הבנת נורמליזציה של נתונים
Microsoft Sentinel בו מכיל נתונים ממקורות רבים. עבודה עם סוגי נתונים וטבלאות שונים יחד דורשת ממך להבין כל אחד מהם, ולכתוב ערכות נתונים ייחודיות ולהשתמש בהן עבור כללי ניתוח, חוברות עבודה ושאילתות ציד עבור כל סוג או סכימה.
לעתים, תצטרך כללים, חוברות עבודה ושאילתות נפרדים, גם כאשר סוגי נתונים משתפים רכיבים משותפים, כגון התקני חומת אש. גם התאמה בין סוגים שונים של נתונים במהלך חקירה לבין ציד עשויה להיות מאתגרת.
מודל מידע האבטחה המתקדם (ASIM) הוא שכבה הממוקמת בין מקורות מגוונים אלה לבין המשתמש. ASIM פועל בהתאם לעקרונות הגמישות: "הקפד על מה שאתה שולח, היה גמיש במה שאתה מקבל". כאשר העיקרון חסין משמש כדפוס עיצוב, ASIM משנה את מדידת השימוש של Microsoft Sentinel באופן לא עקבי ושקשה להשתמש במדידת שימוש במקור לנתונים ידידותיים למשתמש.
שימוש ASIM נפוץ
ASIM מספק חוויה חלקה לטיפול במקורות שונים בתצוגות אחידות ומנומולות, על-ידי אספקת הפונקציונליות הבאה:
זיהוי בין מקורות. כללי ניתוח מנומול פועלים בין מקורות, מקומיים וענן, ומאתרים התקפות כגון כוח חבלה או נסיעה בלתי אפשרית במערכות שונות, כולל Okta, AWS ו- Azure.
תוכן אגנוסטי של מקור. הכיסוי של תוכן מוכלל ותוכן מותאם אישית באמצעות ASIM מתרחב באופן אוטומטי לכל מקור התומך ב- ASIM, גם אם המקור נוסף לאחר יצירת התוכן. לדוגמה, ניתוח אירועים בתהליך תומך בכל מקור שבו הלקוח עשוי להשתמש כדי להביא את הנתונים, כגון Microsoft Defender עבור נקודת קצה, אירועי Windows ו- Sysmon.
תמיכה במקורות המותאמים אישית שלך, בכלי ניתוח מוכללים
נוחות שימוש. לאחר שאנליסט לומד את ASIM, קל יותר לכתוב שאילתות, כי שמות השדות זהים תמיד.
ASIM ומטה-נתונים של אירועי אבטחה של קוד פתוח
ASIM מיושר למודל המידע הנפוץ של מטה-נתונים של אירועי אבטחה של קוד פתוח (OSSEM), ומאפשר התאמה צפויה של ישויות בין טבלאות מנומולות.
OSSEM הוא פרוייקט בהובלת קהילה המתמקד בעיקר בתיעוד ובתקנים של יומני אירועי אבטחה ממקורות נתונים ומערכות הפעלה מגוונים. הפרוייקט מספק גם מודל מידע משותף (CIM) שניתן להשתמש בו למהנדסי נתונים במהלך הליכי נורמליזציה של נתונים כדי לאפשר לאנליסטים של אבטחה לבצע שאילתות ולנתח נתונים בין מקורות נתונים מגוונים.
רכיבי ASIM
התמונה הבאה מראה כיצד ניתן לתרגם נתונים לא מנומולים לתוכן מנומל וכיצד להשתמש בהם ב- Microsoft Sentinel. לדוגמה, באפשרותך להתחיל עם טבלה מותאמת אישית, ספציפית למוצר, שאינה מנומולת, ולהשתמש במנתח ובסכימת נרמול כדי להמיר טבלה זו לנתונים מנומולים. השתמש בנתונים מנומולים הן ב- Microsoft והן בכלי ניתוח מותאמים אישית, בכללים, חוברות עבודה, שאילתות ועוד.
ASIM כולל את הרכיבים הבאים:
| רכיב | תיאור |
|---|---|
| סכימות מנומולות | כסה ערכות סטנדרטיות של סוגי אירועים ניתנים לחיזוי שבהם תוכל להשתמש בעת בניית יכולות מאוחדות. כל סכימה מגדירה את השדות המייצגים אירוע, מוסכמה מנומול למתן שמות לעמודות ותבנית סטנדרטית עבור ערכי השדה. |
| מנתחי מבנה | מפה נתונים קיימים לסכימות הרגילות באמצעות פונקציות KQL. מנתחי ASIM רבים זמינים מחוץ לקופסה עם Microsoft Sentinel. ניתן לפרוס מנתחים וגירסאות נוספים של מנתחים מוכללים שניתן לשנות מתוך מאגר Microsoft Sentinel GitHub. |
| תוכן עבור כל סכימה מנומולת | כולל כללי ניתוח, חוברות עבודה, שאילתות ציד ועוד. התוכן עבור כל סכימה מנומול פועל בכל נתונים מנומולים ללא צורך ליצור תוכן ספציפי למקור. |
מינוח ASIM
ASIM משתמש בתנאים הבאים:
| מונח | תיאור |
|---|---|
| התקן דיווח | המערכת ששולחת את הרשומות ל- Microsoft Sentinel. ייתכן שמערכת זו אינה מערכת הנושאים עבור הרשומה שנשלחת. |
| רשומה | יחידת נתונים שנשלחה ממכשיר הדיווח. רשומה נקראת לעתים קרובות יומן רישום, אירוע או התראה, אך עשויה להיות גם סוגים אחרים של נתונים. |
| תוכן או פריט תוכן | הממצאים השונים, הניתנים להתאמה אישית או שנוצרו על-ידי המשתמש, מאלה שניתן להשתמש בהם עם Microsoft Sentinel. ממצאים אלה כוללים, לדוגמה, כללי ניתוח, שאילתות ציד חוברות עבודה. פריט תוכן הוא פריט ממצא כזה. |
הצגת מנתחי ASIM
כדי להציג פונקציות ASIM בסביבה Microsoft Sentinel שלך.
- נווט אל סביבת העבודה של Microsoft Sentinel בפורטל Azure
- בחר יומני רישום מהנווט הימני
- הרחב את חלונית הסכימה והמסנן בצד ימין (אם יש צורך להשתמש בשלוש הנקודות כדי לחשוף את כל הכלים)
- בחירת פונקציות
- הרחב את Microsoft Sentinel
תראה פונקציות שמתחילות ב- ASim ובהודעותמיידיות.