Normalización y el Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)
Microsoft Sentinel ingiere datos de muchos orígenes. Para trabajar con varios tipos de datos y tablas juntos, es necesario que los comprenda todos, y que escriba y use conjuntos únicos para reglas de análisis, libros y consultas de búsqueda para cada tipo o esquema.
A veces, necesitará reglas, libros y consultas independientes, aunque los tipos de datos compartan elementos comunes, como dispositivos de firewall. También puede ser difícil establecer una correlación entre diferentes tipos de datos durante una investigación y una búsqueda.
El Modelo avanzado de información de seguridad (ASIM) es una capa que se encuentra entre estos orígenes diversos y el usuario. ASIM sigue el principio de solidez que indica que se debe ser estricto en lo que se envía y flexible en lo que se acepta". Utilizando el principio de solidez como patrón de diseño, ASIM transforma la telemetría de origen propietario recopilada por Microsoft Sentinel en datos fáciles de usar para facilitar el intercambio y la integración.
En este artículo se proporciona información general sobre el Modelo avanzado de información de seguridad (ASIM), así como sobre sus casos de uso y componentes principales. Para más información, consulte la sección Pasos siguientes.
Sugerencia
Vea también el seminario web de ASIM o revise las diapositivas del seminario web.
Importante
ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Uso común de ASIM
ASIM proporciona una experiencia completa para gestionar orígenes diversos en vistas uniformes y normalizadas, al proporcionar la funcionalidad siguiente:
Detección entre orígenes. Las reglas de análisis normalizadas funcionan entre orígenes, locales y en la nube, y detectan ataques como los de fuerza bruta o viaje imposible a través de sistemas, incluidos Okta, AWS y Azure.
Contenido independiente de origen. La cobertura del contenido integrado y personalizado mediante ASIM se expande automáticamente a cualquier origen que admita ASIM, incluso si el origen se agregó después de crear el contenido. Por ejemplo, el análisis de eventos de proceso admite cualquier origen que un cliente pueda usar para traer los datos, como Microsoft Defender para punto de conexión, eventos de Windows y Sysmon.
Compatibilidad con los orígenes personalizados, en análisis integrados
Facilidad de uso. Una vez que un analista aprende el modelo ASIM, escribir consultas es mucho más sencillo, ya que los nombres de campos siempre son los mismos.
ASIM y metadatos de eventos de seguridad de código abierto
ASIM se alinea con el modelo de información común Open Source Security Events Metadata (OSSEM), lo que permite la correlación predecible de entidades en las tablas normalizadas.
OSSEM es un proyecto dirigido por la comunidad que se centra principalmente en la documentación y la normalización de registros de eventos de seguridad procedentes de diversos orígenes de datos y sistemas operativos. El proyecto también proporciona un Modelo de información común (CIM) que pueden usar los ingenieros de datos durante los procedimientos de normalización de datos para que los analistas de seguridad puedan consultar y analizar los datos de diversos orígenes.
Para obtener más información, consulte la documentación de referencia de OSSEM.
Componentes de ASIM
En la siguiente imagen se muestra cómo traducir datos no normalizados a contenido normalizado y usarlos en Microsoft Sentinel. Por ejemplo, puede empezar por una tabla personalizada, específica del producto y no normalizada, y usar un analizador y un esquema de normalización para convertir dicha tabla en datos normalizados. Use los datos normalizados en Microsoft y en análisis, reglas, consultas o libros personalizados, entre otros.
ASIM incluye los siguientes componentes:
Esquemas normalizados
Los esquemas normalizados abarcan los conjuntos estándar de tipos de eventos previsibles que puede usar al crear funcionalidades unificadas. Cada esquema define los campos que representan un evento, una convención normalizada de nomenclatura de columnas y un formato estándar para los valores de campo.
ASIM define actualmente los siguientes esquemas:
- Evento de auditoría
- Evento de autenticación
- Actividad de DHCP
- Actividad de DNS
- Actividad de archivo
- Sesión de red
- Evento de proceso
- Evento del Registro
- User Management
- Sesión web
Para más información, consulte Esquemas de ASIM.
Analizadores de tiempo de consulta
ASIM usa analizadores de tiempo de consulta para asignar datos existentes a los esquemas normalizados mediante funciones KQL. Muchos analizadores de ASIM están disponibles de forma inmediata con Microsoft Sentinel. Se pueden implementar más analizadores y versiones de los analizadores integrados que se pueden modificar desde el repositorio de GitHub Microsoft Sentinel.
Para más información, consultes Analizadores de ASIM.
Normalización del tiempo de ingesta
Los analizadores de tiempo de consulta tienen muchas ventajas:
- No requieren que se modifiquen los datos, conservando así el formato de origen.
- Puesto que no modifican los datos, sino que presentan una vista de los datos, son fáciles de desarrollar. El desarrollo, las pruebas y la corrección de un analizador se pueden realizar en los datos existentes. Además, los analizadores se pueden corregir cuando se detecta un problema, y la corrección se aplicará a los datos existentes.
Por otro lado, mientras que los analizadores de ASIM están optimizados, el análisis de tiempo de consulta puede ralentizar las consultas, especialmente en grandes conjuntos de datos. Para resolverlo, Microsoft Sentinel complementa el análisis de tiempo de consulta con el análisis de tiempo de ingesta. Mediante la transformación de ingesta, los eventos se normalizan en una tabla normalizada, lo que acelera las consultas que utilizan datos normalizados.
Actualmente, ASIM admite las siguientes tablas normalizadas como destino para la normalización en tiempo de ingesta:
- ASimAuditEventLogs para el esquema de eventos de auditoría.
- ASimAuthenticationEventLogs para el esquema de autenticación.
- ASimDnsActivityLogs para el esquema DNS.
- ASimNetworkSessionLogs para el esquema Network Session.
- ASimWebSessionLogs para el esquema de sesión web.
Para obtener más información, consulte Normalización del tiempo de ingesta.
Contenido de cada esquema normalizado
El contenido que usa ASIM incluye soluciones, reglas de análisis, libros, consultas de búsqueda, etc. El contenido de cada esquema normalizado funciona en datos normalizados de cualquier tipo sin necesidad de crear contenido específico del origen.
Para más información, consulte Contenido de ASIM.
Introducción a ASIM
Para empezar a usar ASIM:
Implemente una solución de dominio basada en ASIM, como la solución de dominio Network Threat Protection Essentials.
Active las plantillas de reglas de análisis que usan ASIM. Para más información, consulte la lista de contenido de ASIM.
Use las consultas de búsqueda de ASIM del repositorio de Microsoft Sentinel en GitHub al consultar registros en KQL en la página Registros de Microsoft Sentinel. Para más información, consulte la lista de contenido de ASIM.
Escriba sus propias reglas de análisis mediante ASIM o convierta las existentes.
Habilite los datos personalizados para usar análisis integrados mediante la escritura de analizadores para sus orígenes personalizados y su incorporación al analizador independiente de origen correspondiente.
Pasos siguientes
En este artículo se proporciona información general sobre la normalización en Microsoft Sentinel y ASIM.
Para más información, consulte: