Normalização e Modelo Avançado de Informação de Segurança (ASIM) (Pré-visualização pública)

O Microsoft Sentinel ingere dados de várias origens. Trabalhar com vários tipos de dados e tabelas em conjunto requer que compreenda cada um deles e escreva e utilize conjuntos exclusivos de dados para regras de análise, livros e consultas de investigação para cada tipo ou esquema.

Por vezes, precisará de regras, livros e consultas separadas, mesmo quando os tipos de dados partilham elementos comuns, como dispositivos de firewall. A correlação entre diferentes tipos de dados durante uma investigação e investigação também pode ser desafiante.

O Advanced Security Information Model (ASIM) é uma camada localizada entre estas diversas origens e o utilizador. O ASIM segue o princípio de robustez: "Seja rigoroso naquilo que envia, seja flexível naquilo que aceitar". Utilizando o princípio de robustez como padrão de conceção, o ASIM transforma a telemetria de origem proprietária recolhida pelo Microsoft Sentinel em dados amigáveis para facilitar o intercâmbio e a integração.

Este artigo fornece uma descrição geral do Advanced Security Information Model (ASIM), os casos de utilização e os componentes principais. Veja a secção passos seguintes para obter mais detalhes.

Dica

Além disso, watch o Webinar do ASIM ou reveja os diapositivos do webinar.

Importante

O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Utilização comum do ASIM

O ASIM proporciona uma experiência totalmente integrada para processar várias origens em vistas uniformes e normalizadas, fornecendo a seguinte funcionalidade:

• Deteção entre origens. As regras de análise normalizadas funcionam entre origens, no local e na cloud e detetam ataques como força bruta ou viagens impossíveis entre sistemas, incluindo Okta, AWS e Azure.

• Conteúdo agnóstico de origem. A cobertura dos conteúdos incorporados e personalizados com o ASIM expande-se automaticamente para qualquer origem que suporte o ASIM, mesmo que a origem tenha sido adicionada após a criação do conteúdo. Por exemplo, a análise de eventos de processos suporta qualquer origem que um cliente possa utilizar para trazer os dados, como Microsoft Defender para Endpoint, Eventos do Windows e Sysmon.

• Suporte para as suas origens personalizadas, na análise incorporada

• Facilidade de utilização. Depois de um analista aprender ASIM, escrever consultas é muito mais simples, pois os nomes dos campos são sempre os mesmos.

ASIM e os Metadados de Eventos de Segurança open source

O ASIM alinha-se com o modelo de informações comuns de Metadados de Eventos de Segurança de Open Source (OSSEM), permitindo a correlação de entidades previsíveis entre tabelas normalizadas.

O OSSEM é um projeto liderado pela comunidade que se foca principalmente na documentação e uniformização dos registos de eventos de segurança de diversas origens de dados e sistemas operativos. O projeto também fornece um Modelo de Informação Comum (CIM) que pode ser utilizado para engenheiros de dados durante os procedimentos de normalização de dados para permitir que os analistas de segurança consultem e analisem dados em diversas origens de dados.

Para obter mais informações, veja a documentação de referência do OSSEM.

Componentes ASIM

A imagem seguinte mostra como os dados não normalizados podem ser traduzidos para conteúdo normalizado e utilizados no Microsoft Sentinel. Por exemplo, pode começar com uma tabela personalizada, específica do produto, não normalizada e utilizar um analisador e um esquema de normalização para converter essa tabela em dados normalizados. Utilize os seus dados normalizados na Microsoft e análise personalizada, regras, livros, consultas e muito mais.

O ASIM inclui os seguintes componentes:

Esquemas normalizados

Os esquemas normalizados abrangem conjuntos padrão de tipos de eventos previsíveis que pode utilizar ao criar capacidades unificadas. Cada esquema define os campos que representam um evento, uma convenção de nomenclatura de colunas normalizada e um formato padrão para os valores de campo.

Atualmente, o ASIM define os seguintes esquemas:

• Evento de Auditoria
• Evento de Autenticação
• Atividade DHCP
• Atividade DNS
• Atividade de Ficheiro
• Sessão de Rede
• Evento de Processo
• Evento de Registo
• Gestão de Utilizadores
• Sessão Web

Para obter mais informações, veja ESQUEMASIM.

Analisadores de tempo de consulta

O ASIM utiliza analisadores de tempo de consulta para mapear dados existentes para os esquemas normalizados mediante a utilização de funções KQL. Muitos analisadores do ASIM estão prontos a utilizar com o Microsoft Sentinel. Mais analisadores e versões dos analisadores incorporados que podem ser modificados podem ser implementados a partir do repositório do GitHub do Microsoft Sentinel.

Para obter mais informações, veja Analisadores do ASIM.

Normalização do tempo de ingestão

Os analisadores de tempo de consulta têm muitas vantagens:

• Não necessitam que os dados sejam modificados, preservando assim o formato de origem.
• Uma vez que não modificam os dados, mas apresentam uma vista dos dados, são fáceis de desenvolver. Desenvolver, testar e corrigir um analisador pode ser feito em dados existentes. Além disso, os analisadores podem ser corrigidos quando um problema é detetado e a correção será aplicada aos dados existentes.

Por outro lado, enquanto os analisadores ASIM estão otimizados, a análise do tempo de consulta pode abrandar as consultas, especialmente em conjuntos de dados grandes. Para resolver este problema, o Microsoft Sentinel complementa a análise do tempo de consulta com a análise do tempo de ingestão. Ao utilizar a transformação de ingestão, os eventos são normalizados para uma tabela normalizada, acelerando as consultas que utilizam dados normalizados.

Atualmente, o ASIM suporta as seguintes tabelas normalizadas nativas como destino para a normalização do tempo de ingestão:

• ASimAuditEventLogs para o esquema evento de auditoria .
• ASimAuthenticationEventLogs para o esquema de Autenticação .
• ASimDnsActivityLogs para o esquema DNS .
• ASimNetworkSessionLogs para o esquema de Sessão de Rede
• ASimWebSessionLogs para o esquema de Sessão Web .

Para obter mais informações, veja Normalização da Hora de Ingestão.

Conteúdo para cada esquema normalizado

O conteúdo que utiliza o ASIM inclui soluções, regras de análise, livros, consultas de investigação e muito mais. O conteúdo para cada esquema normalizado funciona em quaisquer dados normalizados sem a necessidade de criar conteúdo específico da origem.

Para obter mais informações, veja Conteúdo ASIM.

Introdução ao ASIM

Para começar a utilizar o ASIM:

• Implemente uma solução de domínio baseada em ASIM, como a solução de domínio do Network Threat Protection Essentials .

• Ative modelos de regras de análise que utilizem o ASIM. Para obter mais informações, veja a lista de conteúdos do ASIM.

• Utilize as consultas de investigação ASIM do repositório do GitHub do Microsoft Sentinel ao consultar registos no KQL na página Registos do Microsoft Sentinel. Para obter mais informações, veja a lista de conteúdos do ASIM.

• Escreva as suas próprias regras de análise com o ASIM ou converta as existentes.

• Permita que os seus dados personalizados utilizem análises incorporadas ao escrever analisadores para as suas origens personalizadas e adicioná-los ao analisador agnóstico de origem relevante.

Passos seguintes

Este artigo fornece uma descrição geral da normalização no Microsoft Sentinel e no ASIM.

Para obter mais informações, consulte:

• Veja o Webinar do ASIM ou reveja os diapositivos
• Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
• Analisadores do Advanced Security Information Model (ASIM)
• Conteúdo do Advanced Security Information Model (ASIM)