Normalizacja i zaawansowany model informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)

  • Artykuł

Usługa Microsoft Sentinel pozyskiwa dane z wielu źródeł. Praca z różnymi typami danych i tabelami wymaga zrozumienia każdego z nich oraz zapisu i używania unikatowych zestawów danych dla reguł analitycznych, skoroszytów i zapytań wyszukiwania zagrożeń dla każdego typu lub schematu.

Czasami potrzebne są oddzielne reguły, skoroszyty i zapytania, nawet jeśli typy danych współdzielą wspólne elementy, takie jak urządzenia zapory. Korelowanie między różnymi typami danych podczas badania i wyszukiwaniem zagrożeń może być również trudne.

Advanced Security Information Model (ASIM) to warstwa znajdująca się między tymi różnymi źródłami a użytkownikiem. Usługa ASIM jest zgodna z zasadą niezawodności: "Bądź rygorystyczny w tym, co wysyłasz, bądź elastyczny w tym, co akceptujesz". Dzięki zasadzie niezawodności jako wzorca projektowego usługa ASIM przekształca zastrzeżone dane telemetryczne źródła zebrane przez usługę Microsoft Sentinel w celu ułatwienia wymiany i integracji.

Ten artykuł zawiera omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM), przypadków użycia i głównych składników. Aby uzyskać więcej informacji, zapoznaj się z następną sekcją kroków .

Porada

Ponadto watch seminarium internetowe ASIM lub przejrzyj slajdy seminarium internetowego.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.

Typowe użycie karty ASIM

Usługa ASIM zapewnia bezproblemowe środowisko obsługi różnych źródeł w jednolitych, znormalizowanych widokach, zapewniając następujące funkcje:

  • Wykrywanie między źródłami. Znormalizowane reguły analizy działają między źródłami, środowiskiem lokalnym i chmurą oraz wykrywają ataki, takie jak ataki siłowe lub niemożliwe podróże między systemami, w tym Okta, AWS i Azure.

  • Źródłowa zawartość niezależna. Pokrycie zarówno wbudowanej, jak i niestandardowej zawartości przy użyciu karty ASIM automatycznie rozszerza się do dowolnego źródła obsługującego kartę ASIM, nawet jeśli źródło zostało dodane po utworzeniu zawartości. Na przykład analiza zdarzeń procesów obsługuje dowolne źródło, którego klient może użyć do wprowadzenia danych, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Zdarzenia systemu Windows i Sysmon.

  • Obsługa źródeł niestandardowych w wbudowanej analizie

  • Łatwość użytkowania. Po zapoznaniu się z kartą ASIM przez analityka pisanie zapytań jest znacznie prostsze, ponieważ nazwy pól są zawsze takie same.

ASIM i metadane zdarzeń zabezpieczeń typu open source

Usługa ASIM jest zgodna z typowym modelem informacji o metadanych zdarzeń zabezpieczeń typu open source (OSSEM), co umożliwia przewidywalną korelację jednostek między znormalizowanymi tabelami.

OSSEM to projekt kierowany przez społeczność, który koncentruje się głównie na dokumentacji i standaryzacji dzienników zdarzeń zabezpieczeń z różnych źródeł danych i systemów operacyjnych. Projekt zawiera również model wspólnych informacji ,który może być używany dla inżynierów danych podczas procedur normalizacji danych, aby umożliwić analitykom zabezpieczeń wykonywanie zapytań i analizowanie danych w różnych źródłach danych.

Aby uzyskać więcej informacji, zobacz dokumentację referencyjną systemu operacyjnego OSSEM.

Składniki ASIM

Na poniższej ilustracji pokazano, jak nienormalizowane dane można przetłumaczyć na znormalizowaną zawartość i używać w usłudze Microsoft Sentinel. Na przykład możesz zacząć od niestandardowej, niestandardowej, nienormalizowanej tabeli oraz użyć analizatora i schematu normalizacji, aby przekonwertować tabelę na znormalizowane dane. Użyj znormalizowanych danych zarówno w firmie Microsoft, jak i w niestandardowych analizach, regułach, skoroszytach, zapytaniach i nie tylko.

