נרמול ומודל מידע אבטחה מתקדם (ASIM)

Microsoft Sentinel לתליית נתונים ממקורות רבים. עבודה עם סוגי נתונים וטבלאות שונים יחד דורשת ממך להבין כל אחד מהם, ולכתוב ערכות נתונים ייחודיות ולהשתמש בהן עבור כללי ניתוח, חוברות עבודה ושאילתות ציד עבור כל סוג או סכימה.

לעתים, תצטרך כללים, חוברות עבודה ושאילתות נפרדים, גם כאשר סוגי נתונים משתפים רכיבים נפוצים, כגון התקני חומת אש. התאמה בין סוגים שונים של נתונים במהלך חקירה והצייד עשויה להיות מאתגרת גם כן.

מודל מידע האבטחה המתקדם (ASIM) הוא שכבה הממוקמת בין מקורות מגוונים אלה לבין המשתמש. ASIM פועל בהתאם לעקרונות התסכול: "הקפד על מה שאתה שולח, היה גמיש במה שאתה מקבל". באמצעות העקרון ההנדסי כדפוס עיצוב, ASIM משנה את מדידת השימוש של המקור הקנאי שנאסף על-ידי Microsoft Sentinel לנתונים ידידותיים למשתמש כדי להקל על החלפה ושילוב.

מאמר זה מספק מבט כולל על מודל מידע אבטחה מתקדם (ASIM), מקרי השימוש שלו ורכיבים עיקריים.

עצה

בנוסף, צפה בסמינר מקוון של ASIM או סקור את שקופיות הסמינר באינטרנט.

שימוש ASIM נפוץ

ASIM מספק חוויה חלקה לטיפול במקורות שונים בתצוגות אחידות ורגילות, על-ידי מתן הפונקציונליות הבאה:

• זיהוי בין מקורות. כללי ניתוח מנורמה פועלים בין מקורות, מקומיים וענן, ומאתרים התקפות כגון כוח חזק או בלתי אפשרי לנסוע במערכות שונות, כולל Okta, AWS ו- Azure.

• תוכן אגנוסטי של מקור. הכיסוי של תוכן מוכלל ותוכן מותאם אישית באמצעות ASIM מתרחב באופן אוטומטי לכל מקור התומך ב- ASIM, גם אם המקור נוסף לאחר יצירת התוכן. לדוגמה, ניתוח אירועים של עיבוד תומך בכל מקור שבו לקוח עשוי להשתמש כדי להביא את הנתונים, כגון Microsoft Defender עבור נקודת קצה, Windows Events ו- Sysmon.

• תמיכה במקורות המותאמים אישית שלך, בכלי ניתוח מוכללים

• נוחות שימוש. לאחר שאנליסט לומד ASIM, קל הרבה יותר לכתוב שאילתות, כי שמות השדות תמיד זהים.

ASIM ומטה-נתונים של אירועי אבטחה של קוד פתוח

ASIM תואם למודל המידע המשותף של אירועי אבטחה של קוד פתוח (OSSEM), המאפשר התאמה צפויה של ישויות בין טבלאות מנושרות.

OSSEM הוא פרוייקט המתמקד בעיקר בתיעוד ובתקנים של יומני אירועי אבטחה ממקורות נתונים ומערכות הפעלה מגוונים. הפרוייקט מספק גם מודל מידע נפוץ (CIM) שניתן להשתמש בו למהנדסי נתונים במהלך הליכי נרמול נתונים כדי לאפשר לאנליסטים של אבטחה לבצע שאילתות ולנתח נתונים בין מגוון מקורות נתונים.

לקבלת מידע נוסף, עיין בתיעוד העיון של OSSEM.

רכיבי ASIM

התמונה הבאה מראה כיצד ניתן לתרגם נתונים לא מנומולים לתוכן מנומול וכיצד להשתמש בהם Microsoft Sentinel. לדוגמה, באפשרותך להתחיל מטבלה מותאמת אישית, ספציפית למוצר, שאינה מנומולת, ולהשתמש במנתח ובסכימת נרמול כדי להמיר טבלה זו לנתונים מנומולים. השתמש בנתונים המותאמים אישית שלך ב- Microsoft ובניתוח מותאם אישית, בכללים, חוברות עבודה, שאילתות ועוד.

ASIM כולל את הרכיבים הבאים:

סכימות מנורמה

סכימות מנורמה מכסות ערכות סטנדרטיות של סוגי אירועים ניתנים לחיזוי שבהם ניתן להשתמש בעת בניית יכולות מאוחדות. כל סכימה מגדירה את השדות המייצגים אירוע, מוסכמה מנורמה למתן שמות לעמודות ותבנית סטנדרטית עבור ערכי השדה.

