Tietojen normalisoinnin ymmärtäminen
Microsoft Sentinel käyttää tietoja useista lähteistä. Kun käytät eri tietotyyppejä ja taulukoita yhdessä, sinun on ymmärrettävä ne kaikki sekä kirjoitettava ja käytettävä yksilöllisiä tietojoukkoja analytiikkasäännöille, työkirjoille ja kunkin tyypin tai rakenteen hakukyselyille.
Joskus tarvitset erilliset säännöt, työkirjat ja kyselyt, vaikka tietotyypeillä olisi yhteisiä elementtejä, kuten palomuurilaitteet. Myös erityyppisten tietojen korrelointi tutkimuksen aikana ja metsästys voi olla haastavaa.
Kehittyneen suojauksen tietomalli (ASIM) on kerros, joka sijaitsee näiden erilaisten lähteiden ja käyttäjän välissä. ASIM noudattaa vankeusperiaatetta: "Ole tiukka lähettämiesi viestien suhteen, ole joustava hyväksyttävässä asiassa". Kun kestävyysperiaatetta käytetään suunnittelumallina, ASIM muuntaa Microsoft Sentinelin epäyhtenäisen ja vaikeasti käytettävän lähdetelemetrian käyttäjäystävällisiin tietoihin.
Yleinen ASIM-käyttö
ASIM tarjoaa saumattoman käyttökokemuksen eri lähteiden käsittelemiseen yhtenäisessä, normalisoidussa näkymässä tarjoamalla seuraavat toiminnot:
Lähteiden välinen tunnistus. Normalisoidut analytiikkasäännöt toimivat eri lähteissä, paikallisesti ja pilvipalvelussa ja havaitsevat hyökkäyksiä, kuten raakaa voimaa tai mahdotonta matkustamista järjestelmien, kuten Oktan, AWS:n ja Azuren, välillä.
Lähdeagnostinen sisältö. ASIM:n sisäänrakennetun ja mukautetun sisällön kattavuus laajenee automaattisesti mihin tahansa lähteeseen, joka tukee ASIM:iä, vaikka lähde lisäisiin sisällön luomisen jälkeen. Esimerkiksi prosessin tapahtuma-analytiikka tukee mitä tahansa lähdettä, jonka avulla asiakas voi tuoda tietoja, kuten Microsoft Defender for Endpointia, Windows-tapahtumia ja Sysmonia.
Mukautettujen lähteiden tuki valmiissa analytiikassa
Helppo käyttää. Kun analyytikko oppii ASIM:n, kyselyiden kirjoittaminen on yksinkertaisempaa, koska kenttien nimet ovat aina samoja.
ASIM ja avoimen lähdekoodin suojaustapahtumien metatiedot
ASIM tasaa avoimen lähdekoodin suojaustapahtumien metatietojen (OSSEM) yleisen tietomallin, mikä mahdollistaa ennakoitavien entiteettien korrelaation normalisoitujen taulukoiden välillä.
OSSEM on yhteisöpohjainen projekti, joka keskittyy ensisijaisesti eri tietolähteistä ja käyttöjärjestelmistä peräisin olevien suojaustapahtumalokien dokumentaatioon ja standardointiin. Projekti sisältää myös Common Information Modelin (CIM), jota voidaan käyttää tietoteknikoille tietojen normalisointimenettelyjen aikana, jotta tietoturva-analyytikot voivat tehdä kyselyjä ja analysoida tietoja eri tietolähteistä.
ASIM-osat
Seuraavassa kuvassa näkyy, miten normalisoimattomat tiedot voidaan kääntää normalisoituun sisältöön ja käyttää Microsoft Sentinelissä. Voit esimerkiksi aloittaa mukautetusta tuotekohtaisessa, normalisoimattomassa taulukossa ja muuntaa taulukon normalisoiduiksi tiedoiksi käyttämällä jäsennystä ja normalisointirakennetta. Käytä normalisoituja tietojasi sekä Microsoftin analytiikassa että mukautetuissa analytiikassa, säännöissä, työkirjoissa, kyselyissä ja niin edelleen.
ASIM sisältää seuraavat osat:
| Komponentti | Kuvaus |
|---|---|
| Normalisoidut rakenteet | Kattaa vakiojoukot ennakoitavia tapahtumatyyppejä, joita voit käyttää, kun luot yhtenäisiä ominaisuuksia. Jokainen rakenne määrittää kentät, jotka edustavat tapahtumaa, normalisoitua sarakkeen nimeämiskäytäntöä ja vakiomuotoa kenttien arvoille. |
| Parsers | Yhdistä olemassa olevat tiedot normalisoituihin rakenteet KQL-funktioiden avulla. Monet ASIM-jäsennykset ovat heti saatavilla Microsoft Sentinelin avulla. Lisää jäsennyksiä ja muokattavissa olevien sisäänrakennettujen jäsennysten versioita voidaan ottaa käyttöön Microsoft Sentinel GitHub -säilöstä. |
| Kunkin normalisoidun rakenteen sisältö | Sisältää analytiikkasäännöt, työkirjat, hakukyselyt ja paljon muuta. Kunkin normalisoidun rakenteen sisältö toimii kaikissa normalisoiduissa tiedoissa ilman, että lähdekohtaista sisältöä tarvitsee luoda. |
ASIM-terminologia
ASIM käyttää seuraavia termejä:
| Termi | Kuvaus |
|---|---|
| Raportointilaite | Järjestelmä, joka lähettää tietueet Microsoft Sentineliin. Tämä järjestelmä ei ehkä ole lähetettävän tietueen aihejärjestelmä. |
| Nauhoita | Raporttilaitteesta lähetettyjen tietojen yksikkö. Tietuetta kutsutaan usein lokiksi, tapahtumaksi tai hälytykseksi, mutta se voi olla myös muuntyyppistä tietoa. |
| Sisältö tai sisältökohde | Eri artefakteja, mukautettavia tai käyttäjän luomia artefakteja kuin Microsoft Sentinelin kanssa voidaan käyttää. Näitä artefakteja ovat esimerkiksi analytiikkasäännöt, metsästyskyselyt ja työkirjat. Sisältökohde on yksi tällainen artefakti. |
NÄYTÄ ASIM-jäsennykset
ASIM-funktioiden tarkasteleminen Microsoft Sentinel -ympäristössä.
- Siirry Microsoft Sentinel -työtilaan Azure-portaalissa
- Valitse lokit vasemmasta siirtymisruudusta
- Laajenna rakenne- ja suodatinruutu vasemmalla puolella (tarvittaessa tuo kaikki työkalut näkyviin kolmen pisteen avulla)
- Valitse funktiot
- Laajenna Microsoft Sentinel
Näet funktiot, jotka alkavat ASImista ja Imistä.