Normalização e o ASIM (Modelo de Informações de Segurança Avançado) (Visualização pública)

O Microsoft Azure Sentinel ingere dados de várias fontes. Para trabalhar com vários tipos de dados e tabelas juntos, você precisa entender cada um deles, gravar e usar conjuntos exclusivos de dados para regras de análise, pastas de trabalho e consultas de busca para cada tipo ou esquema.

Às vezes, você precisará de regras, pastas de trabalho e consultas separadas, mesmo quando os tipos de dados compartilharem elementos comuns, como dispositivos de firewall. Correlacionar diferentes tipos de dados durante um processo de investigação e busca também pode ser complicado.

O ASIM (Modelo de Informações de Segurança Avançado) é uma camada localizada entre essas diversas fontes e o usuário. O ASIM segue o princípio da robustez: "Seja estrito quanto ao que você envia, seja flexível quanto ao que aceita". Usando o princípio de robustez como padrão de design, o ASIM transforma a telemetria de origem proprietária coletada pelo Microsoft Sentinel em dados amigáveis para facilitar a troca e a integração.

Este artigo fornece uma visão geral do ASIM (Modelo de Informações de Segurança Avançado), os respectivos casos de uso e componentes principais. Confira a seção próximas etapas para obter mais detalhes.

Dica

Assista também ao Webinar do ASIM ou examine os slides do webinar.

Importante

O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Uso comum do ASIM

O ASIM proporciona uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas oferecendo a funcionalidade a seguir:

• Detecção entre fontes. As regras de análise normalizadas funcionam entre fontes, no local e na nuvem, além de detectar ataques como força bruta ou viagem impossível entre sistemas, incluindo Okta, AWS e Azure.

• Conteúdo independente da fonte. A cobertura do conteúdo interno e personalizado usando o ASIM é expandida automaticamente para as fontes compatíveis com o ASIM, mesmo se a fonte foi adicionada depois da criação do conteúdo. Por exemplo, a análise de eventos do processo é compatível com qualquer fonte que um cliente possa usar para trazer os dados, como Microsoft Defender para Ponto de Extremidade, Eventos do Windows e Sysmon.

• Suporte para as fontes personalizadas, na análise interna

• Facilidade de uso. Depois que um analista aprende o ASIM, a gravação de consultas fica muito mais simples, pois os nomes de campo são sempre os mesmos.

ASIM e os Metadados de Eventos de Segurança de Software Livre

O ASIM alinha-se ao modelo de informações comuns dos OSSEM (Metadados de eventos de segurança de software livre Aberto), permitindo correlação de entidades previsíveis entre tabelas normalizadas.

OSSEM é um projeto realizado pela comunidade que se concentra principalmente na documentação e na padronização dos logs de eventos de segurança de diferentes fontes de dados e sistemas operacionais. O projeto também fornece um modelo CIM (modelo de informações comuns) que pode ser usado por engenheiros de dados durante procedimentos de normalização de dados para permitir que analistas de segurança consultem e analisem dados em várias fontes de dados.

Para saber mais, confira a Documentação de referência do OSSEM.

Componentes do ASIM

A imagem a seguir mostra como os dados não normalizados podem ser convertidos em conteúdo normalizado e usados no Microsoft Azure Sentinel. Por exemplo, você pode começar com uma tabela personalizada, específica do produto e não normalizada e usar um analisador e um esquema de normalização para converter essa tabela em dados normalizados. Use os dados normalizados em vários locais, como regras, pastas de trabalho, consultas e análises personalizadas e da Microsoft.

O ASIM inclui os seguintes componentes:

Esquemas normalizados

Os esquemas normalizados abrangem conjuntos padrão de tipos de eventos previsíveis que você pode usar ao criar funcionalidades unificadas. Cada esquema define os campos que representam um evento, uma convenção de nomenclatura de coluna normalizada e um formato padrão para os valores de campo.

Atualmente, o ASIM define os seguintes esquemas:

• Auditar evento
• Evento de autenticação
• Atividade DHCP
• Atividade DNS
• Atividade de arquivo
• Sessão de rede
• Evento de processo
• Evento de registro
• Gerenciamento de Usuários
• Sessão da Web

Para saber mais, confira esquemas ASIM.

Analisadores de tempo de consulta

O ASIM usa analisadores de tempo de consulta para mapear dados existentes para os esquemas normalizados usando as funções KQL. Muitos analisadores ASIM estão disponíveis imediatamente com o Microsoft Sentinel. Mais analisadores e versões dos analisadores integrados que podem ser modificados e implantados no repositório GitHub do Microsoft Sentinel.

Para saber mais, confira analisadores ASIM.

Normalização de tempo de ingestão

Os analisadores de tempo de consulta têm muitas vantagens:

• Eles não exigem que os dados sejam modificados, preservando assim o formato de origem.
• Como eles não modificam os dados, mas apresentam uma exibição dos dados, eles são facilmente desenvolvidos. O desenvolvimento, o teste e a correção de um analisador podem ser feitos em dados existentes. Além disso, os analisadores podem ser corrigidos quando um problema é descoberto e a correção se aplicará aos dados existentes.

Por outro lado, enquanto os analisadores do ASIM são otimizados, a análise de tempo de consulta pode diminuir a velocidade das consultas, especialmente em grandes conjuntos de dados. Para resolver isso, o Microsoft Sentinel complementa a análise de tempo de consulta com análise de tempo de ingestão. Usando a transformação de ingestão, os eventos são normalizados para a tabela normalizada, acelerando consultas que usam dados normalizados.

Atualmente, o ASIM dá suporte às seguintes tabelas normalizadas nativas como um destino para a normalização em tempo de ingestão:

• ASimAuditEventLogs para o esquema de Evento de Auditoria.
• ASimAuthenticationEventLogs para o esquema de Autenticação.
• ASimDnsActivityLogs para o esquema DNS.
• ASimNetworkSessionLogs para o esquema de Sessão de rede
• ASimWebSessionLogs para o esquema de Sessão na Web.

Para obter mais informações, consulte Normalização do tempo de ingestão.

Conteúdo de cada esquema normalizado

O conteúdo que usa o ASIM inclui soluções, regras de análise, pastas de trabalho, consultas de busca e muito mais. O conteúdo de cada esquema normalizado funciona em todos os dados normalizados sem a necessidade de criar conteúdo específico da origem.

Para saber mais, confira conteúdo ASIM.

Introdução ao ASIM

Para começar a usar o ASIM:

• Implante uma solução de domínio baseada em ASIM, como a solução de domínio Conceitos Básicos da Proteção contra Ameaças de Rede.

• Ative os modelos de regra de análise que usam o ASIM. Para obter mais informações, consulte a lista de conteúdo ASIM.

• Use as consultas de busca do ASIM no repositório GitHub do Microsoft Azure Sentinel ao consultar logs em KQL na página Logs do Microsoft Azure Sentinel. Para obter mais informações, consulte a lista de conteúdo ASIM.

• Grave suas próprias regras de análise usando o ASIM ou converta as existentes.

• Habilite os dados personalizados para usar a análise interna gravando os analisadores para as fontes personalizadas e adicionando-os ao analisador independente da fonte correspondente.

Próximas etapas

Este artigo fornece uma visão geral da normalização no Microsoft Sentinel e no ASIM.

Para obter mais informações, consulte:

• Assista ao Webinar do ASIM ou examine os slides
• Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
• Analisadores do ASIM (Modelo de Informações de Segurança Avançado)
• Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)