Solutions de domaine basées sur le modèle ASIM (Advanced Security Information Model) pour Microsoft Sentinel (préversion)

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Les solutions Microsoft Essentials sont des solutions de domaine publiées par Microsoft pour Microsoft Sentinel. Ces solutions ont un contenu prêt à l’emploi pouvant fonctionner sur plusieurs produits pour des catégories spécifiques comme la mise en réseau. Certaines de ces solutions Essentials utilisent la technique de normalisation ASIM (Advanced Security Information Model) pour normaliser les données au moment de la requête ou de l’ingestion.

Important

Les solutions Microsoft Essentials et la solution Network Session Essentials sont actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Pourquoi utiliser les solutions Microsoft Essentials basées sur ASIM ?

Lorsque plusieurs solutions d’une catégorie de domaine partagent des modèles de détection similaires, il est logique d’avoir les données capturées sous un schéma normalisé comme ASIM. Les solutions Essentials utilisent ce schéma ASIM pour détecter les menaces à grande échelle.

Dans le hub de contenu, il existe plusieurs solutions de produits pour différentes catégories de domaine, comme « Sécurité – Réseau ». Par exemple, Pare-feu Azure, Palo Alto Firewall et Corelight ont des solutions de produit pour la catégorie de domaine « Sécurité – Réseau ».

  • Ces solutions ont des composants d’ingestion de données différents par conception. Toutefois, il existe un certain modèle pour l’analytique, la chasse, les classeurs et d’autres contenus dans la même catégorie de domaine.
  • La plupart des principaux produits réseau ont un ensemble commun d’alertes de pare-feu qui incluent les menaces malveillantes provenant d’adresses IP inhabituelles. Le modèle de règle analytique est, en général, dupliqué pour chacune des catégories de solutions de produit « Sécurité – Réseau ». Si vous exécutez plusieurs produits réseau, vous devez vérifier et configurer plusieurs règles analytiques individuellement, ce qui est inefficace. Vous recevez également des alertes pour chaque règle configurée, ce qui est susceptible de vous lasser à terme.
  • Si vous avez des requêtes de chasse en double, vous pouvez avoir des expériences de chasse moins performantes avec le mode de chasse intégral. Ces requêtes de chasse en double introduisent également des inefficacités pour les chasseurs de menaces pour sélectionner et exécuter des requêtes similaires.

Vous pouvez envisager des solutions Microsoft Essentials pour les raisons suivantes :

  • Un schéma normalisé facilite l’interrogation des détails de l’incident. Vous n’avez pas besoin de mémoriser une syntaxe de fournisseur différente pour des attributs de journal similaires.
  • Si vous n’avez pas besoin de gérer le contenu pour de nombreuses solutions, le déploiement de cas d’usage et la gestion des incidents sont plus faciles.
  • Une vue de classeur consolidée vous offre une meilleure visibilité de l’environnement et une analyse possible du temps de requête avec des analyseurs ASIM hautement performants.

Schémas ASIM pris en charge

Les solutions Essentials sont actuellement réparties sur les différents schémas ASIM suivants pris en charge par Sentinel :

  • Événement d’audit
  • Événement d’authentification
  • Activité DNS
  • Activité de fichier
  • Session réseau
  • Événement Processus
  • Session web

Pour plus d’informations, consultez Schémas ASIM (Advanced Security Information Model).

Normalisation du temps d’ingestion

Les résultats de la normalisation du temps d’ingestion peuvent être ingérés dans le tableau normalisé suivant :

Pour plus d’informations, consultez Ingérer la normalisation du temps.

Contenu disponible avec les solutions Essentials de domaine basées sur ASIM

Le tableau suivant décrit le type de contenu disponible avec chaque solution Essentials. Pour certains cas d’usage spécifiques, vous pouvez également utiliser le contenu disponible avec la solution de produit Microsoft Sentinel.

Type de contenu description
Règle analytique Les règles analytiques disponibles dans les solutions Essentials basées sur ASIM sont génériques et conviennent parfaitement à toutes les solutions de produits Microsoft Sentinel dépendantes pour ce domaine. La solution de produit Microsoft Sentinel peut avoir un cas d’usage spécifique à la source couvert dans le cadre de la règle analytique. Activez les règles de solution de produit Microsoft Sentinel si votre environnement les nécessite.
Requête de chasse Les requêtes de chasse disponibles dans les solutions Essentials basées sur ASIM sont génériques et conviennent parfaitement pour rechercher les menaces à partir de toutes les solutions de produits Microsoft Sentinel dépendantes pour ce domaine. La solution de produit Microsoft Sentinel peut avoir une requête de chasse spécifique à la source disponible prête à l’emploi. Utilisez les requêtes de chasse de la solution de produit Microsoft Sentinel si nécessaire pour votre environnement.
Manuel Les solutions Essentials basées sur ASIM sont censées gérer des données avec un nombre élevé d’événements par seconde. Lorsque vous avez du contenu qui utilise ce volume de données, vous pouvez noter un impact sur les performances qui peut ralentir le chargement des classeurs ou des résultats de requête. Pour résoudre ce problème, le playbook de synthèse résume les journaux sources et stocke les informations dans une table prédéfinie. Activez le playbook de résumé pour permettre aux solutions Essentials d’interroger cette table.

Étant donné que les playbooks dans Microsoft Sentinel sont basés sur des flux de travail créés dans Azure Logic Apps qui créent des ressources distinctes, d’autres frais peuvent s’appliquer. Consultez la page sur la tarification d’Azure Logic Apps pour en savoir plus. D’autres frais peuvent également s’appliquer pour le stockage des données résumées.
Liste de surveillance Les solutions Essentials des basées sur ASIM utilisent une watchlist qui comprend plusieurs ensembles de conditions pour la détection de règles analytiques et les requêtes de chasse. La watchlist vous permet d’effectuer les tâches suivantes :

- Effectuer une supervision ciblée avec la filtration des données.
- Basculer entre la chasse et la détection pour chaque élément de liste.
- Conservez le Type de seuil défini sur Statique pour tirer parti des alertes basées sur les seuils, tandis que les alertes basées sur les anomalies apprenaient des derniers jours de données (14 jours maximum).
- Modifiez le Nom d’alerte, la Description, la Tactique et la Gravité de l’alerte à l’aide de cette watchlist pour les éléments de liste individuels.
- Désactivez la détection en définissant Gravité sur Désactivé.
Classeur Le classeur disponible avec les solutions Essentials basées sur ASIM offre une vue consolidée des différents événements et activités qui se produisent dans le domaine dépendant. Étant donné que ce classeur extrait les résultats d’un volume de données très élevé, il peut y avoir un certain décalage des performances. Si vous rencontrez des problèmes de performances, utilisez le playbook de synthèse.

Ces solutions Essentials, comme d’autres solutions de domaine Microsoft Sentinel, n’ont pas de connecteur propre. Elles dépendent des connecteurs spécifiques à la source dans les solutions de produits Microsoft Sentinel pour extraire les journaux. Pour comprendre les produits pris en charge par la solution de domaine, reportez-vous à la liste des prérequis des solutions de produit de chacune des listes de solutions Essentials de domaine ASIM. Installez une ou plusieurs solutions de produit. Configurez les connecteurs de données pour répondre aux besoins de dépendance du produit sous-jacents et pour permettre une meilleure utilisation du contenu de cette solution de domaine.