübergreifend für bestimmte Kategorien wie z. B. Netzwerke verwendet werden können. Einige dieser essenziellen Lösungen verwenden die Normalisierungstechnik Advanced Security Information Model (ASIM), um die Daten zur Abfrage- oder Erfassungszeit zu normalisieren.

Wichtig

Essenzielle Microsoft-Lösungen und die Network Session Essentials-Lösung befinden sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Vorteile der Verwendung ASIM-basierter essenzieller Microsoft-Lösungen

Wenn mehrere Lösungen in einer Domänenkategorie ähnliche Erkennungsmuster aufweisen, ist es sinnvoll, die Daten unter einem normalisierten Schema wie ASIM zu erfassen. Essenzielle Lösungen nutzen dieses ASIM-Schema, um Bedrohungen im großen Stil zu erkennen.

Im Content Hub sind mehrere Produktlösungen für verschiedene Domänenkategorien verfügbar, z. B. „Sicherheit – Netzwerk“. Azure Firewall, Palo Alto Firewall und Corelight bieten beispielsweise Produktlösungen für die Domänenkategorie „Sicherheit – Netzwerk“.

  • Diese Lösungen verfügen über unterschiedliche Datenerfassungskomponenten. Analysen, Hunting, Arbeitsmappen und andere Inhalte innerhalb derselben Domänenkategorie weisen jedoch ein bestimmtes Muster auf.
  • Die meisten wichtigen Netzwerkprodukte verfügen über einen allgemeinen Satz grundlegender Firewallwarnungen, der Bedrohungen von ungewöhnlichen IP-Adressen umfasst. Die Analyseregelvorlage wird im Allgemeinen für jede Produktlösung der Kategorie „Sicherheit – Netzwerk“ dupliziert. Wenn Sie mehrere Netzwerkprodukte verwenden, müssen Sie mehrere Analyseregeln einzeln überprüfen und konfigurieren, was ineffizient ist. Außerdem erhalten Sie Warnungen für jede konfigurierte Regel, was letztlich zu „Warnungsmüdigkeit“ führen kann.
  • Wenn Sie doppelte Huntingabfragen haben, ist die Suche im Huntingmodus „Alle ausführen“ möglicherweise weniger leistungsfähig. Zudem führen diese doppelten Huntingabfragen für Bedrohungsexperten durch das Auswählen und Ausführen ähnlicher Abfragen zu Ineffizienzen.

Folgende Gründe sprechen dafür, essenzielle Microsoft-Lösungen in Erwägung zu ziehen:

  • Ein normalisiertes Schema vereinfacht das Abfragen von Details zu Vorfällen. Sie müssen sich keine Syntax eines anderen Anbieters für ähnliche Protokollattribute merken.
  • Wenn Sie keine Inhalte für mehrere Lösungen verwalten müssen, sind die Bereitstellung von Anwendungsfällen und die Behandlung von Vorfällen einfacher.
  • Eine konsolidierte Arbeitsmappenansicht bietet eine bessere Einsicht in die Umgebung und kann die Abfragezeitanalyse mit leistungsstarken ASIM-Parsern ermöglichen.

Unterstützte ASIM-Schemas

Die essenziellen Lösungen umfassen derzeit die folgenden verschiedenen ASIM-Schemas, die Sentinel unterstützt:

  • Überwachungsereignis
  • Authentifizierungsereignis
  • DNS-Aktivität
  • Dateiaktivität
  • Netzwerksitzung
  • Prozessereignis
  • Websitzung

Weitere Informationen finden Sie unter Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM).

Erfassungszeitnormalisierung

Die Ergebnisse der Erfassungszeitnormalisierung können in der folgenden normalisierten Tabelle erfasst werden:

Weitere Informationen finden Sie unter Erfassungszeitnormalisierung.

Mit ASIM-basierten essenziellen Domänenlösungen verfügbare Inhalte

Die folgende Tabelle enthält eine Beschreibung der Inhalte, die bei den einzelnen essenziellen Lösungen verfügbar sind. Für einige spezifische Anwendungsfälle können Sie auch die Inhalte verwenden, die mit der Microsoft Sentinel-Produktlösung verfügbar sind.

