Normalizacja i model ASIM (Advanced Security Information Model) (publiczna wersja zapoznawcza)
Usługa Microsoft Sentinel pozyskuje dane z wielu źródeł. Praca z różnymi typami danych i tabelami wymaga zrozumienia każdego z nich oraz zapisania i używania unikatowych zestawów danych dla reguł analizy, skoroszytów i zapytań dotyczących wyszukiwania zagrożeń dla każdego typu lub schematu.
Czasami potrzebne są oddzielne reguły, skoroszyty i zapytania, nawet jeśli typy danych współdzielą wspólne elementy, takie jak urządzenia zapory. Korelacja między różnymi typami danych podczas badania i wyszukiwania zagrożeń może być również trudna.
Advanced Security Information Model (ASIM) to warstwa znajdująca się między tymi różnymi źródłami a użytkownikiem. Usługa ASIM jest zgodna z zasadą niezawodności: "Bądź rygorystyczny w tym, co wysyłasz, bądź elastyczny w tym, co akceptujesz". Korzystając z zasady niezawodności jako wzorca projektowego, usługa ASIM przekształca własnościową telemetrię źródłową zbieraną przez usługę Microsoft Sentinel na przyjazne dla użytkownika dane w celu ułatwienia wymiany i integracji.
Ten artykuł zawiera omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM), jego przypadków użycia i głównych składników.
Napiwek
Obejrzyj również seminarium internetowe ASIM lub przejrzyj slajdy seminarium internetowego.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Typowe użycie karty ASIM
Usługa ASIM zapewnia bezproblemowe środowisko obsługi różnych źródeł w jednolitych, znormalizowanych widokach, zapewniając następujące funkcje:
Wykrywanie między źródłami. Znormalizowane reguły analizy działają między źródłami, środowiskiem lokalnym i chmurą oraz wykrywają ataki, takie jak atak siłowy lub niemożliwy podróż między systemami, w tym Okta, AWS i Azure.
Zawartość niezależna od źródła. Pokrycie zarówno wbudowanej, jak i niestandardowej zawartości przy użyciu karty ASIM automatycznie rozszerza się do dowolnego źródła obsługującego kartę ASIM, nawet jeśli źródło zostało dodane po utworzeniu zawartości. Na przykład analiza zdarzeń procesów obsługuje dowolne źródło, którego klient może użyć do wprowadzenia danych, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Zdarzenia systemu Windows i Sysmon.
Obsługa źródeł niestandardowych w wbudowanej analizie
Łatwość użytkowania. Po zapoznaniu się z kartą ASIM pisanie zapytań jest znacznie prostsze, ponieważ nazwy pól są zawsze takie same.
ASIM i metadane zdarzeń zabezpieczeń typu open source
Usługa ASIM jest zgodna z typowym modelem informacji metadanych zdarzeń zabezpieczeń typu open source (OSSEM), co umożliwia przewidywalną korelację jednostek w znormalizowanych tabelach.
OSSEM to projekt kierowany przez społeczność, który koncentruje się głównie na dokumentacji i standaryzacji dzienników zdarzeń zabezpieczeń z różnych źródeł danych i systemów operacyjnych. Projekt zawiera również model common information model (CIM), który może być używany dla inżynierów danych podczas procedur normalizacji danych, aby umożliwić analitykom zabezpieczeń wykonywanie zapytań i analizowanie danych w różnych źródłach danych.
Aby uzyskać więcej informacji, zobacz dokumentację referencyjną OSSEM.
Składniki ASIM
Na poniższej ilustracji pokazano, jak nienormalizowane dane można przetłumaczyć na znormalizowaną zawartość i używać ich w usłudze Microsoft Sentinel. Na przykład można rozpocząć od niestandardowej, niestandardowej, nienormalizowanej tabeli oraz użyć analizatora i schematu normalizacji, aby przekonwertować tabelę na znormalizowane dane. Użyj znormalizowanych danych zarówno w firmie Microsoft, jak i w analizie niestandardowej, regułach, skoroszytach, zapytaniach i nie tylko.
