Normalizzazione e Advanced Security Information Model (ASIM) (anteprima pubblica)

Microsoft Sentinel inserisce i dati da molte origini. L'uso di diversi tipi di dati e tabelle richiede di comprenderli e di scrivere e usare set univoci di dati per regole di analisi, cartelle di lavoro e query di ricerca per ogni tipo o schema.

In alcuni casi, sono necessarie regole, cartelle di lavoro e query separate, anche quando i tipi di dati condividono elementi comuni, ad esempio i dispositivi firewall. Anche la correlazione tra diversi tipi di dati durante un'indagine e la ricerca può essere complessa.

Advanced Security Information Model (ASIM) è un livello che si trova tra queste origini diverse e l'utente. ASIM segue il principio di robustezza: "Essere rigorosi in ciò che invii, essere flessibili in ciò che si accetta". Usando il principio di affidabilità come modello di progettazione, ASIM trasforma i dati di telemetria di origine proprietari raccolti da Microsoft Sentinel in dati descrittivi per facilitare lo scambio e l'integrazione.

Questo articolo offre una panoramica del modello ASIM (Advanced Security Information Model), dei relativi casi d'uso e dei componenti principali. Per altri dettagli, vedere la sezione passaggi successivi .

Suggerimento

Watch anche il webinar ASIM o esaminare le diapositive del webinar.

Importante

ASIM è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Utilizzo comune di ASIM

ASIM offre un'esperienza semplice per la gestione di varie origini in visualizzazioni uniformi e normalizzate, fornendo le funzionalità seguenti:

• Rilevamento tra origini. Le regole di analisi normalizzate funzionano tra origini, locali e cloud e rilevano attacchi come la forza bruta o il viaggio impossibile tra sistemi, tra cui Okta, AWS e Azure.

• Origine di contenuto indipendente. La copertura del contenuto predefinito e personalizzato tramite ASIM si espande automaticamente a qualsiasi origine che supporti ASIM, anche se l'origine è stata aggiunta dopo la creazione del contenuto. Ad esempio, l'analisi degli eventi di elaborazione supporta qualsiasi origine che un cliente può usare per inserire i dati, ad esempio Microsoft Defender per endpoint, eventi di Windows e Sysmon.

• Supporto per le origini personalizzate, nell'analisi predefinita

• Facilità d'uso. Dopo che un analista apprende ASIM, la scrittura di query è molto più semplice perché i nomi dei campi sono sempre gli stessi.

Metadati degli eventi di sicurezza open source e ASIM

ASIM è allineato al modello informativo comune OSSEM (Open Source Security Events Metadata), consentendo la correlazione delle entità stimabili tra le tabelle normalizzate.

OSSEM è un progetto guidato dalla community che si concentra principalmente sulla documentazione e sulla standardizzazione dei registri eventi di sicurezza da origini dati e sistemi operativi diversi. Il progetto fornisce anche un CIM (Common Information Model) che può essere usato per i data engineer durante le procedure di normalizzazione dei dati per consentire agli analisti della sicurezza di eseguire query e analizzare i dati tra origini dati diverse.

Per altre informazioni, vedere la documentazione di riferimento di OSSEM.

Componenti ASIM

L'immagine seguente mostra come i dati non normalizzati possono essere convertiti in contenuto normalizzato e usati in Microsoft Sentinel. Ad esempio, è possibile iniziare con una tabella personalizzata, specifica del prodotto, non normalizzata e usare un parser e uno schema di normalizzazione per convertire tale tabella in dati normalizzati. Usare i dati normalizzati sia in Microsoft che in analisi personalizzata, regole, cartelle di lavoro, query e altro ancora.

ASIM include i componenti seguenti:

Schemi normalizzati

Gli schemi normalizzati coprono set standard di tipi di eventi stimabili che è possibile usare durante la compilazione di funzionalità unificate. Ogni schema definisce i campi che rappresentano un evento, una convenzione di denominazione delle colonne normalizzate e un formato standard per i valori dei campi.

