Normalisatie en het Advanced Security Information Model (ASIM) (openbare preview)

Microsoft Sentinel neemt gegevens op uit veel bronnen. Als u met verschillende gegevenstypen en tabellen samen werkt, moet u deze begrijpen en unieke gegevenssets schrijven en gebruiken voor analyseregels, werkmappen en opsporingsquery's voor elk type of schema.

Soms hebt u afzonderlijke regels, werkmappen en query's nodig, zelfs wanneer gegevenstypen algemene elementen delen, zoals firewallapparaten. Het kan ook lastig zijn om te correleren tussen verschillende typen gegevens tijdens een onderzoek en opsporing.

Het Advanced Security Information Model (ASIM) is een laag die zich bevindt tussen deze verschillende bronnen en de gebruiker. ASIM volgt het robuustheidsprincipe: "Wees strikt in wat u verzendt, wees flexibel in wat u accepteert". Met behulp van het robuustheidsprincipe als ontwerppatroon transformeert ASIM de eigen brontelemetrie die door Microsoft Sentinel wordt verzameld, naar gebruiksvriendelijke gegevens om uitwisseling en integratie te vergemakkelijken.

Dit artikel bevat een overzicht van het Advanced Security Information Model (ASIM), de gebruiksvoorbeelden en de belangrijkste onderdelen.

Tip

Bekijk ook de ASIM-webinar of bekijk de webinardia's.

Belangrijk

ASIM is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Algemeen ASIM-gebruik

ASIM biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven door de volgende functionaliteit te bieden:

• Detectie van kruisbronnen. Genormaliseerde analyseregels werken tussen bronnen, on-premises en cloud en detecteren aanvallen zoals brute force of onmogelijke reizen tussen systemen, waaronder Okta, AWS en Azure.

• Bronagnostische inhoud. De dekking van zowel ingebouwde als aangepaste inhoud met behulp van ASIM wordt automatisch uitgebreid naar elke bron die ASIM ondersteunt, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Procesanalyse ondersteunt bijvoorbeeld alle bronnen die een klant kan gebruiken om de gegevens in te voeren, zoals Microsoft Defender voor Eindpunt, Windows-gebeurtenissen en Sysmon.

• Ondersteuning voor uw aangepaste bronnen, in ingebouwde analyses

• Gebruiksgemak. Nadat een analist ASIM heeft geleerd, is het schrijven van query's veel eenvoudiger omdat de veldnamen altijd hetzelfde zijn.

Metagegevens van ASIM en opensourcebeveiligingsevenementen

ASIM is afgestemd op het algemene informatiemodel van OSSEM (Open Source Security Events Metadata), waardoor voorspelbare entiteiten correlatie mogelijk is tussen genormaliseerde tabellen.

OSSEM is een door de community geleid project dat zich voornamelijk richt op de documentatie en standaardisatie van beveiligingsgebeurtenislogboeken uit diverse gegevensbronnen en besturingssystemen. Het project biedt ook een Common Information Model (CIM) die kan worden gebruikt voor data engineers tijdens de procedures voor gegevensnormalisatie, zodat beveiligingsanalisten gegevens kunnen opvragen en analyseren in verschillende gegevensbronnen.

Zie de ossem-referentiedocumentatie voor meer informatie.

ASIM-onderdelen

In de volgende afbeelding ziet u hoe niet-genormaliseerde gegevens kunnen worden omgezet in genormaliseerde inhoud en kunnen worden gebruikt in Microsoft Sentinel. U kunt bijvoorbeeld beginnen met een aangepaste, productspecifieke, niet-genormaliseerde tabel en een parser en een normalisatieschema gebruiken om die tabel te converteren naar genormaliseerde gegevens. Gebruik uw genormaliseerde gegevens in zowel Microsoft als aangepaste analyses, regels, werkmappen, query's en meer.

ASIM bevat de volgende onderdelen:

Genormaliseerde schema's

Genormaliseerde schema's hebben betrekking op standaardsets met voorspelbare gebeurtenistypen die u kunt gebruiken bij het bouwen van geïntegreerde mogelijkheden. Elk schema definieert de velden die een gebeurtenis vertegenwoordigen, een genormaliseerde naamconventie voor kolommen en een standaardindeling voor de veldwaarden.

ASIM definieert momenteel de volgende schema's:

• Controlegebeurtenis
• Verificatie-gebeurtenis
• DHCP-activiteit
• DNS-activiteit
• Bestandsactiviteit
• Netwerksessie
• Proces-gebeurtenis
• Register-gebeurtenis
• Gebruikersbeheer
• Websessie

Zie ASIM-schema's voor meer informatie.

Parsers voor querytijd

ASIM maakt gebruik van parsers voor querytijd om bestaande gegevens toe te wijzen aan de genormaliseerde schema's met behulp van KQL-functies. Veel ASIM-parsers zijn standaard beschikbaar met Microsoft Sentinel. Meer parsers en versies van de ingebouwde parsers die kunnen worden gewijzigd, kunnen worden geïmplementeerd vanuit de GitHub-opslagplaats van Microsoft Sentinel.

Zie ASIM-parsers voor meer informatie.

Normalisatie van opnametijd

Parsers voor querytijd hebben veel voordelen:

• Ze vereisen niet dat de gegevens worden gewijzigd, waardoor de bronindeling behouden blijft.
• Omdat ze de gegevens niet wijzigen, maar in plaats daarvan een weergave van de gegevens weergeven, zijn ze eenvoudig te ontwikkelen. Het ontwikkelen, testen en herstellen van een parser kan allemaal worden uitgevoerd op bestaande gegevens. Bovendien kunnen parsers worden opgelost wanneer een probleem wordt gedetecteerd en de oplossing van toepassing is op bestaande gegevens.

Aan de andere kant, terwijl ASIM-parsers zijn geoptimaliseerd, kan het parseren van querytijd query's vertragen, met name voor grote gegevenssets. Om dit op te lossen, vormt Microsoft Sentinel een aanvulling op het parseren van querytijd met opnametijdparsering. Met behulp van opnametransformatie worden de gebeurtenissen genormaliseerd naar genormaliseerde tabellen, waardoor query's die gebruikmaken van genormaliseerde gegevens worden versneld.

Momenteel ondersteunt ASIM de volgende systeemeigen genormaliseerde tabellen als bestemming voor opnametijdnormalisatie:

• ASimAuditEventLogs voor het controlegebeurtenisschema.
• ASimAuthenticationEventLogs voor het verificatieschema .
• ASimDnsActivityLogs voor het DNS-schema .
• ASimNetworkSessionLogs voor het netwerksessieschema
• ASimWebSessionLogs voor het websessieschema .

Zie Opnametijdnormalisatie voor meer informatie.

Inhoud voor elk genormaliseerd schema

Inhoud die gebruikmaakt van ASIM omvat oplossingen, analyseregels, werkmappen, opsporingsquery's en meer. Inhoud voor elk genormaliseerd schema werkt op genormaliseerde gegevens zonder dat u bronspecifieke inhoud hoeft te maken.

Zie ASIM-inhoud voor meer informatie.

Aan de slag met ASIM

ASIM gaan gebruiken:

• Implementeer een op ASIM gebaseerde domeinoplossing, zoals de Network Threat Protection Essentials-domeinoplossing .

• Activeer analyseregelsjablonen die ASIM gebruiken. Zie de ASIM-inhoudlijst voor meer informatie.

• Gebruik de ASIM-opsporingsquery's uit de GitHub-opslagplaats van Microsoft Sentinel bij het opvragen van logboeken in KQL op de pagina Microsoft Sentinel-logboeken. Zie de ASIM-inhoudlijst voor meer informatie.

• Schrijf uw eigen analyseregels met behulp van ASIM of converteer bestaande regels.

• Stel uw aangepaste gegevens in staat om ingebouwde analyses te gebruiken door parsers te schrijven voor uw aangepaste bronnen en deze toe te voegen aan de relevante bronagnostische parser.

Gerelateerde inhoud

Dit artikel bevat een overzicht van normalisatie in Microsoft Sentinel en ASIM.

Zie voor meer informatie:

• Bekijk de ASIM-webinar of bekijk de dia's
• ASIM-schema's (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• ASIM-inhoud (Advanced Security Information Model)