Inhoud wijzigen om het Advanced Security Information Model (ASIM) te gebruiken

Genormaliseerde beveiligingsinhoud in Microsoft Sentinel bevat analyseregels, opsporingsquery's en werkmappen die werken met samenvoegende normalisatieparsers.

U kunt genormaliseerde, standaardinhoud vinden in Microsoft Sentinel galerieën en oplossingen, uw eigen genormaliseerde inhoud maken of bestaande, aangepaste inhoud wijzigen om genormaliseerde gegevens te gebruiken.

In dit artikel wordt uitgelegd hoe u bestaande Microsoft Sentinel analyseregels converteert om genormaliseerde gegevens te gebruiken met het Advanced Security Information Model (ASIM).

Raadpleeg het diagram ASIM-architectuur om te begrijpen hoe genormaliseerde inhoud binnen de ASIM-architectuur past.

Tip

Bekijk ook de Deep Dive Webinar over Microsoft Sentinel Parsers normaliseren en genormaliseerde inhoud of bekijk de dia's. Zie Volgende stappen voor meer informatie.

Aangepaste inhoud wijzigen om normalisatie te gebruiken

Ga als volgende te werk om uw aangepaste Microsoft Sentinel inhoud te normaliseren:

• Wijzig uw query's om eventuele samenvoegingsparseer te gebruiken die relevant zijn voor de query.

• Wijzig veldnamen in uw query om de genormaliseerde schemaveldnamen te gebruiken.

• Wijzig, indien van toepassing, voorwaarden om de genormaliseerde waarden van de velden in uw query te gebruiken.

Voorbeeldnormalisatie voor analyseregels

Denk bijvoorbeeld aan de zeldzame client die is waargenomen met een hoog aantal omgekeerde DNS-zoekacties dns-analyseregel, die werkt op DNS-gebeurtenissen die worden verzonden door Infoblox DNS-servers:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

De volgende code is de bron-agnostische versie, die gebruikmaakt van normalisatie om dezelfde detectie te bieden voor elke bron die DNS-querygebeurtenissen levert. In het volgende voorbeeld worden ingebouwde ASIM-parsers gebruikt:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

De genormaliseerde, bron-agnostische versie heeft de volgende verschillen:

• De _Im_Dns of imDnsgenormaliseerde parsers worden gebruikt in plaats van de Infoblox-parser.

• De genormaliseerde parsers halen alleen DNS-querygebeurtenissen op, dus het is niet nodig om het gebeurtenistype te controleren, zoals uitgevoerd door de where ProcessName =~ "named" and Log_Type =~ "client" in de Infoblox-versie.

• Het SrcIpAddr veld wordt gebruikt in plaats van Client_IP.

• Parser parameter filtering wordt gebruikt voor ResponseCodeName, waardoor er geen expliciete where componenten nodig zijn.

Opmerking

Afgezien van het ondersteunen van een genormaliseerde DNS-bron, is de genormaliseerde versie korter en gemakkelijker te begrijpen.

Als het schema of de parsers geen filterparameters ondersteunen, zijn de wijzigingen vergelijkbaar, behalve dat de filtervoorwaarden worden bewaard van de oorspronkelijke query. Bijvoorbeeld:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

• let-instructie
• where operator
• operator uitbreiden
• join-operator
• operator samenvatten
• de functie isnotempty()
• Aggregatiefunctie count()

Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

• KQL-snelzoekgids
• leerresources Kusto-querytaal

Volgende stappen

In dit artikel wordt de ASIM-inhoud (Advanced Security Information Model) besproken.

Zie voor meer informatie:

• Bekijk de Deep Dive-webinar op Microsoft Sentinel Parsers normaliseren en genormaliseerde inhoud of bekijk de dia's
• Overzicht van Advanced Security Information Model (ASIM)
• ASIM-parsers (Advanced Security Information Model)
• ASIM-schema's (Advanced Security Information Model)
• ASIM-inhoud (Advanced Security Information Model)