Mengubah konten untuk menggunakan Model Information Keamanan Tingkat Lanjutl (ASIM) (Pratinjau publik)
Konten keamanan yang dinormalisasi di Microsoft Azure Sentinel mencakup aturan analitik, berburu kueri, dan buku kerja yang berfungsi dengan parser normalisasi pemersatu.
Anda dapat menemukan konten di luar kotak dan yang dinormalisasi di galeri Microsoft Azure Sentinel dan solusi, buat konten Anda sendiri yang dinormalisasi, atau mengubah konten kustom yang ada untuk menggunakan data yang dinormalisasi.
Artikel ini menjelaskan cara mengonversi aturan analitik Microsoft Azure Sentinel yang ada untuk menggunakan data yang dinormalisasi dengan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Untuk memahami bagaimana konten yang dinormalisasi cocok dalam arsitektur ASIM, lihat diagram arsitektur ASIM.
Tip
Tonton juga Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide. Untuk informasi selengkapnya, lihat Langkah berikutnya.
Penting
ASIM saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Mengubah konten kustom untuk menggunakan normalisasi
Untuk mengaktifkan konten Microsoft Azure Sentinel kustom Anda untuk menggunakan normalisasi:
Mengubah kueri Anda untuk menggunakan parser pemersatu apa pun yang relevan dengan kueri.
Mengubah nama bidang dalam kueri Anda untuk menggunakan nama bidang skema yang dinormalisasi.
Jika berlaku, ubah kondisi untuk menggunakan nilai yang dinormalisasi dari bidang dalam kueri Anda.
Sampel normalisasi untuk aturan analitik
Misalnya, pertimbangkan aturan analitik DNS Klien langka yang diamati dengan jumlah pencarian DNS terbalik yang tinggi, yang bekerja pada kejadian DNS yang dikirim oleh server DNS Infoblox:
let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP
Kode berikut adalah versi agnostik sumber, yang menggunakan normalisasi untuk menyediakan deteksi yang sama untuk sumber apa pun yang menyediakan peristiwa kueri DNS. Contoh berikut menggunakan parser ASIM bawaan:
_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr
Untuk menggunakan parser ASIM yang disebarkan di ruang kerja, ganti baris pertama dengan kode berikut:
imDns(responsecodename='NXDOMAIN')
Perbedaan antara parser bawaan dan yang disebarkan di ruang kerja
Dua opsi dalam contoh di atas identik secara fungsional. Versi sumber agnostik yang dinormalisasi memiliki perbedaan berikut:
Parser
_Im_DnsatauimDnsyang dinormalisasi digunakan, bukan Pengurai Infoblox.Parser yang dinormalisasi hanya mengambil peristiwa kueri DNS, jadi tidak perlu memeriksa jenis peristiwa, seperti yang dilakukan oleh
where ProcessName =~ "named" and Log_Type =~ "client"di versi Infoblox.Bidang ini
SrcIpAddrdigunakan sebagaiClient_IPpengganti.Pemfilteran parameter parser digunakan untuk ResponseCodeName, menghilangkan kebutuhan akan klausa
whereeksplisit.
Catatan
Selain mendukung sumber DNS yang dinormalisasi, versi yang dinormalisasi lebih pendek dan lebih mudah dipahami.
Jika skema atau parser tidak mendukung parameter pemfilteran, perubahannya serupa, kecuali bahwa kondisi pemfilteran disimpan dari kueri asli. Contohnya:
let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr
Langkah berikutnya
Artikel ini membahas konten Model Informasi Keamanan Tingkat Lanjut (ASIM).
Untuk informasi selengkapnya, lihat:
- Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
- Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Parser Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Konten Model Informasi Keamanan Tingkat Lanjut (ASIM)
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk