Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le soluzioni essenziali di Microsoft sono soluzioni di dominio pubblicate da Microsoft per Microsoft Sentinel. Queste soluzioni hanno contenuto predefinito che può operare su più prodotti per categorie specifiche, ad esempio la rete. Alcune di queste soluzioni essenziali usano la tecnica di normalizzazione Advanced Security Information Model (ASIM) per normalizzare i dati in fase di query o di inserimento.
Importante
Le soluzioni microsoft essential e la soluzione Network Session Essentials sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.
Perché usare soluzioni microsoft essenziali basate su ASIM?
Quando più soluzioni in una categoria di dominio condividono modelli di rilevamento simili, è opportuno che i dati siano acquisiti in uno schema normalizzato, ad esempio ASIM. Le soluzioni essenziali usano questo schema ASIM per rilevare le minacce su larga scala.
Nell'hub del contenuto sono disponibili più soluzioni di prodotto per categorie di dominio diverse, ad esempio "Sicurezza - Rete". Ad esempio, Firewall di Azure, Palo Alto Firewall e Corelight hanno soluzioni di prodotto per la categoria di dominio "Sicurezza - Rete".
- Queste soluzioni hanno componenti di inserimento dati diversi per progettazione. Esiste tuttavia un determinato modello per l'analisi, la ricerca, le cartelle di lavoro e altri contenuti all'interno della stessa categoria di dominio.
- La maggior parte dei principali prodotti di rete ha un set di base comune di avvisi del firewall che include minacce dannose provenienti da indirizzi IP insoliti. Il modello di regola analitica è, in generale, duplicato per ogni categoria di soluzioni di prodotto "Sicurezza - Rete". Se si eseguono più prodotti di rete, è necessario controllare e configurare più regole di analisi singolarmente, il che è inefficiente. Si otterrebbe anche avvisi per ogni regola configurata e si potrebbe verificare un affaticamento degli avvisi.
- Se si hanno query di ricerca duplicate, è possibile che si abbiano esperienze di ricerca meno efficienti con la modalità run-all di ricerca. Queste query di ricerca duplicati introducono anche inefficienze per i cacciatori di minacce per selezionare ed eseguire query simili.
È possibile prendere in considerazione le soluzioni essenziali di Microsoft per i motivi seguenti:
- Uno schema normalizzato semplifica l'esecuzione di query sui dettagli degli eventi imprevisti. Non è necessario ricordare una sintassi del fornitore diversa per attributi di log simili.
- Se non è necessario gestire il contenuto per più soluzioni, la distribuzione dei casi d'uso e la gestione degli eventi imprevisti sono più semplici.
- Una vista cartella di lavoro consolidata offre una migliore visibilità dell'ambiente e una possibile analisi del tempo di query con parser ASIM con prestazioni elevate.
Schemi ASIM supportati
Le soluzioni di base sono attualmente distribuite tra i diversi schemi ASIM seguenti supportati da Sentinel:
- Evento audit
- Evento di autenticazione
- Attività DNS
- Attività di un file
- Sessione di rete
- Evento Process
- Sessione Web
Per altre informazioni, vedere Schemi ASIM (Advanced Security Information Model).
Normalizzazione del tempo di inserimento
I risultati della normalizzazione del tempo di inserimento possono essere inseriti nella tabella normalizzata seguente:
- ASimDnsActivityLogs per lo schema DNS.
- ASimNetworkSessionLogs per lo schema della sessione di rete
Per altre informazioni, vedere Normalizzazione del tempo di inserimento.
Contenuto disponibile con soluzioni essenziali per il dominio basato su ASIM
Nella tabella seguente viene descritto il tipo di contenuto disponibile con ogni soluzione essenziale. Per alcuni casi d'uso specifici, è possibile usare anche il contenuto disponibile con la soluzione di prodotto Microsoft Sentinel.
| Tipo di contenuto | descrizione |
|---|---|
| Regola analitica | Le regole analitiche disponibili nelle soluzioni essenziali basate su ASIM sono generiche e sono adatte a qualsiasi soluzione di prodotto Microsoft Sentinel dipendente per tale dominio. La soluzione Microsoft Sentinel prodotto potrebbe includere un caso d'uso specifico dell'origine come parte della regola analitica. Abilitare Microsoft Sentinel regole della soluzione del prodotto in base alle esigenze per l'ambiente. |
| Query di ricerca | Le query di ricerca disponibili nelle soluzioni essenziali basate su ASIM sono generiche e sono adatte per la ricerca di minacce da una qualsiasi delle soluzioni di prodotto Microsoft Sentinel dipendenti per quel dominio. La soluzione di prodotto Microsoft Sentinel potrebbe avere una query di ricerca specifica dell'origine disponibile. Usare le query di ricerca dalla soluzione di prodotto Microsoft Sentinel in base alle esigenze dell'ambiente. |
| Playbook | Si prevede che le soluzioni essenziali basate su ASIM gestiscano i dati con eventi elevati al secondo. Quando si dispone di contenuto che usa tale volume di dati, è possibile che si verifichi un impatto sulle prestazioni che può causare un caricamento lento delle cartelle di lavoro o dei risultati delle query. Per risolvere questo problema, il playbook di riepilogo riepiloga i log di origine e archivia le informazioni in una tabella predefinita. Abilitare il playbook di riepilogo per consentire alle soluzioni essenziali di eseguire query su questa tabella. Poiché i playbook in Microsoft Sentinel si basano sui flussi di lavoro predefiniti Azure App per la logica che creano risorse separate, potrebbero essere applicati altri addebiti. Per altre informazioni, vedere la pagina dei prezzi Azure App per la logica. Potrebbero essere applicati altri addebiti anche per l'archiviazione dei dati riepilogati. |
| Watchlist | Le soluzioni essenziali basate su ASIM usano un elenco di controllo che include più set di condizioni per il rilevamento e la ricerca di regole analitiche. L'elenco di controllo consente di eseguire le attività seguenti: - Eseguire il monitoraggio mirato con la filtraggio dei dati. - Passare dalla ricerca al rilevamento per ogni elemento dell'elenco. - Mantenere il tipo soglia impostato su Statico per sfruttare gli avvisi basati sulla soglia mentre gli avvisi basati su anomalie apprendono dagli ultimi giorni di dati (massimo 14 giorni). - Modificare nome avviso, descrizione, tattica e gravità usando questa watchlist per le singole voci di elenco. - Disabilita il rilevamento impostando Gravità su Disabilitato. |
| Cartella | La cartella di lavoro disponibile con le soluzioni essenziali basate su ASIM offre una visualizzazione consolidata dei diversi eventi e attività che si verificano nel dominio dipendente. Poiché questa cartella di lavoro recupera i risultati da un volume molto elevato di dati, potrebbe verificarsi un ritardo delle prestazioni. Se si verificano problemi di prestazioni, usare il playbook di riepilogo. |
Queste soluzioni essenziali, come altre soluzioni di dominio Microsoft Sentinel, non hanno un connettore autonomo. Dipendono dai connettori specifici dell'origine nelle soluzioni di prodotto Microsoft Sentinel per eseguire il pull nei log. Per comprendere i prodotti supportati dalla soluzione di dominio, fare riferimento all'elenco dei prerequisiti delle soluzioni di prodotto, ognuno degli elenchi di soluzioni di base del dominio ASIM. Installare una o più soluzioni di prodotto. Configurare i connettori dati per soddisfare le esigenze di dipendenza del prodotto sottostante e per consentire un migliore utilizzo del contenuto della soluzione di dominio.
Articoli correlati
- Trovare soluzioni essenziali per il dominio basato su ASIM, ad esempio Network Session Essentials e DNS Essentials Solution per Microsoft Sentinel
- Uso del modello ASIM (Advanced Security Information Model)