ASIM מגדיר כעת את הסכימות הבאות:

• אירוע התראה
• אירוע ביקורת
• אירוע אימות
• פעילות DHCP
• פעילות DNS
• פעילות קובץ
• הפעלת רשת
• אירוע תהליך
• אירוע רישום
• ניהול משתמשים
• הפעלת אינטרנט

לקבלת מידע נוסף, ראה סכימות ASIM.

מנתחי זמן של שאילתה

ASIM משתמש במנתחי זמן של שאילתה כדי למפות נתונים קיימים לסכימות המנומול באמצעות פונקציות KQL. מנתחי ASIM רבים זמינים מחוץ לתיבה עם Microsoft Sentinel. ניתן לפרוס מנתחים וגירסאות נוספות של מנתחים מוכללים שניתן לשנות מתוך מאגר Microsoft Sentinel GitHub.

לקבלת מידע נוסף, ראה מנתחי ASIM.

נורמליזציה של זמן ההזרמה

מנתחי זמן של שאילתה כוללים יתרונות רבים:

• הם אינם דורשים את שינוי הנתונים ולכן הם שומרים על תבנית המקור.
• מאחר שהם אינם משנה את הנתונים, אלא מציגים תצוגה של הנתונים, קל לפתח אותם. ניתן לבצע פיתוח, בדיקה ותיקון של מנתח בנתונים קיימים. בנוסף, ניתן לפתור מנתחים בעת גילוי בעיה והתיקון יחול על נתונים קיימים.

עם זאת, ניתוחי ASIM ממוטבים, ניתוח זמן של שאילתה עלול להאט שאילתות, במיוחד בערכות נתונים גדולות. כדי לפתור בעיה זו, Microsoft Sentinel משלים ניתוח זמן של שאילתה בניתוח זמן ל- ingest time parsing. באמצעות המרת גדילת האירועים, האירועים מנומולים לטבלה מנורמה, ומאיצים שאילתות המשתמשות בנתונים מנומולים.

בשלב זה, ASIM תומך בטבלאות המקוריות הבאות המותאמות לנורמה כיעד לרגילת הזמן:

• ASimAuditEventLogs עבורסכימת אירוע הביקורת.
• ASimAuthenticationEventLogs עבור סכימת האימות .
• ASimDhcpEventLogs עבור סכימת אירוע DHCP .
• ASimDnsActivityLogs עבור סכימת ה- DNS .
• ASimFileEventLogs עבורסכימת אירוע הקובץ.
• ASimNetworkSessionLogs עבורסכימת הפעלת הרשת.
• ASimProcessEventLogs עבור סכימת אירוע התהליך .
• ASimRegistryEventLogs עבורסכימת אירוע הרישום .
• ASimUserManagementActivityLogs עבורסכימת ניהול המשתמשים.
• ASimWebSessionLogs עבור סכימת הפעלת האינטרנט.

לקבלת מידע נוסף, ראה Ingest Time Normalization.

תוכן עבור כל סכימה מנורמה

תוכן המשתמש ב- ASIM כולל פתרונות, כללי ניתוח, חוברות עבודה, שאילתות ציד ועוד. תוכן עבור כל סכימה מנורמה פועל בנתונים מנומולים ללא צורך ליצור תוכן ספציפי למקור.

לקבלת מידע נוסף, ראה תוכן ASIM.

תחילת העבודה עם ASIM

כדי להתחיל להשתמש ב- ASIM:

• פרוס פתרון תחום מבוסס ASIM כגון פתרון התחום Network Threat Protection Essentials .

• הפעל תבניות כללי ניתוח המשתמשות ב- ASIM. לקבלת מידע נוסף, עיין ברשימת התוכן של ASIM.

• השתמש בשאילתות הציד של ASIM מתוך מאגר Microsoft Sentinel GitHub, בעת ביצוע שאילתות ביומני רישום ב- KQL בדף Microsoft Sentinel יומני רישום. לקבלת מידע נוסף, עיין ברשימת התוכן של ASIM.

• כתוב כללי ניתוח משלך באמצעות ASIM או המר כללי ניתוח קיימים.

• אפשר לנתונים המותאמים אישית שלך להשתמש בניתוחים מוכללים על-ידי כתיבת מנתחים עבור המקורות המותאמים אישית שלך והוספתם למנתח האבנוסטי הרלוונטי של המקור.

תוכן קשור

מאמר זה מספק מבט כולל על נרמול ב- Microsoft Sentinel וב- ASIM.

לקבלת מידע נוסף, ראה:

• צפה בסמינר מקוון של ASIM או סקור את השקופיות
• סכימות מתקדמות של מודל מידע אבטחה (ASIM)
• מנתחי מודל מידע אבטחה מתקדמים (ASIM)
• תוכן של מודל מידע אבטחה מתקדם (ASIM)