Normalisatie en het Advanced Security Information Model (ASIM) (openbare preview)

Microsoft Sentinel neemt gegevens op uit een groot aantal bronnen. Als u met verschillende gegevenstypen en tabellen samenwerkt, moet u ze begrijpen en unieke sets gegevens schrijven en gebruiken voor analyseregels, werkmappen en opsporingsquery's voor elk type of schema.

Soms hebt u afzonderlijke regels, werkmappen en query's nodig, zelfs wanneer gegevenstypen algemene elementen delen, zoals firewallapparaten. Het correleren tussen verschillende typen gegevens tijdens een onderzoek en opsporing kan ook lastig zijn.

Het Advanced Security Information Model (ASIM) is een laag tussen deze diverse bronnen en de gebruiker. ASIM volgt het robuustheidsprincipe: "Wees strikt in wat u verzendt, wees flexibel in wat u accepteert". Met behulp van het robuustheidsprincipe als ontwerppatroon transformeert ASIM de eigen brontelemetrie die door Microsoft Sentinel is verzameld naar gebruiksvriendelijke gegevens om uitwisseling en integratie te vergemakkelijken.

Dit artikel bevat een overzicht van het Advanced Security Information Model (ASIM), de gebruiksvoorbeelden en de belangrijkste onderdelen. Raadpleeg de sectie volgende stappen voor meer informatie.

Tip

Watch ook de ASIM Webinar of bekijk de webinardia's.

Belangrijk

ASIM is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Algemeen ASIM-gebruik

ASIM biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven, door de volgende functionaliteit te bieden:

• Detectie van meerdere bronnen. Genormaliseerde analyseregels werken in verschillende bronnen, on-premises en in de cloud, en detecteren aanvallen zoals brute force of onmogelijk reizen tussen systemen, waaronder Okta, AWS en Azure.

• Bronagnostische inhoud. De dekking van zowel ingebouwde als aangepaste inhoud met behulp van ASIM wordt automatisch uitgebreid naar elke bron die ASIM ondersteunt, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Proces gebeurtenisanalyse ondersteunt bijvoorbeeld elke bron die een klant kan gebruiken om de gegevens op te halen, zoals Microsoft Defender voor Eindpunt, Windows-gebeurtenissen en Sysmon.

• Ondersteuning voor uw aangepaste bronnen, in ingebouwde analyses

• Gebruiksgemak. Nadat een analist ASIM heeft geleerd, is het schrijven van query's veel eenvoudiger omdat de veldnamen altijd hetzelfde zijn.

ASIM en de metagegevens van opensource-beveiligingsevenementen

ASIM is afgestemd op het algemene informatiemodel van OSSEM (Open Source Security Events Metadata), waardoor voorspelbare entiteiten correlatie tussen genormaliseerde tabellen mogelijk zijn.

OSSEM is een door de community geleid project dat zich voornamelijk richt op de documentatie en standaardisatie van beveiligingsgebeurtenislogboeken van diverse gegevensbronnen en besturingssystemen. Het project biedt ook een Common Information Model (CIM) dat kan worden gebruikt voor gegevenstechnici tijdens gegevensnormalisatieprocedures, zodat beveiligingsanalisten gegevens in verschillende gegevensbronnen kunnen opvragen en analyseren.

Zie de OSSEM-referentiedocumentatie voor meer informatie.

ASIM-onderdelen

In de volgende afbeelding ziet u hoe niet-genormaliseerde gegevens kunnen worden omgezet in genormaliseerde inhoud en kunnen worden gebruikt in Microsoft Sentinel. U kunt bijvoorbeeld beginnen met een aangepaste, productspecifieke, niet-genormaliseerde tabel en een parser en een normalisatieschema gebruiken om die tabel te converteren naar genormaliseerde gegevens. Gebruik uw genormaliseerde gegevens in zowel Microsoft als aangepaste analyses, regels, werkmappen, query's en meer.

ASIM bevat de volgende onderdelen:

Genormaliseerde schema's

Genormaliseerde schema's hebben betrekking op standaardsets met voorspelbare gebeurtenistypen die u kunt gebruiken bij het bouwen van geïntegreerde mogelijkheden. Elk schema definieert de velden die een gebeurtenis vertegenwoordigen, een genormaliseerde kolomnaamconventie en een standaardindeling voor de veldwaarden.

ASIM definieert momenteel de volgende schema's:

• Controlegebeurtenis
• Verificatie-gebeurtenis
• DHCP-activiteit
• DNS-activiteit
• Bestandsactiviteit
• Netwerksessie
• Gebeurtenis verwerken
• Register-gebeurtenis
• Gebruikersbeheer
• Websessie

Zie ASIM-schema's voor meer informatie.

Parsers voor querytijd

ASIM maakt gebruik van parsers voor querytijd om bestaande gegevens toe te wijzen aan de genormaliseerde schema's met behulp van KQL-functies. Veel ASIM-parsers zijn standaard beschikbaar met Microsoft Sentinel. Meer parsers en versies van de ingebouwde parsers die kunnen worden gewijzigd, kunnen worden geïmplementeerd vanuit de GitHub-opslagplaats van Microsoft Sentinel.

Zie ASIM-parsers voor meer informatie.

Normalisatie van opnametijd

Querytijdparser heeft veel voordelen:

• Ze vereisen niet dat de gegevens worden gewijzigd, waardoor de bronindeling behouden blijft.
• Omdat ze de gegevens niet wijzigen, maar een weergave van de gegevens weergeven, zijn ze eenvoudig te ontwikkelen. Het ontwikkelen, testen en herstellen van een parser kan allemaal worden uitgevoerd op bestaande gegevens. Bovendien kunnen parsers worden opgelost wanneer een probleem wordt gedetecteerd en de oplossing van toepassing is op bestaande gegevens.

Aan de andere kant, terwijl ASIM-parsers zijn geoptimaliseerd, kan het parseren van query's query's vertragen, met name op grote gegevenssets. Om dit op te lossen, vult Microsoft Sentinel het parseren van querytijd aan met het parseren van opnametijd. Met behulp van opnametransformatie worden de gebeurtenissen genormaliseerd naar een genormaliseerde tabel, waardoor query's die gebruikmaken van genormaliseerde gegevens worden versneld.

Momenteel ondersteunt ASIM de volgende systeemeigen genormaliseerde tabellen als bestemming voor normalisatie van opnametijd:

• ASimAuditEventLogs voor het controlegebeurtenisschema .
• ASimAuthenticationEventLogs voor het verificatieschema .
• ASimDnsActivityLogs voor het DNS-schema .
• ASimNetworkSessionLogs voor het netwerksessieschema
• ASimWebSessionLogs voor het schema van de websessie .

Zie Normalisatie van opnametijd voor meer informatie.

Inhoud voor elk genormaliseerd schema

Inhoud die gebruikmaakt van ASIM omvat oplossingen, analyseregels, werkmappen, opsporingsquery's en meer. Inhoud voor elk genormaliseerd schema werkt op genormaliseerde gegevens zonder dat u bronspecifieke inhoud hoeft te maken.

Zie ASIM-inhoud voor meer informatie.

Aan de slag met ASIM

Ga als volgende te werk om ASIM te gebruiken:

• Implementeer een op ASIM gebaseerde domeinoplossing, zoals de Network Threat Protection Essentials-domeinoplossing .

• Activeer analyseregelsjablonen die ASIM gebruiken. Zie de ASIM-inhoudlijst voor meer informatie.

• Gebruik de ASIM-opsporingsquery's uit de GitHub-opslagplaats van Microsoft Sentinel bij het opvragen van logboeken in KQL op de pagina Microsoft Sentinel-logboeken . Zie de ASIM-inhoudlijst voor meer informatie.

• Schrijf uw eigen analyseregels met behulp van ASIM of converteer bestaande regels.

• Stel uw aangepaste gegevens in staat om ingebouwde analyses te gebruiken door parsers te schrijven voor uw aangepaste bronnen en deze toe te voegen aan de relevante bronagnostische parser.

Volgende stappen

Dit artikel bevat een overzicht van normalisatie in Microsoft Sentinel en ASIM.

Zie voor meer informatie:

• Bekijk de ASIM-webinar of bekijk de dia's
• ASIM-schema's (Advanced Security Information Model)
• ASIM-parsers (Advanced Security Information Model)
• ASIM-inhoud (Advanced Security Information Model)