Comprendere la normalizzazione dei dati
Microsoft Sentinel inserisce dati da molte origini. Per usare diversi tipi di dati e tabelle richiede, è necessario comprendere ciascuno di essi e scrivere e usare set di dati univoci per regole di analisi, cartelle di lavoro e query di ricerca per ogni tipo o schema.
In alcuni casi, sono necessarie regole, cartelle di lavoro e query separate, anche quando i tipi di dati condividono elementi comuni, ad esempio i dispositivi firewall. Anche la correlazione tra diversi tipi di dati durante un'indagine e la ricerca può essere complessa.
ASIM (Advanced Security Information Model) è un livello che si trova tra queste origini diverse e l'utente. ASIM segue il principio di robustezza: "Essere rigorosi con ciò che si invia, essere flessibili con ciò che si accetta". Quando il principio di robustezza viene usato come schema progettuale, ASIM trasforma i dati di telemetria di origine di Microsoft Sentinel incoerenti e difficile da usare in dati di facile utilizzo.
Utilizzo comune di ASIM
ASIM offre un'esperienza semplice per la gestione di varie origini in visualizzazioni uniformi e normalizzate, fornendo le funzionalità seguenti:
Rilevamento tra origini. Le regole di analisi normalizzate funzionano tra le origini, in locale e nel cloud, e rilevano attacchi come gli attacchi di forza bruta o lo spostamento fisico impossibile tra sistemi, tra cui Okta, AWS e Azure.
Contenuto indipendente dall'origine. La copertura del contenuto predefinito e personalizzato tramite ASIM si espande automaticamente a qualsiasi origine che supporti ASIM, anche se l'origine è stata aggiunta dopo la creazione del contenuto. Ad esempio, l'analisi degli eventi di processo supporta qualsiasi origine che il cliente può usare per inserire i dati, come Microsoft Defender per endpoint, eventi di Windows e Sysmon.
Supporto per le origini personalizzate, nell'analisi predefinita
Facilità d'uso. Dopo che un analista apprende ASIM, la scrittura di query è più semplice perché i nomi dei campi sono sempre gli stessi.
ASIM e il modello OSSEM (Open Source Security Events Metadata)
ASIM è allineato al modello informativo comune OSSEM (Open Source Security Events Metadata), consentendo la correlazione di entità stimabili tra tabelle normalizzate.
OSSEM è un progetto guidato dalla community che si concentra principalmente sulla documentazione e sulla standardizzazione dei registri eventi di sicurezza da origini dati e sistemi operativi diversi. Il progetto fornisce anche un CIM (Common Information Model) che può essere usato dagli ingegneri dei dati durante le procedure di normalizzazione dei dati per consentire agli analisti della sicurezza di eseguire query e analizzare i dati tra origini dati diverse.
Componenti ASIM
L'immagine seguente mostra come i dati non normalizzati possono essere convertiti in contenuto normalizzato e usati in Microsoft Sentinel. Ad esempio, è possibile iniziare con una tabella personalizzata, specifica del prodotto, non normalizzata e usare un parser e uno schema di normalizzazione per convertire tale tabella in dati normalizzati. I dati normalizzati possono essere usati in analisi, regole, cartelle di lavoro, query e altro ancora sia Microsoft che personalizzati.
ASIM include i componenti seguenti:
| Componente | Descrizione |
|---|---|
| Schemi normalizzati | Comprendono set standard di tipi di eventi stimabili che è possibile usare per la creazione di funzionalità unificate. Ogni schema definisce i campi che rappresentano un evento, una convenzione di denominazione delle colonne normalizzate e un formato standard per i valori dei campi. |
| Parser | Eseguono il mapping dei dati esistenti agli schemi normalizzati usando le funzioni KQL. Molti parser ASIM sono disponibili e pronti all'uso con Microsoft Sentinel. Altri parser e versioni modificabili dei parser predefiniti possono essere distribuiti dal repository GitHub di Microsoft Sentinel. |
| Contenuto per ogni schema normalizzato | Include regole di analisi, cartelle di lavoro, query di ricerca e altro ancora. Il contenuto di ogni schema normalizzato può essere usato con tutti i dati normalizzati senza la necessità di creare contenuto specifico dell'origine. |
Terminologia ASIM
ASIM usa i termini seguenti:
| Termine | Descrizione |
|---|---|
| Dispositivo di segnalazione | Sistema che invia i record a Microsoft Sentinel. Questo sistema può non essere il sistema oggetto del record inviato. |
| Registra | Unità di dati inviati dal dispositivo di segnalazione. Un record è spesso indicato come log, evento o avviso, ma può anche essere costituito da altri tipi di dati. |
| Contenuto o elemento di contenuto | Artefatti diversi, personalizzabili o creati dall'utente, che possono essere usati con Microsoft Sentinel. Tali artefatti includono, ad esempio, regole di analisi, query di ricerca e cartelle di lavoro. Un elemento di contenuto è uno di tali artefatti. |
Visualizzare parser ASIM
Per visualizzare le funzioni ASIM nell'ambiente Microsoft Sentinel.
- Passa all'area di lavoro Microsoft Sentinel nel portale di Azure
- Selezionare Log nel riquadro di spostamento a sinistra
- Espandi schema e riquadro filtro sul lato sinistro (se necessario usa i tre puntini per visualizzare tutti gli strumenti)
- Selezionare Funzioni
- Espandere Microsoft Sentinel
Verranno visualizzate le funzioni che iniziano con ASIM e IM.