ASIM definisce attualmente gli schemi seguenti:

• Evento di controllo
• Evento di autenticazione
• Attività DHCP
• Attività DNS
• Attività file
• Sessione di rete
• Evento Processo
• Evento Registro di sistema
• Gestione utenti
• Sessione Web

Per altre informazioni, vedere Schemi ASIM.

Parser dei tempi di query

ASIM usa i parser dei tempi di query per eseguire il mapping dei dati esistenti agli schemi normalizzati usando le funzioni KQL. Molti parser ASIM sono disponibili e pronti all'uso con Microsoft Sentinel. Altri parser e versioni dei parser predefiniti che possono essere modificati possono essere distribuiti dal repository GitHub di Microsoft Sentinel.

Per altre informazioni, vedere Parser ASIM.

Normalizzazione del tempo di inserimento

I parser del tempo di query presentano molti vantaggi:

• Non richiedono che i dati vengano modificati, mantenendo così il formato di origine.
• Poiché non modificano i dati, ma presentano piuttosto una visualizzazione dei dati, sono facili da sviluppare. Lo sviluppo, il test e la correzione di un parser possono essere eseguiti tutti sui dati esistenti. Inoltre, i parser possono essere risolti quando viene individuato un problema e la correzione verrà applicata ai dati esistenti.

D'altra parte, mentre i parser ASIM sono ottimizzati, l'analisi del tempo di query può rallentare le query, soprattutto nei set di dati di grandi dimensioni. Per risolvere questo problema, Microsoft Sentinel integra l'analisi dell'ora di query con l'analisi del tempo di inserimento. L'uso della trasformazione inserimento degli eventi viene normalizzato per la tabella normalizzata, accelerando le query che usano dati normalizzati.

Attualmente, ASIM supporta le tabelle normalizzate native seguenti come destinazione per la normalizzazione del tempo di inserimento:

• ASimAuditEventLogs per lo schema audit event .
• ASimAuthenticationEventLogs per lo schema di autenticazione .
• ASimDnsActivityLogs per lo schema DNS .
• ASimNetworkSessionLogs per lo schema della sessione di rete
• ASimWebSessionLogs per lo schema della sessione Web .

Per altre informazioni, vedere Normalizzazione del tempo di inserimento.

Contenuto per ogni schema normalizzato

Il contenuto che usa ASIM include soluzioni, regole di analisi, cartelle di lavoro, query di ricerca e altro ancora. Il contenuto per ogni schema normalizzato funziona su tutti i dati normalizzati senza la necessità di creare contenuto specifico dell'origine.

Per altre informazioni, vedere Contenuto di ASIM.

Introduzione a ASIM

Per iniziare a usare ASIM:

• Distribuire una soluzione di dominio basata su ASIM, ad esempio la soluzione di dominio Network Threat Protection Essentials .

• Attivare i modelli di regola di analisi che usano ASIM. Per altre informazioni, vedere l'elenco di contenuti ASIM.

• Usare le query di ricerca ASIM dal repository GitHub di Microsoft Sentinel quando si eseguono query sui log in KQL nella pagina Log di Microsoft Sentinel. Per altre informazioni, vedere l'elenco di contenuti ASIM.

• Scrivere regole di analisi personalizzate usando ASIM o convertire quelle esistenti.

• Abilitare i dati personalizzati per l'uso dell'analisi predefinita scrivendo parser per le origini personalizzate e aggiungendoli al parser agnostico di origine pertinente.

Passaggi successivi

Questo articolo offre una panoramica della normalizzazione in Microsoft Sentinel e ASIM.

Per altre informazioni, vedere:

• Guardare il webinar ASIM o rivedere le diapositive
• Schemi ASIM (Advanced Security Information Model)
• Parser ASIM (Advanced Security Information Model)
• Contenuto di Advanced Security Information Model (ASIM)