Normalizálás és az Advanced Security Information Model (ASIM) (nyilvános előzetes verzió)

A Microsoft Sentinel számos forrásból betölti az adatokat. A különböző adattípusok és táblák együttes használatához ismernie kell mindegyiket, és egyedi adatkészleteket kell írnia és használnia az egyes típusokhoz vagy sémákhoz tartozó elemzési szabályokhoz, munkafüzetekhez és keresési lekérdezésekhez.

Néha külön szabályokra, munkafüzetekre és lekérdezésekre van szükség, még akkor is, ha az adattípusok közös elemeket, például tűzfaleszközöket osztanak meg. A különböző típusú adatok vizsgálata és a vadászat során történő korrelációja szintén kihívást jelenthet.

Az Advanced Security Information Model (ASIM) egy olyan réteg, amely a különböző források és a felhasználó között helyezkedik el. Az ASIM a robusztusság elvét követi: "Szigorúnak kell lennie abban, amit küld, rugalmasnak kell lennie abban, amit elfogad". A robusztusság elve mintaként használva az ASIM a Microsoft Sentinel által gyűjtött saját forrástelemetria felhasználóbarát adatokká alakítja az adatcsere és az integráció megkönnyítése érdekében.

Ez a cikk áttekintést nyújt az Advanced Security Information Model (ASIM), használati eseteiről és fő összetevőiről. További részletekért tekintse meg a következő lépéseket ismertető szakaszt.

Tipp

Az ASIM-webináriumot is watch, vagy tekintse át a webinárium diáit.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Gyakori ASIM-használat

Az ASIM zökkenőmentes felületet biztosít a különböző források egységes, normalizált nézetekben való kezeléséhez a következő funkciók biztosításával:

• Forrásközi észlelés. A normalizált elemzési szabályok a forrásokon, a helyszínen és a felhőben is működnek, és észlelik az olyan támadásokat, mint a találgatásos támadás vagy a rendszerek közötti lehetetlen utazás, beleértve az Oktát, az AWS-t és az Azure-t.

• Forrásfüggetlen tartalom. Az ASIM-et használó beépített és egyéni tartalmak lefedettsége automatikusan kiterjeszthető az ASIM-t támogató bármely forrásra, még akkor is, ha a forrás a tartalom létrehozása után lett hozzáadva. A folyamatesemény-elemzések például támogatnak minden olyan forrást, amelyet az ügyfél felhasználhat az adatok behozására, például Végponthoz készült Microsoft Defender, Windows-események és Sysmon.

• Egyéni források támogatása a beépített elemzésekben

• Könnyű használat. Miután egy elemző megtanulta az ASIM-et, a lekérdezések írása sokkal egyszerűbb, mivel a mezőnevek mindig azonosak.

Az ASIM és a nyílt forráskódú biztonsági események metaadatai

Az ASIM igazodik a nyílt forráskódú biztonsági események metaadatainak (OSSEM) közös információs modelljéhez, amely lehetővé teszi a normalizált táblák közötti kiszámítható entitások korrelációját.

Az OSSEM egy közösség által vezetett projekt, amely elsősorban a különböző adatforrásokból és operációs rendszerekből származó biztonsági eseménynaplók dokumentációjára és szabványosítására összpontosít. A projekt egy Common Information Model (CIM) modellt is biztosít, amely adatszakértők számára használható az adatnormalizálási eljárások során, hogy a biztonsági elemzők különböző adatforrásokban kérdezhessenek le és elemezhessenek adatokat.

További információkért tekintse meg az OSSEM referenciadokumentációját.

ASIM-összetevők

Az alábbi képen látható, hogy a nem normalizált adatok hogyan fordíthatók normalizált tartalommá, és hogyan használhatók fel a Microsoft Sentinelben. Kiindulhat például egy egyéni, termékspecifikus, nem normalizált táblából, és egy elemző és egy normalizálási séma használatával konvertálhatja a táblát normalizált adatokká. A normalizált adatokat microsoftos és egyéni elemzésekben, szabályokban, munkafüzetekben, lekérdezésekben és egyebekben is használhatja.

Az ASIM a következő összetevőket tartalmazza:

Normalizált sémák

A normalizált sémák a kiszámítható eseménytípusok standard készleteit fedik le, amelyeket az egyesített képességek létrehozásakor használhat. Minden séma meghatározza az eseményeket képviselő mezőket, a normalizált oszlopelnevezési konvenciót és a mezőértékek szabványos formátumát.

Az ASIM jelenleg a következő sémákat határozza meg:

• Esemény naplózása
• Hitelesítési esemény
• DHCP-tevékenység
• DNS-tevékenység
• Fájltevékenység
• Hálózati munkamenet
• Folyamatesemény
• Beállításjegyzék-esemény
• Felhasználókezelés
• Webes munkamenet

További információ: ASIM-sémák.

Lekérdezési idő elemzői

Az ASIM lekérdezésiidő-elemzőkkel képezi le a meglévő adatokat a KQL-funkciókat használó normalizált sémákra. Számos ASIM-elemző azonnal használható a Microsoft Sentinel részeként. A Microsoft Sentinel GitHub-adattárból további elemzőket és a módosítható beépített elemzők verzióit is üzembe helyezheti.

További információkért lásd: ASIM-elemzők.

A betöltési idő normalizálása

A lekérdezési időelemzőknek számos előnye van:

• Nem igénylik az adatok módosítását, így megőrizve a forrásformátumot.
• Mivel nem módosítják az adatokat, hanem az adatok nézetét jelenítik meg, könnyen fejleszthetők. Az elemzők fejlesztése, tesztelése és javítása mind elvégezhető a meglévő adatokon. Emellett az elemzők kijavíthatók a probléma észlelésekor, és a javítás a meglévő adatokra is érvényes lesz.

Másfelől, míg az ASIM-elemzők optimalizálva vannak, a lekérdezési idő elemzése lelassíthatja a lekérdezéseket, különösen a nagy adathalmazok esetében. A probléma megoldásához a Microsoft Sentinel kiegészíti a lekérdezési idő elemzését a betöltési idő elemzésével. A betöltési átalakítással az események normalizált táblára normalizálódnak, felgyorsítva a normalizált adatokat használó lekérdezéseket.

Az ASIM jelenleg a következő natív normalizált táblákat támogatja célként a betöltési idő normalizálásához:

• ASimAuditEventLogs a Naplózási esemény sémához.
• ASimAuthenticationEventLogs a hitelesítési sémához.
• ASimDnsActivityLogs a DNS-sémához .
• ASimNetworkSessionLogs a hálózati munkamenet sémához
• ASimWebSessionLogs a webes munkamenet sémához.

További információ: Betöltési idő normalizálása.

Az egyes normalizált sémák tartalma

Az ASIM-et használó tartalom többek között megoldásokat, elemzési szabályokat, munkafüzeteket, keresési lekérdezéseket tartalmaz. Az egyes normalizált sémák tartalma minden normalizált adaton működik anélkül, hogy forrásspecifikus tartalmat kellene létrehoznia.

További információ: ASIM-tartalom.

Az ASIM használatának első lépései

Az ASIM használatának megkezdése:

• Helyezzen üzembe egy ASIM-alapú tartományi megoldást, például a Network Threat Protection Essentials tartományi megoldást.

• Aktiválhat olyan elemzésiszabály-sablonokat, amelyek ASIM-et használnak. További információért lásd az ASIM-tartalomlistát.

• Használja a Microsoft Sentinel GitHub-adattár ASIM-keresési lekérdezéseit, amikor naplókat kérdez le a KQL-ben a Microsoft Sentinel-naplók lapon. További információért lásd az ASIM-tartalomlistát.

• Saját elemzési szabályokat írhat az ASIM használatával, vagy átalakíthatja a már meglévőket.

• Engedélyezheti, hogy az egyéni adatok beépített elemzéseket használjanak, ha elemzőket ír az egyéni forrásokhoz, és hozzáadja őket a megfelelő forrásfüggetlen elemzőhöz.

Következő lépések

Ez a cikk áttekintést nyújt a Microsoft Sentinel és az ASIM normalizálásáról.

További információkért lásd:

• Tekintse meg az ASIM-webináriumot , vagy tekintse át a diákat
• Advanced Security Information Model- (ASIM-) sémák
• Advanced Security Information Model (ASIM) elemzők
• Az Advanced Security Information Model (ASIM) tartalma