Soluzioni di dominio basate su Advanced Security Information Model (ASIM) per Microsoft Sentinel (anteprima)
Le soluzioni essenziali Microsoft sono soluzioni di dominio pubblicate da Microsoft per Microsoft Sentinel. Queste soluzioni includono contenuti predefiniti che possono essere usati in più prodotti per categorie specifiche, ad esempio la rete. Alcune di queste soluzioni essenziali usano la tecnica di normalizzazione Advanced Security Information Model (ASIM) per normalizzare i dati in fase di query o in fase di inserimento.
Importante
Le soluzioni essenziali Di Microsoft e la soluzione Network Session Essentials sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Perché usare soluzioni essenziali Microsoft basate su ASIM?
Quando più soluzioni in una categoria di dominio condividono modelli di rilevamento simili, è opportuno che i dati vengano acquisiti in uno schema normalizzato come ASIM. Le soluzioni essenziali usano questo schema ASIM per rilevare le minacce su larga scala.
Nell'hub del contenuto sono disponibili più soluzioni di prodotto per categorie di dominio diverse, ad esempio "Sicurezza - Rete". Ad esempio, Firewall di Azure, Palo Alto Firewall e Corelight hanno soluzioni di prodotto per la categoria di dominio "Sicurezza - Rete".
- Queste soluzioni hanno componenti di inserimento dati diversi per impostazione predefinita. Esiste tuttavia un determinato modello per l'analisi, la ricerca, le cartelle di lavoro e altri contenuti all'interno della stessa categoria di dominio.
- La maggior parte dei principali prodotti di rete ha un set comune di avvisi firewall che include minacce dannose provenienti da indirizzi IP insoliti. Il modello di regola analitica è, in generale, duplicato per ogni categoria "Sicurezza - Rete" delle soluzioni di prodotto. Se si eseguono più prodotti di rete, è necessario controllare e configurare singolarmente più regole analitiche, che è inefficiente. Si riceveranno anche avvisi per ogni regola configurata e potrebbero verificarsi problemi di avviso.
- Se sono presenti query di ricerca duplicati, si potrebbero avere esperienze di ricerca meno efficienti con la modalità di ricerca in esecuzione. Queste query di ricerca duplicati introducono anche inefficienze per i cacciatori di minacce per selezionare ed eseguire query simili.
È possibile considerare le soluzioni essenziali di Microsoft per i motivi seguenti:
- Uno schema normalizzato semplifica la query sui dettagli degli eventi imprevisti. Non è necessario ricordare una sintassi del fornitore diversa per attributi di log simili.
- Se non è necessario gestire il contenuto per più soluzioni, la distribuzione dei casi d'uso e la gestione degli eventi imprevisti è più semplice.
- Una visualizzazione della cartella di lavoro consolidata offre una migliore visibilità dell'ambiente e la possibile analisi del tempo di query con parser ASIM ad alte prestazioni.
Schemi ASIM supportati
Le soluzioni essenziali sono attualmente estese tra i diversi schemi ASIM supportati da Sentinel:
- Evento di controllo
- Evento di autenticazione
- Attività DNS
- Attività file
- Sessione di rete
- Evento process
- Sessione Web
Per altre informazioni, vedere Schemi ASIM (Advanced Security Information Model).
Normalizzazione del tempo di inserimento
I risultati della normalizzazione del tempo di inserimento possono essere inseriti nella tabella normalizzata seguente:
- ASimDnsActivityLogs per lo schema DNS.
- ASimNetworkSessionLogs per lo schema della sessione di rete
Per altre informazioni, vedere Normalizzazione del tempo di inserimento.
