Mengubah konten untuk menggunakan Model Information Keamanan Tingkat Lanjutl (ASIM) (Pratinjau publik)

Konten keamanan yang dinormalisasi di Microsoft Azure Sentinel mencakup aturan analitik, berburu kueri, dan buku kerja yang berfungsi dengan parser normalisasi pemersatu.

Anda dapat menemukan konten di luar kotak dan yang dinormalisasi di galeri Microsoft Azure Sentinel dan solusi, buat konten Anda sendiri yang dinormalisasi, atau mengubah konten kustom yang ada untuk menggunakan data yang dinormalisasi.

Artikel ini menjelaskan cara mengonversi aturan analitik Microsoft Azure Sentinel yang ada untuk menggunakan data yang dinormalisasi dengan Model Informasi Keamanan Tingkat Lanjut (ASIM).

Untuk memahami bagaimana konten yang dinormalisasi cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.

Tip

Tonton juga Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide. Untuk informasi selengkapnya, lihat Langkah berikutnya.

Penting

ASIM saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Mengubah konten kustom untuk menggunakan normalisasi

Untuk mengaktifkan konten Microsoft Azure Sentinel kustom Anda untuk menggunakan normalisasi:

• Mengubah kueri Anda untuk menggunakan parser pemersatu apa pun yang relevan dengan kueri.

• Mengubah nama bidang dalam kueri Anda untuk menggunakan nama bidang skema yang dinormalisasi.

• Jika berlaku, ubah kondisi untuk menggunakan nilai yang dinormalisasi dari bidang dalam kueri Anda.

Sampel normalisasi untuk aturan analitik

Misalnya, pertimbangkan aturan analitik DNS Klien langka yang diamati dengan jumlah pencarian DNS terbalik yang tinggi, yang bekerja pada kejadian DNS yang dikirim oleh server DNS Infoblox:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

Kode berikut adalah versi agnostik sumber, yang menggunakan normalisasi untuk menyediakan deteksi yang sama untuk sumber apa pun yang menyediakan peristiwa kueri DNS. Contoh berikut menggunakan parser ASIM bawaan:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Untuk menggunakan parser ASIM yang disebarkan di ruang kerja, ganti baris pertama dengan kode berikut:

imDns(responsecodename='NXDOMAIN')

Perbedaan antara parser bawaan dan yang disebarkan di ruang kerja

Dua opsi dalam contoh di atas identik secara fungsional. Versi sumber agnostik yang dinormalisasi memiliki perbedaan berikut:

• Parser _Im_Dns atau imDnsyang dinormalisasi digunakan, bukan Pengurai Infoblox.

• Parser yang dinormalisasi hanya mengambil peristiwa kueri DNS, jadi tidak perlu memeriksa jenis peristiwa, seperti yang dilakukan olehwhere ProcessName =~ "named" and Log_Type =~ "client" di versi Infoblox.

• Bidang ini SrcIpAddr digunakan sebagai Client_IP pengganti.

• Pemfilteran parameter parser digunakan untuk ResponseCodeName, menghilangkan kebutuhan akan klausa where eksplisit.

Catatan

Selain mendukung sumber DNS yang dinormalisasi, versi yang dinormalisasi lebih pendek dan lebih mudah dipahami.

Jika skema atau parser tidak mendukung parameter pemfilteran, perubahannya serupa, kecuali bahwa kondisi pemfilteran disimpan dari kueri asli. Contohnya:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Langkah berikutnya

Artikel ini membahas konten Model Informasi Keamanan Tingkat Lanjut (ASIM).

Untuk informasi selengkapnya, lihat:

• Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
• Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Parser Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
• Konten Model Informasi Keamanan Tingkat Lanjut (ASIM)