Descripción de la normalización de datos
Microsoft Sentinel ingiere datos de muchos orígenes. Trabajar con varios tipos de datos y tablas juntos requiere comprender cada uno de ellos y escribir y usar conjuntos únicos de datos para reglas de análisis, libros y consultas de búsqueda para cada tipo o esquema.
A veces, necesitará reglas, libros y consultas independientes, incluso cuando los tipos de datos compartan elementos comunes, como los dispositivos de firewall. La correlación entre diferentes tipos de datos durante una investigación y la búsqueda también puede ser difícil.
El modelo de información de seguridad avanzada (ASIM) es una capa que se encuentra entre estos diversos orígenes y el usuario. ASIM sigue el principio de solidez: "Sé estricto en lo que envías, sea flexible en lo que aceptas". Cuando se usa como un patrón de diseño, el principio de robustez permite que ASIM transforme la telemetría inconsistente y difícil de usar de Microsoft Sentinel en datos fáciles de usar.
Uso común de ASIM
ASIM proporciona una experiencia sin problemas para controlar varios orígenes en vistas uniformes y normalizadas, proporcionando la siguiente funcionalidad:
Detección entre orígenes. Las reglas de análisis normalizadas funcionan entre orígenes, locales y en la nube, y detectan ataques como los de fuerza bruta o viaje imposible a través de sistemas, incluidos Okta, AWS y Azure.
Contenido independiente de origen. La cobertura de contenido integrado y personalizado mediante ASIM se expande automáticamente a cualquier origen que admita ASIM, incluso si el origen se agregó después de crear el contenido. Por ejemplo, el análisis de eventos de procesos admite cualquier origen que un cliente pueda usar para incorporar los datos, como Microsoft Defender para punto de conexión, eventos de Windows y Sysmon.
Compatibilidad con los orígenes personalizados, en análisis integrados
Facilidad de uso. Una vez que un analista aprende ASIM, escribir consultas es más sencilla, ya que los nombres de campo siempre son los mismos.
Metadatos de eventos de seguridad de código abierto y ASIM
ASIM se alinea con el modelo de información común de metadatos de eventos de seguridad de código abierto (OSSEM), lo que permite la correlación de entidades predecibles entre tablas normalizadas.
OSSEM es un proyecto dirigido por la comunidad que se centra principalmente en la documentación y normalización de los registros de eventos de seguridad de diversos orígenes de datos y sistemas operativos. El proyecto también proporciona un Modelo de información común (CIM) que se puede usar para los ingenieros de datos durante los procedimientos de normalización de datos para permitir a los analistas de seguridad consultar y analizar datos en diversos orígenes de datos.
Componentes de ASIM
En la imagen siguiente se muestra cómo los datos no normalizados se pueden traducir en contenido normalizado y usarse en Microsoft Sentinel. Por ejemplo, puede empezar con una tabla personalizada, específica del producto y no normalizada, y usar un analizador y un esquema de normalización para convertir esa tabla en datos normalizados. Use los datos normalizados tanto en Microsoft como en análisis personalizados, reglas, libros, consultas, etc.
ASIM incluye los siguientes componentes:
| Componente | Descripción |
|---|---|
| Esquemas normalizados | Cubra conjuntos estándar de tipos de eventos predecibles que puede usar al crear funcionalidades unificadas. Cada esquema define los campos que representan un evento, una convención de nomenclatura de columna normalizada y un formato estándar para los valores de campo. |
| Analizadores | Asigne los datos existentes a los esquemas normalizados mediante funciones KQL. Muchos analizadores de ASIM están disponibles de fábrica con Microsoft Sentinel. Se pueden implementar más analizadores y versiones de los analizadores integrados que se pueden modificar desde el repositorio de GitHub de Microsoft Sentinel. |
| Contenido para cada esquema normalizado | Incluye reglas de análisis, libros de trabajo, consultas de búsqueda y mucho más. El contenido de cada esquema normalizado funciona en cualquier dato normalizado sin necesidad de crear contenido específico del origen. |
Terminología de ASIM
ASIM usa los siguientes términos:
| Término | Descripción |
|---|---|
| Dispositivo de reporte | Sistema que envía los registros a Microsoft Sentinel. Es posible que este sistema no sea el sistema sujeto del registro que se envía. |
| Registro | Unidad de datos enviados desde el dispositivo de informes. Un registro se conoce a menudo como registro, evento o alerta, pero también puede ser otros tipos de datos. |
| Contenido o Elemento de contenido | Los artefactos diferentes, personalizables o creados por el usuario que se pueden usar con Microsoft Sentinel. Estos artefactos incluyen, por ejemplo, reglas de análisis, consultas de búsqueda y libros. Un elemento de contenido es uno de estos artefactos. |
Ver los analizadores de ASIM
Para ver las funciones de ASIM en el entorno de Microsoft Sentinel.
- Vaya al área de trabajo de Microsoft Sentinel en Azure Portal.
- Seleccione Registros en el panel de navegación izquierdo.
- Expanda el esquema y el panel de filtro en el lado izquierdo (si es necesario, use los puntos suspensivos para mostrar todas las herramientas).
- Seleccionar funciones
- Expansión de Microsoft Sentinel
Verá funciones que comienzan con ASim y Im.