Nienormalizowane do znormalizowanego przepływu konwersji danych i użycia w usłudze Microsoft Sentinel

ASIM obejmuje następujące składniki:

Znormalizowane schematy

Znormalizowane schematy obejmują standardowe zestawy przewidywalnych typów zdarzeń, których można użyć podczas tworzenia ujednoliconych możliwości. Każdy schemat definiuje pola reprezentujące zdarzenie, znormalizowaną konwencję nazewnictwa kolumn i standardowy format wartości pól.

Obecnie usługa ASIM definiuje następujące schematy:

Aby uzyskać więcej informacji, zobacz Schematy karty ASIM.

Analizatory czasu zapytania

Model ASIM używa analizatorów czasu zapytania do mapowania istniejących danych na znormalizowane schematy przy użyciu funkcji języka KQL. Wiele analizatorów ASIM jest dostępnych standardowo z usługą Microsoft Sentinel. Więcej analizatorów i wersji wbudowanych analizatorów, które można zmodyfikować, można wdrożyć z repozytorium GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz analizatory ASIM.

Normalizacja czasu pozyskiwania

Analizatory czasu zapytań mają wiele zalet:

  • Nie wymagają one modyfikacji danych, co pozwala zachować format źródłowy.
  • Ponieważ nie modyfikują one danych, ale raczej przedstawiają widok danych, można je łatwo opracowywać. Tworzenie, testowanie i naprawianie analizatora można wykonać na istniejących danych. Ponadto analizatory można rozwiązać po wykryciu problemu, a poprawka zostanie zastosowana do istniejących danych.

Z drugiej strony, podczas gdy analizatory ASIM są zoptymalizowane, analizowanie czasu zapytań może spowolnić zapytania, szczególnie w przypadku dużych zestawów danych. Aby rozwiązać ten problem, usługa Microsoft Sentinel uzupełnia analizowanie czasu zapytań przy użyciu analizowania czasu pozyskiwania. Przy użyciu przekształcania pozyskiwania zdarzenia są znormalizowane do znormalizowanych tabel, przyspieszając zapytania korzystające z znormalizowanych danych.

Obecnie usługa ASIM obsługuje następujące natywne znormalizowane tabele jako miejsce docelowe normalizacji czasu pozyskiwania:

Aby uzyskać więcej informacji, zobacz Ingest Time Normalization (Normalizacja czasu pozyskiwania).

Zawartość dla każdego znormalizowanych schematów

Zawartość korzystająca z karty ASIM obejmuje rozwiązania, reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń i nie tylko. Zawartość dla każdego znormalizowanego schematu działa na dowolnych znormalizowanych danych bez konieczności tworzenia zawartości specyficznej dla źródła.

Aby uzyskać więcej informacji, zobacz zawartość ASIM.

Wprowadzenie do karty ASIM

Aby rozpocząć korzystanie z karty ASIM:

  • Wdróż rozwiązanie domeny oparte na karcie ASIM, takie jak rozwiązanie domeny Network Threat Protection Essentials .

  • Aktywowanie szablonów reguł analizy korzystających z modelu ASIM. Aby uzyskać więcej informacji, zobacz listę zawartości ASIM.

  • Użyj zapytań wyszukiwania karty ASIM z repozytorium GitHub usługi Microsoft Sentinel podczas wykonywania zapytań dotyczących dzienników w języku KQL na stronie Dzienniki usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz listę zawartości ASIM.

  • Napisz własne reguły analizy przy użyciu modelu ASIM lub przekonwertuj istniejące.

  • Pozwól swoim niestandardowym danym korzystać z wbudowanej analizy, pisząc analizatory dla źródeł niestandardowych i dodając je do odpowiedniego niezależnego analizatora źródłowego.

Następne kroki

Ten artykuł zawiera omówienie normalizacji w usługach Microsoft Sentinel i ASIM.

Aby uzyskać więcej informacji, zobacz: