Normalizálás és az Advanced Security Information Model (ASIM) (nyilvános előzetes verzió)

A Microsoft Sentinel számos forrásból betölti az adatokat. A különböző adattípusok és táblák együttes használatához ismernie kell mindegyiket, és egyedi adatkészleteket kell írnia és használnia az elemzési szabályokhoz, munkafüzetekhez és keresési lekérdezésekhez az egyes típusokhoz vagy sémákhoz.

Néha külön szabályokra, munkafüzetekre és lekérdezésekre van szükség, még akkor is, ha az adattípusok közös elemeket, például tűzfaleszközöket használnak. A különböző adattípusok közötti korreláció a vizsgálat és a vadászat során is kihívást jelenthet.

Az Advanced Security Information Model (ASIM) egy réteg, amely a különböző források és a felhasználó között helyezkedik el. Az ASIM a robusztusság elvét követi: "Szigorú legyen abban, amit küld, legyen rugalmas abban, amit elfogad". Az ASIM a robusztussági alapelvet tervezési mintaként használva felhasználóbarát adatokká alakítja át a Microsoft Sentinel által gyűjtött védett forrástelemetria-telemet, hogy megkönnyítse az adatcserét és az integrációt.

Ez a cikk áttekintést nyújt az Advanced Security Information Model (ASIM), a használati esetekről és a fő összetevőkről.

Tipp.

Nézze meg az ASIM Webináriumot is, vagy tekintse át a webinárium diákat.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Gyakori ASIM-használat

Az ASIM zökkenőmentes felületet biztosít a különböző források egységes, normalizált nézetben való kezeléséhez a következő funkciók biztosításával:

• Forrásközi észlelés. A normalizált elemzési szabályok a forrásokon, a helyszínen és a felhőben is működnek, és észlelik az olyan támadásokat, mint a találgatás vagy a lehetetlen utazás a rendszereken, például az Okta, az AWS és az Azure között.

• Forrás agnosztikus tartalom. Az ASIM-et használó beépített és egyéni tartalmak lefedettsége automatikusan kiterjeszthető az ASIM-t támogató bármely forrásra, még akkor is, ha a forrás a tartalom létrehozása után lett hozzáadva. A folyamatesemény-elemzések például támogatnak minden olyan forrást, amelyet az ügyfél felhasználhat az adatok behozására, például Végponthoz készült Microsoft Defender, Windows-események és Sysmon.

• Egyéni források támogatása a beépített elemzésekben

• Könnyű használat. Miután egy elemző megtanulta az ASIM-et, a lekérdezések írása sokkal egyszerűbb, mivel a mezőnevek mindig azonosak.

Az ASIM és a nyílt forráskódú biztonsági események metaadatai

Az ASIM igazodik a nyílt forráskódú biztonsági események metaadatainak (OSSEM) közös információs modelljéhez, lehetővé téve a normalizált táblák közötti kiszámítható entitások közötti korrelációt.

Az OSSEM egy közösség által vezetett projekt, amely elsősorban a különböző adatforrásokból és operációs rendszerekből származó biztonsági eseménynaplók dokumentációjára és szabványosítására összpontosít. A projekt egy Common Information Model (CIM) modellt is biztosít, amely adat normalizálási eljárások során használható adatmérnökök számára, hogy a biztonsági elemzők különböző adatforrásokban kérdezhessenek le és elemezhessenek adatokat.

További információkért tekintse meg az OSSEM referenciadokumentációját.

ASIM-összetevők

Az alábbi képen látható, hogyan fordíthatók le a nem normalizált adatok normalizált tartalmakká, és hogyan használhatók fel a Microsoft Sentinelben. Például egy egyéni, termékspecifikus, nem normalizált táblával kezdhet, és egy elemző és egy normalizálási séma használatával normalizált adatokká alakíthatja a táblázatot. Használja a normalizált adatokat a Microsoft és az egyéni elemzések, szabályok, munkafüzetek, lekérdezések és egyebek között.

Az ASIM a következő összetevőket tartalmazza:

Normalizált sémák

A normalizált sémák olyan kiszámítható eseménytípusok standard készleteit fedik le, amelyeket az egyesített képességek létrehozásakor használhat. Minden séma meghatározza az eseményt, a normalizált oszlopelnevezési konvencióját és a mezőértékek szabványos formátumát.

Az ASIM jelenleg a következő sémákat határozza meg:

• Esemény naplózása
• Hitelesítési esemény
• DHCP-tevékenység
• DNS-tevékenység
• Fájltevékenység
• Hálózati munkamenet
• Folyamatesemény
• Beállításjegyzék-esemény
• Felhasználókezelés
• Webes munkamenet

További információ: ASIM-sémák.

Lekérdezési idő elemzői

Az ASIM lekérdezésiidő-elemzőkkel képezi le a meglévő adatokat a KQL-funkciókat használó normalizált sémákra. Számos ASIM-elemző azonnal használható a Microsoft Sentinel részeként. A Microsoft Sentinel GitHub-adattárból további elemzők és a módosítható beépített elemzők verziói is üzembe helyezhetők.

További információkért lásd: ASIM-elemzők.

A betöltési idő normalizálása

A lekérdezési időelemzőknek számos előnye van:

• Nem követelik meg az adatok módosítását, így megőrizve a forrásformátumot.
• Mivel nem módosítják az adatokat, hanem inkább az adatok nézetét jelenítik meg, könnyen fejleszthetők. Az elemzők fejlesztése, tesztelése és javítása mind elvégezhető a meglévő adatokon. Emellett az elemzők kijavíthatók a probléma észlelésekor, és a javítás a meglévő adatokra is érvényes lesz.

Másrészt, míg az ASIM-elemzők optimalizálva vannak, a lekérdezési idő elemzése lelassíthatja a lekérdezéseket, különösen a nagy adathalmazok esetén. A probléma megoldásához a Microsoft Sentinel kiegészíti a lekérdezési idő elemzését a betöltési idő elemzésével. A betöltési átalakítással az események normalizált táblára vannak normalizálva, felgyorsítva a normalizált adatokat használó lekérdezéseket.

Az ASIM jelenleg a következő natív normalizált táblákat támogatja célként a betöltési idő normalizálásához:

• ASimAuditEventLogs for the Audit Event schema.
• ASimAuthenticationEventLogs a hitelesítési sémához.
• ASimDnsActivityLogs a DNS-sémához .
• ASimNetworkSessionLogs a hálózati munkamenet sémához
• ASimWebSessionLogs a webes munkamenet sémához.

További információ: Betöltési idő normalizálása.

Minden normalizált séma tartalma

Az ASIM-t használó tartalom megoldásokat, elemzési szabályokat, munkafüzeteket, keresési lekérdezéseket és egyebeket tartalmaz. Az egyes normalizált sémák tartalma minden normalizált adaton működik anélkül, hogy forrásspecifikus tartalmat kellene létrehoznia.

További információ: ASIM-tartalom.

Az ASIM használatának első lépései

Az ASIM használatának megkezdése:

• Helyezzen üzembe egy ASIM-alapú tartományi megoldást, például a Network Threat Protection Essentials tartományi megoldást.

• Aktiválhat olyan elemzésiszabály-sablonokat, amelyek ASIM-et használnak. További információért lásd az ASIM-tartalomlistát.

• Használja a Microsoft Sentinel GitHub-adattárból származó ASIM-keresési lekérdezéseket, amikor naplókat kérdez le a KQL-ben a Microsoft Sentinel-naplók lapon. További információért lásd az ASIM-tartalomlistát.

• Saját elemzési szabályokat írhat az ASIM használatával, vagy átalakíthatja a már meglévőket.

• Engedélyezheti, hogy az egyéni adatok beépített elemzéseket használjanak, ha elemzőket ír az egyéni forrásokhoz, és hozzáadja őket a megfelelő forrásfüggetlen elemzőhöz.

Kapcsolódó tartalom

Ez a cikk áttekintést nyújt a Microsoft Sentinel és az ASIM normalizálásáról.

További információk:

• Az ASIM Webinárium megtekintése vagy a diák áttekintése
• Advanced Security Information Model (ASIM) sémák
• Advanced Security Information Model (ASIM) elemzők
• Advanced Security Information Model (ASIM) tartalom