Contenuto disponibile con soluzioni essenziali di dominio basate su ASIM
Nella tabella seguente viene descritto il tipo di contenuto disponibile con ogni soluzione essenziale. Per alcuni casi d'uso specifici, è possibile usare anche il contenuto disponibile con la soluzione di prodotto Microsoft Sentinel.
| Tipo di contenuto | description |
|---|---|
| Regola analitica | Le regole analitiche disponibili nelle soluzioni essenziali basate su ASIM sono generiche e sono adatte a qualsiasi soluzione di prodotto Microsoft Sentinel dipendente per tale dominio. La soluzione del prodotto Microsoft Sentinel potrebbe avere un caso d'uso specifico di origine coperto come parte della regola analitica. Abilitare le regole della soluzione del prodotto Microsoft Sentinel in base alle esigenze per l'ambiente. |
| Query di ricerca | Le query di ricerca disponibili nelle soluzioni essenziali basate su ASIM sono generiche e sono adatte a cercare minacce da qualsiasi soluzione di prodotto Microsoft Sentinel dipendente per tale dominio. La soluzione del prodotto Microsoft Sentinel potrebbe avere una query di ricerca specifica di origine disponibile per la configurazione predefinita. Usare le query di ricerca della soluzione del prodotto Microsoft Sentinel in base alle esigenze per l'ambiente. |
| Playbook | Le soluzioni essenziali basate su ASIM devono gestire i dati con eventi elevati al secondo. Quando si dispone di contenuto che usa tale volume di dati, è possibile che si verifichi un impatto sulle prestazioni che può causare un caricamento lento delle cartelle di lavoro o dei risultati delle query. Per risolvere questo problema, il playbook di riepilogo riepiloga i log di origine e archivia le informazioni in una tabella predefinita. Abilitare il playbook di riepilogo per consentire alle soluzioni essenziali di eseguire query su questa tabella. Poiché i playbook in Microsoft Sentinel sono basati su flussi di lavoro compilati in App per la logica di Azure che creano risorse separate, potrebbero essere applicati altri addebiti. Per altre informazioni, vedere la pagina dei prezzi di App per la logica di Azure. Altri addebiti possono essere applicati anche per l'archiviazione dei dati riepilogati. |
| Watchlist | Le soluzioni essenziali basate su ASIM usano un watchlist che include più set di condizioni per il rilevamento delle regole analitiche e le query di ricerca. L'elenco di controllo consente di eseguire le attività seguenti: - Eseguire il monitoraggio mirato con la filtraggio dei dati. - Passare dalla ricerca al rilevamento per ogni voce di elenco. - Mantenere il tipo di soglia impostato su Statico per sfruttare gli avvisi basati su soglia mentre gli avvisi basati su anomalie apprenderebbero dagli ultimi giorni di dati (massimo 14 giorni). - Modificare il nome dell'avviso, la descrizione, la tattica e la gravità usando questo elenco di controllo per le singole voci di elenco. - Disabilitare il rilevamento impostando Gravità su Disabilitato. |
| Cartella di lavoro | La cartella di lavoro disponibile con le soluzioni essenziali basate su ASIM offre una visualizzazione consolidata di diversi eventi e attività che si verificano nel dominio dipendente. Poiché questa cartella di lavoro recupera i risultati da un volume di dati molto elevato, potrebbe verificarsi un ritardo delle prestazioni. Se si verificano problemi di prestazioni, usare il playbook di riepilogo. |
Queste soluzioni essenziali come altre soluzioni di dominio di Microsoft Sentinel non hanno un connettore autonomo. Dipendono dai connettori specifici di origine nelle soluzioni del prodotto Microsoft Sentinel per eseguire il pull dei log. Per comprendere i prodotti supportati dalla soluzione di dominio, vedere l'elenco dei prerequisiti delle soluzioni di prodotto ognuna delle soluzioni di base del dominio ASIM. Installare una o più soluzioni di prodotto. Configurare i connettori dati per soddisfare le esigenze di dipendenza del prodotto sottostante e per migliorare l'utilizzo di questo contenuto della soluzione di dominio.
Articoli correlati
- Trovare soluzioni essenziali per il dominio basato su ASIM, come la soluzione Network Session Essentials e DNS Essentials per Microsoft Sentinel
- Uso del modello ASIM (Advanced Security Information Model)