Inhaltstyp description
Analyseregel Die in den ASIM-basierten essenziellen Lösungen verfügbaren Analyseregeln sind generische Regeln, die sich für alle der abhängigen Microsoft Sentinel-Produktlösungen für diese Domäne gut eignen. Die Microsoft Sentinel-Produktlösung enthält als Teil der Analyseregel möglicherweise einen quellspezifischen Anwendungsfall. Aktivieren Sie Regeln der Microsoft Sentinel-Produktlösung nach Bedarf für Ihre Umgebung.
Hunting-Abfrage Die in den ASIM-basierten essenziellen Lösungen verfügbaren Huntingabfragen sind generische Abfragen, die sich für alle der abhängigen Microsoft Sentinel-Produktlösungen für diese Domäne gut für die Suche nach Bedrohungen eignen. Die Microsoft Sentinel-Produktlösung enthält möglicherweise eine standardmäßig verfügbare quellspezifische Huntingabfrage. Verwenden Sie die Huntingabfragen der Microsoft Sentinel-Produktlösung nach Bedarf für Ihre Umgebung.
Playbook Von den ASIM-basierten essenziellen Lösungen wird erwartet, dass sie Daten mit einer hohen Anzahl von Ereignissen pro Sekunde verarbeiten. Wenn Sie Inhalte mit solchen Datenmengen haben, kann sich dies auf die Leistung auswirken und das Laden von Arbeitsmappen oder Abfrageergebnissen verlangsamen. Um dieses Problem zu beheben, fasst das Zusammenfassungsplaybook die Quellprotokolle zusammen und speichert die Informationen in einer vordefinierten Tabelle. Aktivieren Sie das Zusammenfassungsplaybook, damit die essenziellen Lösungen diese Tabelle abfragen können.

Da Playbooks in Microsoft Sentinel auf in Azure Logic Apps erstellten Workflows basieren, die separate Ressourcen erstellen, können zusätzliche Gebühren anfallen. Weitere Informationen finden Sie auf der Preisseite von Azure Logic Apps. Weitere Gebühren können auch für die Speicherung der zusammengefassten Daten anfallen.
Watchlist Die ASIM-basierten essenziellen Lösungen verwenden eine Watchlist, die mehrere Bedingungssätze für die Erkennung von Analyseregeln und Huntingabfragen enthält. Mit der Watchlist können Sie die folgenden Aufgaben ausführen:

- Fokussierte Überwachung mit Datenfilterung
- Wechseln zwischen Hunting und Erkennung für jedes Listenelement
- Festlegen von Schwellenwerttyp auf Statisch, um schwellenwertbasierte Warnungen zu nutzen, während anomaliebasierte Warnungen auf den Daten der letzten Tage (maximal 14 Tage) basieren
– Ändern von Warnungsname, Beschreibung, Taktik und Schweregrad für einzelne Listenelemente.
– Deaktivieren der Erkennung durch Festlegen von Schweregrad auf Deaktiviert
Arbeitsmappe Die mit den ASIM-basierten essenziellen Lösungen verfügbare Arbeitsmappe bietet eine konsolidierte Ansicht verschiedener Ereignisse und Aktivitäten in der abhängigen Domäne. Da diese Arbeitsmappe Ergebnisse aus einer sehr großen Menge an Daten abruft, kann es zu einer Verzögerung kommen. Verwenden Sie das Zusammenfassungsplaybook, falls Leistungsprobleme auftreten.

Diese essenziellen Lösungen verfügen wie andere Microsoft Sentinel-Domänenlösungen nicht über einen eigenen Connector. Sie benötigen die quellspezifischen Connectors in Microsoft Sentinel-Produktlösungen, um die Protokolle zu pullen. Informationen zu den Produkten, die von der Domänenlösung unterstützt werden, finden Sie in der Liste der Voraussetzungen bzw. erforderlichen Komponenten der Produktlösungen, die für die einzelnen ASIM-basierten essenziellen Domänenlösungen aufgeführt sind. Installieren Sie eine oder mehrere der Produktlösungen. Konfigurieren Sie die Datenconnectors, um die zugrunde liegenden Produktabhängigkeiten zu erfüllen und eine bessere Nutzung des Inhalts dieser Domänenlösung zu ermöglichen.