Usługa ASIM zawiera następujące składniki:
Znormalizowane schematy
Znormalizowane schematy obejmują standardowe zestawy przewidywalnych typów zdarzeń, których można użyć podczas tworzenia ujednoliconych możliwości. Każdy schemat definiuje pola reprezentujące zdarzenie, znormalizowaną konwencję nazewnictwa kolumn i standardowy format wartości pól.
Obecnie usługa ASIM definiuje następujące schematy:
- Zdarzenie inspekcji
- Zdarzenie uwierzytelniania
- Działanie DHCP
- Działanie DNS
- Działanie pliku
- Sesja sieciowa
- Zdarzenie procesu
- Zdarzenie rejestru
- Zarządzanie użytkownikami
- Sesja sieci Web
Aby uzyskać więcej informacji, zobacz Schematy ASIM.
Analizatory czasu zapytania
Model ASIM używa analizatorów czasu zapytania do mapowania istniejących danych na znormalizowane schematy przy użyciu funkcji języka KQL. Wiele analizatorów ASIM jest dostępnych standardowo z usługą Microsoft Sentinel. Więcej analizatorów i wersji wbudowanych analizatorów, które można modyfikować, można wdrożyć z repozytorium GitHub usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz analizatory ASIM.
Normalizacja czasu pozyskiwania
Analizatory czasu zapytania mają wiele zalet:
- Nie wymagają modyfikacji danych, zachowując w ten sposób format źródłowy.
- Ponieważ nie modyfikują one danych, ale raczej przedstawiają widok danych, można je łatwo opracowywać. Tworzenie, testowanie i naprawianie analizatora można wykonywać na istniejących danych. Ponadto analizatory można rozwiązać po wykryciu problemu, a poprawka zostanie zastosowana do istniejących danych.
Z drugiej strony, podczas gdy analizatory ASIM są zoptymalizowane, analizowanie czasu zapytań może spowolnić zapytania, zwłaszcza w przypadku dużych zestawów danych. Aby rozwiązać ten problem, usługa Microsoft Sentinel uzupełnia analizowanie czasu zapytań przy użyciu analizy czasu pozyskiwania. Przy użyciu przekształcania pozyskiwania zdarzenia są znormalizowane do znormalizowanych tabel, przyspieszając zapytania korzystające z znormalizowanych danych.
Obecnie usługa ASIM obsługuje następujące natywne znormalizowane tabele jako miejsce docelowe normalizacji czasu pozyskiwania:
- ASimAuditEventLogs dla schematu zdarzenia inspekcji.
- ASimAuthenticationEventLogs dla schematu uwierzytelniania .
- ASimDnsActivityLogs dla schematu DNS .
- ASimNetworkSessionLogs dla schematu sesji sieciowej
- ASimWebSessionLogs dla schematu sesji sieci Web.
Aby uzyskać więcej informacji, zobacz Ingest Time Normalization (Normalizacja czasu pozyskiwania).
Zawartość dla każdego znormalizowanych schematów
Zawartość korzystająca z karty ASIM obejmuje rozwiązania, reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń i nie tylko. Zawartość dla każdego znormalizowanego schematu działa na dowolnych znormalizowanych danych bez konieczności tworzenia zawartości specyficznej dla źródła.
Aby uzyskać więcej informacji, zobacz zawartość ASIM.
Wprowadzenie do karty ASIM
Aby rozpocząć korzystanie z karty ASIM:
Wdróż rozwiązanie domeny oparte na karcie ASIM, takie jak rozwiązanie domeny Network Threat Protection Essentials .
Aktywowanie szablonów reguł analizy korzystających z modelu ASIM. Aby uzyskać więcej informacji, zobacz listę zawartości ASIM.
Użyj zapytań wyszukiwania ASIM z repozytorium GitHub usługi Microsoft Sentinel podczas wykonywania zapytań dotyczących dzienników w języku KQL na stronie Dzienniki usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz listę zawartości ASIM.
Napisz własne reguły analizy przy użyciu modelu ASIM lub przekonwertuj istniejące.
Pozwól swoim niestandardowym danym korzystać z wbudowanej analizy, pisząc analizatory dla źródeł niestandardowych i dodając je do odpowiedniego niezależnego analizatora źródłowego.
Powiązana zawartość
Ten artykuł zawiera omówienie normalizacji w usługach Microsoft Sentinel i ASIM.
Aby uzyskać więcej informacji, zobacz: