Solusi domain berbasis Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk Microsoft Azure Sentinel (pratinjau)
Solusi penting Microsoft adalah solusi domain yang diterbitkan oleh Microsoft untuk Microsoft Sentinel. Solusi ini memiliki konten siap pakai yang dapat beroperasi di beberapa produk untuk kategori tertentu seperti jaringan. Beberapa solusi penting ini menggunakan teknik normalisasi Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk menormalkan data pada waktu kueri atau waktu penyerapan.
Penting
Solusi penting Microsoft dan solusi Network Session Essentials saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Mengapa menggunakan solusi penting Microsoft berbasis ASIM?
Ketika beberapa solusi dalam kategori domain berbagi pola deteksi serupa, masuk akal untuk mengambil data di bawah skema yang dinormalisasi seperti ASIM. Solusi penting memanfaatkan skema ASIM ini untuk mendeteksi ancaman dalam skala besar.
Di hub konten, ada beberapa solusi produk untuk kategori domain yang berbeda seperti "Keamanan - Jaringan". Misalnya, Azure Firewall, Palo Alto Firewall, dan Corelight memiliki solusi produk untuk kategori domain "Keamanan - Jaringan".
- Solusi ini memiliki komponen penyerapan data yang berbeda berdasarkan desain. Tetapi ada pola tertentu untuk analitik, perburuan, buku kerja, dan konten lainnya dalam kategori domain yang sama.
- Sebagian besar produk jaringan utama memiliki serangkaian pemberitahuan firewall dasar umum yang mencakup ancaman berbahaya yang berasal dari alamat IP yang tidak biasa. Templat aturan analitik adalah, secara umum, diduplikasi untuk setiap kategori "Keamanan - Jaringan" solusi produk. Jika Menjalankan beberapa produk jaringan, Anda perlu memeriksa dan mengonfigurasi beberapa aturan analitik satu per satu, yang tidak efisien. Anda juga akan mendapatkan pemberitahuan untuk setiap aturan yang dikonfigurasi dan mungkin berakhir dengan kelelahan pemberitahuan.
- Jika Anda memiliki kueri berburu duplikat, Anda mungkin memiliki pengalaman berburu yang kurang berkinerja dengan mode berburu run-all. Kueri perburuan duplikat ini juga memperkenalkan inefisiensi bagi pemburu ancaman untuk memilih dan menjalankan kueri serupa.
Anda mungkin mempertimbangkan solusi penting Microsoft karena alasan berikut:
- Skema yang dinormalisasi memudahkan Anda untuk mengkueri detail insiden. Anda tidak perlu mengingat sintaks vendor yang berbeda untuk atribut log serupa.
- Jika Anda tidak perlu mengelola konten untuk beberapa solusi, penyebaran kasus penggunaan dan penanganan insiden lebih mudah.
- Tampilan buku kerja terkonsolidasi memberi Anda visibilitas lingkungan yang lebih baik dan kemungkinan penguraian waktu kueri dengan pengurai ASIM berkinerja tinggi.
Skema ASIM didukung
Solusi penting saat ini terbenam di berbagai skema ASIM berikut yang didukung Sentinel:
- Peristiwa audit
- Peristiwa autentikasi
- Aktivitas DNS
- Aktivitas file
- Sesi jaringan
- Peristiwa proses
- Sesi web
Untuk informasi selengkapnya, lihat Skema Model Informasi Keamanan Tingkat Lanjut (ASIM).
Normalisasi waktu penyerapan
Hasil normalisasi waktu penyerapan dapat diserap ke dalam tabel yang dinormalisasi berikut:
- ASimDnsActivityLogs untuk skema DNS.
- ASimNetworkSessionLogs untuk skema Sesi Jaringan
Untuk informasi selengkapnya, lihat Menyerap normalisasi waktu.
Konten yang tersedia dengan solusi penting domain berbasis ASIM
Tabel berikut ini menjelaskan jenis konten yang tersedia dengan setiap solusi penting. Untuk beberapa kasus penggunaan tertentu, Anda mungkin juga ingin menggunakan konten yang tersedia dengan solusi produk Microsoft Azure Sentinel.
| Jenis konten | description |
|---|---|
| Aturan Analitis | Aturan analitik yang tersedia dalam solusi penting berbasis ASIM bersifat generik dan cocok untuk salah satu solusi produk Microsoft Sentinel dependen untuk domain tersebut. Solusi produk Microsoft Azure Sentinel mungkin memiliki kasus penggunaan khusus sumber yang dicakup sebagai bagian dari aturan analitik. Aktifkan aturan solusi produk Microsoft Sentinel sesuai kebutuhan untuk lingkungan Anda. |
| Kueri berburu | Kueri perburuan yang tersedia dalam solusi penting berbasis ASIM bersifat generik dan cocok untuk berburu ancaman dari salah satu solusi produk Microsoft Sentinel dependen untuk domain tersebut. Solusi produk Microsoft Azure Sentinel mungkin memiliki kueri perburuan khusus sumber yang tersedia di luar kotak. Gunakan kueri berburu dari solusi produk Microsoft Azure Sentinel sesuai kebutuhan untuk lingkungan Anda. |
| Playbook | Solusi penting berbasis ASIM diharapkan dapat menangani data dengan peristiwa tinggi per detik. Saat Anda memiliki konten yang menggunakan volume data tersebut, Anda mungkin mengalami beberapa dampak performa yang dapat menyebabkan pemuatan buku kerja atau hasil kueri yang lambat. Untuk mengatasi masalah ini, playbook ringkasan meringkas log sumber dan menyimpan informasi ke dalam tabel yang telah ditentukan sebelumnya. Aktifkan playbook ringkasan untuk memungkinkan solusi penting mengkueri tabel ini. Karena playbook di Microsoft Azure Sentinel didasarkan pada alur kerja yang dibangun di Azure Logic Apps yang membuat sumber daya terpisah, biaya lain mungkin berlaku. Untuk informasi selengkapnya, lihat halaman harga Azure Logic Apps. Biaya lain mungkin juga berlaku untuk penyimpanan data yang dirangkum. |
| Watchlist | Solusi penting berbasis ASIM menggunakan daftar pengawasan yang mencakup beberapa set kondisi untuk deteksi aturan analitik dan kueri perburuan. Daftar pengawasan memungkinkan Anda melakukan tugas-tugas berikut: - Lakukan pemantauan terfokus dengan filtrasi data. - Beralih antara berburu dan deteksi untuk setiap item daftar. - Tetap atur jenis Ambang ke Statis untuk memanfaatkan pemberitahuan berbasis ambang sementara pemberitahuan berbasis anomali akan belajar dari beberapa hari terakhir data (maksimum 14 hari). - Ubah Nama Pemberitahuan, Deskripsi, Taktik, dan Tingkat Keparahan dengan menggunakan daftar pengawasan ini untuk item daftar individual. - Nonaktifkan deteksi dengan mengatur Tingkat Keparahan sebagai Dinonaktifkan. |
| Workbook | Buku kerja yang tersedia dengan solusi penting berbasis ASIM memberikan tampilan terkonsolidasi dari berbagai peristiwa dan aktivitas yang terjadi di domain dependen. Karena buku kerja ini mengambil hasil dari volume data yang sangat tinggi, mungkin ada beberapa jeda performa. Jika Anda mengalami masalah performa, gunakan playbook ringkasan. |
Solusi penting seperti solusi domain Microsoft Azure Sentinel lainnya ini tidak memiliki konektornya sendiri. Konektor tersebut bergantung pada konektor khusus sumber di solusi produk Microsoft Azure Sentinel untuk menarik log. Untuk memahami produk yang didukung solusi domain, lihat daftar prasyarat solusi produk masing-masing daftar solusi penting domain ASIM. Instal satu atau beberapa solusi produk. Konfigurasikan konektor data untuk memenuhi kebutuhan dependensi produk yang mendasar dan untuk memungkinkan penggunaan konten solusi domain ini dengan lebih baik.
Artikel terkait
- Temukan solusi penting domain berbasis ASIM seperti Network Session Essentials dan DNS Essentials Solution untuk Microsoft Azure Sentinel
- Menggunakan Model Informasi Keamanan Tingkat Lanjut (ASIM)