Descripción de la normalización de datos
Microsoft Sentinel ingiere datos de muchos orígenes. Para trabajar con varios tipos de datos y tablas juntos, es necesario que los comprenda todos, y que escriba y use conjuntos únicos para reglas de análisis, libros y consultas de búsqueda para cada tipo o esquema.
A veces, necesitará reglas, libros y consultas independientes, aunque los tipos de datos compartan elementos comunes, como dispositivos de firewall. También puede ser difícil establecer una correlación entre diferentes tipos de datos durante una investigación y una búsqueda.
El Modelo avanzado de información de seguridad (ASIM) es una capa que se encuentra entre estos orígenes diversos y el usuario. ASIM sigue el principio de solidez que indica que se debe ser estricto en lo que se envía y flexible en lo que se acepta". Cuando el principio de solidez se usa como patrón de diseño, ASIM transforma los datos de telemetría de Microsoft Sentinel, que son incoherentes y difíciles de usar, en datos fáciles de usar.
Uso común de ASIM
ASIM proporciona una experiencia completa para gestionar orígenes diversos en vistas uniformes y normalizadas, al proporcionar la funcionalidad siguiente:
Detección entre orígenes. Las reglas de análisis normalizadas funcionan entre orígenes, locales y en la nube, y detectan ataques como los de fuerza bruta o viaje imposible a través de sistemas, incluidos Okta, AWS y Azure.
Contenido independiente de origen. La cobertura del contenido integrado y personalizado mediante ASIM se expande automáticamente a cualquier origen que admita ASIM, incluso si el origen se agregó después de crear el contenido. Por ejemplo, el análisis de eventos de proceso admite cualquier origen que un cliente pueda usar para traer los datos, como Microsoft Defender para punto de conexión, eventos de Windows y Sysmon.
Compatibilidad con los orígenes personalizados, en análisis integrados
Facilidad de uso. Cuando un analista aprende ASIM, escribir consultas es más sencillo, ya que los nombres de campo siempre son los mismos.
ASIM y metadatos de eventos de seguridad de código abierto
ASIM se alinea con el modelo de información común Open Source Security Events Metadata (OSSEM), lo que permite la correlación predecible de entidades en las tablas normalizadas.
OSSEM es un proyecto dirigido por la comunidad que se centra principalmente en la documentación y la normalización de registros de eventos de seguridad procedentes de diversos orígenes de datos y sistemas operativos. El proyecto también proporciona un Modelo de información común (CIM) que pueden usar los ingenieros de datos durante los procedimientos de normalización de datos para que los analistas de seguridad puedan consultar y analizar los datos de diversos orígenes.
Componentes de ASIM
En la siguiente imagen se muestra cómo traducir datos no normalizados a contenido normalizado y usarlos en Microsoft Sentinel. Por ejemplo, puede empezar por una tabla personalizada, específica del producto y no normalizada, y usar un analizador y un esquema de normalización para convertir dicha tabla en datos normalizados. Use los datos normalizados en Microsoft y en análisis, reglas, consultas o libros personalizados, entre otros.
ASIM incluye los siguientes componentes:
| Componente | Descripción |
|---|---|
| Esquemas normalizados | Abarcan los conjuntos estándar de tipos de eventos previsibles que puede usar al crear funcionalidades unificadas. Cada esquema define los campos que representan un evento, una convención normalizada de nomenclatura de columnas y un formato estándar para los valores de campo. |
| Analizadores | Asigne los datos existentes a los esquemas normalizados usando funciones KQL. Muchos analizadores de ASIM están disponibles de forma inmediata con Microsoft Sentinel. Se pueden implementar más analizadores y versiones de los analizadores integrados que se pueden modificar desde el repositorio de GitHub Microsoft Sentinel. |
| Contenido de cada esquema normalizado | Incluye reglas de análisis, libros, consultas de búsqueda, etc. El contenido de cada esquema normalizado funciona en datos normalizados de cualquier tipo sin necesidad de crear contenido específico del origen. |
Terminología de ASIM
ASIM usa los términos siguientes:
| Término | Descripción |
|---|---|
| Dispositivo de informes | Sistema que envía los registros a Microsoft Sentinel. Es posible que este sistema no sea el sistema sujeto del registro que se envía. |
| Registro | Unidad de datos enviada desde el dispositivo de informes. Un registro suele denominarse registro, evento o alerta, pero también puede corresponder a otro tipo de datos. |
| Contenido o elemento de contenido | Diferentes artefactos, personalizables o creados por el usuario, que se pueden usar con Microsoft Sentinel. Estos artefactos incluyen, por ejemplo, reglas de análisis, consultas de búsqueda y libros. Un elemento de contenido es uno de estos artefactos. |
Vista de analizadores de ASIM
Para ver las funciones de ASIM en el entorno de Microsoft Sentinel.
- Vaya al área de trabajo de Microsoft Sentinel en Azure Portal.
- Seleccione Registros en el panel de navegación izquierdo
- Expanda el esquema y el panel de filtro en el lado izquierdo (si es necesario, use los puntos suspensivos para mostrar todas las herramientas).
- Seleccione Funciones
- Expanda Microsoft Sentinel
Verá las funciones a partir de ASim e Im.