Normalisatie en het Advanced Security Information Model (ASIM) (openbare preview)

Microsoft Sentinel neemt gegevens op uit veel bronnen. Als u met verschillende gegevenstypen en tabellen samenwerkt, moet u elk ervan begrijpen en unieke sets gegevens schrijven en gebruiken voor analyseregels, werkmappen en opsporingsquery's voor elk type of schema.

Soms hebt u afzonderlijke regels, werkmappen en query's nodig, zelfs wanneer gegevenstypen algemene elementen delen, zoals firewallapparaten. Het correleren van verschillende soorten gegevens tijdens een onderzoek en opsporing kan ook lastig zijn.

Het Advanced Security Information Model (ASIM) is een laag die zich bevindt tussen deze diverse bronnen en de gebruiker. ASIM volgt het robuustheidsprincipe: "Wees strikt in wat u verzendt, wees flexibel in wat u accepteert". Met behulp van het robuustheidsprincipe als ontwerppatroon transformeert ASIM de inconsistente en moeilijk te gebruiken brontelemetrie van Microsoft Sentinel naar gebruiksvriendelijke gegevens.

Dit artikel bevat een overzicht van het Advanced Security Information Model (ASIM), de gebruiksvoorbeelden en de belangrijkste onderdelen. Raadpleeg de sectie volgende stappen voor meer informatie.

Tip

Watch ook de ASIM Webinar of bekijk de webinardia's.

Belangrijk

ASIM is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Algemeen ASIM-gebruik

ASIM biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven, door de volgende functionaliteit te bieden:

• Detectie van kruisbronnen. Genormaliseerde analyseregels werken in verschillende bronnen, on-premises en in de cloud, en detecteren aanvallen zoals beveiligingsaanvallen of onmogelijke verplaatsingen tussen systemen, waaronder Okta, AWS en Azure.

• Bronagnostische inhoud. De dekking van zowel ingebouwde als aangepaste inhoud met behulp van ASIM wordt automatisch uitgebreid naar elke bron die ASIM ondersteunt, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Proces gebeurtenisanalyse biedt bijvoorbeeld ondersteuning voor elke bron die een klant kan gebruiken om de gegevens op te halen, zoals Microsoft Defender voor Eindpunt, Windows-gebeurtenissen en Sysmon.

• Ondersteuning voor uw aangepaste bronnen, in ingebouwde analyses

• Gebruiksgemak. Nadat een analist ASIM heeft geleerd, is het schrijven van query's veel eenvoudiger omdat de veldnamen altijd hetzelfde zijn.

Metagegevens van ASIM en opensource-beveiligingsevenementen

ASIM wordt uitgelijnd met het algemene informatiemodel ossem (Open Source Security Events Metadata), waardoor voorspelbare entiteiten correlatie tussen genormaliseerde tabellen mogelijk zijn.

OSSEM is een door de community geleid project dat zich voornamelijk richt op de documentatie en standaardisatie van beveiligingsgebeurtenislogboeken van diverse gegevensbronnen en besturingssystemen. Het project biedt ook een Common Information Model (CIM) dat kan worden gebruikt voor gegevenstechnici tijdens procedures voor gegevensnormalisatie, zodat beveiligingsanalisten gegevens kunnen opvragen en analyseren in verschillende gegevensbronnen.

Zie de OSSEM-referentiedocumentatie voor meer informatie.

ASIM-onderdelen

In de volgende afbeelding ziet u hoe niet-genormaliseerde gegevens kunnen worden omgezet in genormaliseerde inhoud en kunnen worden gebruikt in Microsoft Sentinel. U kunt bijvoorbeeld beginnen met een aangepaste, productspecifieke, niet-genormaliseerde tabel en een parser en een normalisatieschema gebruiken om die tabel te converteren naar genormaliseerde gegevens. Gebruik uw genormaliseerde gegevens in zowel Microsoft als aangepaste analyses, regels, werkmappen, query's en meer.

ASIM bevat de volgende onderdelen:

Genormaliseerde schema's

Genormaliseerde schema's hebben betrekking op standaardsets met voorspelbare gebeurtenistypen die u kunt gebruiken bij het bouwen van geïntegreerde mogelijkheden. Elk schema definieert de velden die een gebeurtenis vertegenwoordigen, een genormaliseerde kolomnaamconventie en een standaardindeling voor de veldwaarden.

ASIM definieert momenteel de volgende schema's:

• Controlegebeurtenis
• Verificatie-gebeurtenis
• DHCP-activiteit
• DNS-activiteit
• Bestandsactiviteit
• Netwerksessie
• Gebeurtenis verwerken
• Register-gebeurtenis
• Gebruikersbeheer
• Websessie

Zie ASIM-schema's voor meer informatie.

Parsers voor querytijd

ASIM maakt gebruik van parsers voor querytijd om bestaande gegevens toe te wijzen aan de genormaliseerde schema's met behulp van KQL-functies. Veel ASIM-parsers zijn standaard beschikbaar met Microsoft Sentinel. Meer parsers en versies van de ingebouwde parsers die kunnen worden gewijzigd, kunnen worden geïmplementeerd vanuit de GitHub-opslagplaats van Microsoft Sentinel.

Zie ASIM-parsers voor meer informatie.

Normalisatie van opnametijd

Querytijdparser heeft veel voordelen:

• Ze vereisen niet dat de gegevens worden gewijzigd, waardoor de bronindeling behouden blijft.
• Omdat ze de gegevens niet wijzigen, maar een weergave van de gegevens weergeven, zijn ze eenvoudig te ontwikkelen. Het ontwikkelen, testen en repareren van een parser kan allemaal worden uitgevoerd op bestaande gegevens. Bovendien kunnen parsers worden opgelost wanneer een probleem wordt gedetecteerd en is de oplossing van toepassing op bestaande gegevens.

Aan de andere kant, terwijl ASIM-parsers zijn geoptimaliseerd, kan het parseren van query's query's vertragen, met name voor grote gegevenssets. Om dit op te lossen, vult Microsoft Sentinel het parseren van querytijd aan met het parseren van opnametijd. Met behulp van opnametransformatie worden de gebeurtenissen genormaliseerd naar een genormaliseerde tabel, waardoor query's die gebruikmaken van genormaliseerde gegevens, sneller worden uitgevoerd.

Momenteel ondersteunt ASIM de volgende systeemeigen genormaliseerde tabellen als bestemming voor normalisatie van opnametijd:

• ASimAuditEventLogs voor het controlegebeurtenisschema .
• ASimAuthenticationEventLogs voor het verificatieschema .
• ASimDnsActivityLogs voor het DNS-schema .
• ASimNetworkSessionLogs voor het netwerksessieschema
• ASimWebSessionLogs voor het schema van de websessie .

Zie Opnametijdnormalisatie voor meer informatie.

Inhoud voor elk genormaliseerd schema

Inhoud die gebruikmaakt van ASIM omvat oplossingen, analyseregels, werkmappen, opsporingsquery's en meer. Inhoud voor elk genormaliseerd schema werkt op genormaliseerde gegevens zonder dat u bronspecifieke inhoud hoeft te maken.

Zie ASIM-inhoud voor meer informatie.

Aan de slag met ASIM

Ga als volgende te werk om ASIM te gebruiken:

• Implementeer een op ASIM gebaseerde domeinoplossing, zoals de Network Threat Protection Essentials-domeinoplossing .

• Activeer analyseregelsjablonen die ASIM gebruiken. Zie de ASIM-inhoudlijst voor meer informatie.

• Gebruik de ASIM-opsporingsquery's uit de Microsoft Sentinel GitHub-opslagplaats bij het opvragen van logboeken in KQL op de pagina Microsoft Sentinel-logboeken . Zie de ASIM-inhoudlijst voor meer informatie.

• Schrijf uw eigen analyseregels met behulp van ASIM of converteer bestaande regels.

• Stel uw aangepaste gegevens in staat om ingebouwde analyses te gebruiken door parsers te schrijven voor uw aangepaste bronnen en deze toe te voegen aan de relevante bronagnostische parser.

Volgende stappen

Dit artikel bevat een overzicht van normalisatie in Microsoft Sentinel en ASIM.

Zie voor meer informatie:

• Bekijk de ASIM-webinar of bekijk de dia's
• ASIM-schema's (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• ASIM-inhoud (Advanced Security Information Model)