Omówienie normalizacji danych
Usługa Microsoft Sentinel pozyskuje dane z wielu źródeł. Praca z różnymi typami danych i tabelami wymaga zrozumienia każdego z nich oraz zapisania i używania unikatowych zestawów danych dla reguł analizy, skoroszytów i zapytań dotyczących wyszukiwania zagrożeń dla każdego typu lub schematu.
Czasami potrzebne są oddzielne reguły, skoroszyty i zapytania, nawet jeśli typy danych współdzielą wspólne elementy, takie jak urządzenia zapory. Korelacja między różnymi typami danych podczas badania i wyszukiwania zagrożeń może być również trudna.
Advanced Security Information Model (ASIM) to warstwa znajdująca się między tymi różnymi źródłami a użytkownikiem. Usługa ASIM jest zgodna z zasadą niezawodności: "Bądź rygorystyczny w tym, co wysyłasz, bądź elastyczny w tym, co akceptujesz". Gdy zasada niezawodności jest używana jako wzorzec projektowy, ASIM przekształca niespójne dane usługi Microsoft Sentinel i trudno używać telemetrii źródłowej do przyjaznych dla użytkownika danych.
Typowe użycie karty ASIM
Usługa ASIM zapewnia bezproblemowe środowisko obsługi różnych źródeł w jednolitych, znormalizowanych widokach, zapewniając następujące funkcje:
Wykrywanie między źródłami. Znormalizowane reguły analizy działają między źródłami, środowiskiem lokalnym i chmurą oraz wykrywają ataki, takie jak atak siłowy lub niemożliwy podróż między systemami, w tym Okta, AWS i Azure.
Zawartość niezależna od źródła. Pokrycie zarówno wbudowanej, jak i niestandardowej zawartości przy użyciu karty ASIM automatycznie rozszerza się do dowolnego źródła obsługującego kartę ASIM, nawet jeśli źródło zostało dodane po utworzeniu zawartości. Na przykład analiza zdarzeń procesów obsługuje dowolne źródło, którego klient może użyć do wprowadzenia danych, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Zdarzenia systemu Windows i Sysmon.
Obsługa źródeł niestandardowych w wbudowanej analizie
Łatwość użytkowania. Po zapoznaniu się z kartą ASIM pisanie zapytań jest prostsze, ponieważ nazwy pól są zawsze takie same.
ASIM i metadane zdarzeń zabezpieczeń typu open source
Usługa ASIM jest zgodna z typowym modelem informacji metadanych zdarzeń zabezpieczeń typu open source (OSSEM), co umożliwia przewidywalną korelację jednostek w znormalizowanych tabelach.
OSSEM to projekt kierowany przez społeczność, który koncentruje się głównie na dokumentacji i standaryzacji dzienników zdarzeń zabezpieczeń z różnych źródeł danych i systemów operacyjnych. Projekt zawiera również model common information model (CIM), który może być używany dla inżynierów danych podczas procedur normalizacji danych, aby umożliwić analitykom zabezpieczeń wykonywanie zapytań i analizowanie danych w różnych źródłach danych.
Składniki ASIM
Na poniższej ilustracji pokazano, jak nienormalizowane dane można przetłumaczyć na znormalizowaną zawartość i używać ich w usłudze Microsoft Sentinel. Na przykład można rozpocząć od niestandardowej, niestandardowej, nienormalizowanej tabeli oraz użyć analizatora i schematu normalizacji, aby przekonwertować tabelę na znormalizowane dane. Użyj znormalizowanych danych zarówno w firmie Microsoft, jak i w analizie niestandardowej, regułach, skoroszytach, zapytaniach i nie tylko.
Usługa ASIM zawiera następujące składniki:
| Składnik | opis |
|---|---|
| Znormalizowane schematy | Omówienie standardowych zestawów przewidywalnych typów zdarzeń, których można używać podczas tworzenia ujednoliconych funkcji. Każdy schemat definiuje pola reprezentujące zdarzenie, znormalizowaną konwencję nazewnictwa kolumn i standardowy format wartości pól. |
| Parsery | Mapowanie istniejących danych na znormalizowane schematy przy użyciu funkcji KQL. Wiele analizatorów ASIM jest dostępnych standardowo z usługą Microsoft Sentinel. Więcej analizatorów i wersji wbudowanych analizatorów, które można modyfikować, można wdrożyć z repozytorium GitHub usługi Microsoft Sentinel. |
| Zawartość dla każdego znormalizowanych schematów | Obejmuje reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń i nie tylko. Zawartość dla każdego znormalizowanego schematu działa na dowolnych znormalizowanych danych bez konieczności tworzenia zawartości specyficznej dla źródła. |
Terminologia dotycząca karty ASIM
Usługa ASIM używa następujących terminów:
| Okres | opis |
|---|---|
| Urządzenie raportowania | System, który wysyła rekordy do usługi Microsoft Sentinel. Ten system może nie być systemem podmiotu dla wysyłanego rekordu. |
| Nagraj | Jednostka danych wysyłanych z urządzenia raportowania. Rekord jest często nazywany dziennikiem, zdarzeniem lub alertem, ale może być również innymi typami danych. |
| Zawartość lub element zawartości | Różne, dostosowywalne lub utworzone przez użytkownika artefakty, które mogą być używane z usługą Microsoft Sentinel. Te artefakty obejmują na przykład reguły analizy, zapytania wyszukiwania zagrożeń i skoroszyty. Element zawartości jest jednym z takich artefaktów. |
Wyświetlanie analizatorów ASIM
Aby wyświetlić funkcje ASIM w środowisku usługi Microsoft Sentinel.
- Przejdź do obszaru roboczego usługi Microsoft Sentinel w witrynie Azure Portal
- Wybierz pozycję Dzienniki w obszarze nawigacji po lewej stronie
- Rozwiń okienko schematu i filtru po lewej stronie (w razie potrzeby użyj wielokropka, aby wyświetlić wszystkie narzędzia)
- Wybieranie funkcji
- Rozwiń węzeł Microsoft Sentinel
Zobaczysz funkcje rozpoczynające się od ASim i Im.