Op ASIM (Advanced Security Information Model) gebaseerde domeinoplossingen voor Microsoft Sentinel (preview)

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Essentiële Microsoft-oplossingen zijn domeinoplossingen die zijn gepubliceerd door Microsoft voor Microsoft Sentinel. Deze oplossingen hebben out-of-the-box-inhoud die kan worden gebruikt voor meerdere producten voor specifieke categorieën, zoals netwerken. Sommige van deze essentiële oplossingen maken gebruik van de normalisatietechniek Advanced Security Information Model (ASIM) om de gegevens te normaliseren tijdens het uitvoeren van query's of opnametijden.

Belangrijk

Essentiële Oplossingen van Microsoft en de oplossing Network Session Essentials zijn momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Waarom essentiële microsoft-oplossingen op basis van ASIM gebruiken?

Wanneer meerdere oplossingen in een domeincategorie vergelijkbare detectiepatronen delen, is het zinvol om de gegevens te laten vastleggen onder een genormaliseerd schema zoals ASIM. Essentiële oplossingen maken gebruik van dit ASIM-schema om bedreigingen op schaal te detecteren.

In de inhoudshub zijn er meerdere productoplossingen voor verschillende domeincategorieën, zoals 'Beveiliging - netwerk'. Azure Firewall, Palo Alto Firewall en Corelight hebben bijvoorbeeld productoplossingen voor de domeincategorie Security - Network.

  • Deze oplossingen hebben verschillende onderdelen voor gegevensopname per ontwerp. Maar er is een bepaald patroon voor de analyse, opsporing, werkmappen en andere inhoud binnen dezelfde domeincategorie.
  • De meeste belangrijke netwerkproducten hebben een algemene basisset firewallwaarschuwingen die schadelijke bedreigingen bevatten die afkomstig zijn van ongebruikelijke IP-adressen. De sjabloon voor analyseregels wordt in het algemeen gedupliceerd voor elke categorie 'Security - Network' van productoplossingen. Als u meerdere netwerkproducten uitvoert, moet u meerdere analytische regels afzonderlijk controleren en configureren, wat inefficiënt is. U krijgt ook waarschuwingen voor elke regel die is geconfigureerd en kan uiteindelijk te maken krijgen met vermoeidheid van waarschuwingen.
  • Als u duplicatieve opsporingsquery's hebt, hebt u mogelijk minder presterende opsporingservaringen met de run-all-modus voor opsporing. Deze duplicatieve opsporingsquery's introduceren ook inefficiënties voor bedreigingsjagers om vergelijkbare query's te selecteren en uit te voeren.

U kunt microsoft om de volgende redenen overwegen om essentiële oplossingen:

  • Met een genormaliseerd schema kunt u eenvoudiger query's uitvoeren op incidentdetails. U hoeft geen andere syntaxis van de leverancier te onthouden voor vergelijkbare logboekkenmerken.
  • Als u geen inhoud voor meerdere oplossingen hoeft te beheren, is de implementatie van use-case en incidentafhandeling eenvoudiger.
  • Een geconsolideerde werkmapweergave biedt u betere zichtbaarheid van de omgeving en mogelijke querytijd parseren met hoog presterende ASIM-parsers.

Ondersteunde ASIM-schema's

De essentiële oplossingen zijn momenteel verspreid over de volgende verschillende ASIM-schema's die Door Sentinel worden ondersteund:

  • Controlegebeurtenis
  • Verificatie-gebeurtenis
  • DNS-activiteit
  • Bestandsactiviteit
  • Netwerksessie
  • Gebeurtenis verwerken
  • Websessie

Zie ASIM-schema's (Advanced Security Information Model) voor meer informatie.

Normalisatie van opnametijd

De opnametijdnormalisatieresultaten kunnen worden opgenomen in de volgende genormaliseerde tabel:

Zie Opnametijdnormalisatie voor meer informatie.

Inhoud die beschikbaar is met essentiële oplossingen voor ASIM-domeinen

In de volgende tabel wordt het type inhoud beschreven dat beschikbaar is voor elke essentiële oplossing. Voor sommige specifieke gebruiksscenario's wilt u mogelijk ook de inhoud gebruiken die beschikbaar is in de Microsoft Sentinel-productoplossing.

Inhoudstype beschrijving
Analytische regel De analytische regels die beschikbaar zijn in de essentiële oplossingen op basis van ASIM zijn algemeen en geschikt voor een van de afhankelijke Microsoft Sentinel-productoplossingen voor dat domein. De Microsoft Sentinel-productoplossing kan een bronspecifieke use case hebben die wordt behandeld als onderdeel van de analytische regel. Schakel waar nodig microsoft Sentinel-productoplossingsregels in voor uw omgeving.
Opsporingsquery De opsporingsquery's die beschikbaar zijn in de essentiële oplossingen op basis van ASIM zijn algemeen en geschikt voor het opsporen van bedreigingen van een van de afhankelijke Microsoft Sentinel-productoplossingen voor dat domein. De Microsoft Sentinel-productoplossing heeft mogelijk een specifieke opsporingsquery die standaard beschikbaar is. Gebruik de opsporingsquery's van de Microsoft Sentinel-productoplossing indien nodig voor uw omgeving.
Playbook De essentiële oplossingen op basis van ASIM worden naar verwachting verwerkt met gegevens met hoge gebeurtenissen per seconde. Wanneer u inhoud hebt die gebruikmaakt van dat gegevensvolume, kan dit gevolgen hebben voor de prestaties die het laden van werkmappen of queryresultaten kunnen vertragen. Om dit probleem op te lossen, wordt in het overzichtsplaybook een overzicht gegeven van de bronlogboeken en worden de gegevens opgeslagen in een vooraf gedefinieerde tabel. Schakel het samenvattingsplaybook in om de essentiële oplossingen toe te staan om een query uit te voeren op deze tabel.

Omdat playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps die afzonderlijke resources maken, kunnen andere kosten van toepassing zijn. Zie de pagina met prijzen voor Azure Logic Apps voor meer informatie. Andere kosten kunnen ook van toepassing zijn op de opslag van de samengevatte gegevens.
Watchlist De essentiële oplossingen op basis van ASIM maken gebruik van een volglijst met meerdere sets voorwaarden voor analyseregeldetectie en opsporingsquery's. Met de volglijst kunt u de volgende taken uitvoeren:

- Doe gerichte bewaking met gegevensfiltratie.
- Schakelen tussen opsporing en detectie voor elk lijstitem.
- Houd het drempelwaardetype ingesteld op Statisch om waarschuwingen op basis van drempelwaarden te gebruiken, terwijl waarschuwingen op basis van afwijkingen zouden leren van de laatste paar dagen aan gegevens (maximaal 14 dagen).
- Wijzig de naam van de waarschuwing, beschrijving, tactiek en ernst met behulp van deze volglijst voor afzonderlijke lijstitems.
- Detectie uitschakelen door Ernst in te stellen als Uitgeschakeld.
Werkmap De werkmap die beschikbaar is met de essentiële oplossingen op basis van ASIM biedt een geconsolideerde weergave van verschillende gebeurtenissen en activiteiten die plaatsvinden in het afhankelijke domein. Omdat deze werkmap resultaten ophaalt van een zeer groot aantal gegevens, kan er sprake zijn van een vertraging in de prestaties. Als u prestatieproblemen ondervindt, gebruikt u het playbook voor samenvattingen.

Deze essentiële oplossingen, zoals andere Domeinoplossingen van Microsoft Sentinel, hebben geen eigen connector. Ze zijn afhankelijk van de bronspecifieke connectors in Microsoft Sentinel-productoplossingen om de logboeken op te halen. Als u wilt weten welke producten de domeinoplossing ondersteunt, raadpleegt u de lijst met vereisten van productoplossingen die elk van de oplossingenlijsten van het ASIM-domein essentials bevatten. Installeer een of meer van de productoplossingen. Configureer de gegevensconnectors om te voldoen aan de onderliggende productafhankelijkheidsbehoeften en om een beter gebruik van deze domeinoplossingsinhoud mogelijk te maken.