Нормализация и расширенная информационная модель безопасности (ASIM) (общедоступная предварительная версия)
Microsoft Sentinel принимает данные из многих источников. Для работы с различными типами данных и таблицами необходимо понимать их все, а также записывать и использовать уникальные наборы данных для правил, книг и поисковых запросов аналитики для каждого типа или схемы.
Иногда требуются отдельные правила, книги и запросы, даже если типы данных содержат совместно используемые элементы, такие как устройства брандмауэра. Согласование различных типов данных во время расследования и поиска может быть непростой задачей.
Расширенная информационная модель безопасности (ASIM) — это слой между этими различными источниками и пользователем. ASIM следует принципу надежности: "строгость в отношении отправляемых данных и гибкость в отношении принимаемых". Используя принцип надежности в качестве шаблона проектирования, ASIM преобразует собственные исходные данные телеметрии, собранные Microsoft Sentinel, в удобные для пользователя данные для упрощения обмена и интеграции.
В этой статье приводятся общие сведения о расширенной информационной модели безопасности (ASIM), ее вариантах использования и основных компонентах. Дополнительные сведения см. в разделе Дальнейшие действия.
Совет
Также посмотрите веб-семинар ASIM или слайды веб-семинара.
Важно!
ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Распространенное использование ASIM
ASIM обеспечивает удобство работы с различными источниками в унифицированных, нормализованных представлениях, предоставляя следующие функции:
Обнаружение в нескольких источниках. Нормализованные правила аналитики работают в разных источниках, локально и в облаке и обнаруживают атаки, такие как принудительное использование или невозможность перемещения по системам, включая Okta, AWS и Azure.
Независимое от источника содержимое. Объем встроенного и пользовательского содержимого с помощью ASIM автоматически расширяется до любого источника, поддерживающего ASIM, даже если источник был добавлен после создания содержимого. Например, аналитика событий процесса поддерживает любой источник, который клиент может использовать для ввода данных, такой как Microsoft Defender для конечной точки, Windows Events и Sysmon.
Поддержка пользовательских источников во встроенной аналитике
Удобство использования. После того, как аналитик изучит ASIM, писать запросы намного проще, поскольку имена полей всегда одинаковы.
ASIM и метаданные событий безопасности с открытым исходным кодом
ASIM соответствует общей информационной модели метаданных событий безопасности с открытым кодом (OSSEM), что обеспечивает предсказуемую корреляцию сущностей в нормализованных таблицах.
OSSEM — это проект под эгидой сообщества, ориентированный в первую очередь на документацию и стандартизацию журналов событий безопасности из различных источников данных и операционных систем. Проект предоставляет также общую информационную модель (CIM), которую могут использовать инженеры по обработке данных во время процедур нормализации данных, чтобы аналитики безопасности могли запрашивать и анализировать данные из различных источников данных.
Дополнительные сведения см. в справочной документации по OSSEM.
Компоненты ASIM
На рисунке ниже показано, как ненормализованные данные можно перевести в нормализованное содержимое и затем использовать в Microsoft Sentinel. Например, можно начать с пользовательской, ненормализованной таблицы, а затем с помощью средства синтаксического анализа и схемы нормализации преобразовать эту таблицу в нормализованные данные. Используйте нормализованные данные в пользовательских или предоставленных Майкрософт аналитике, правилах, книгах, запросах и многом другом.
ASIM содержит следующие компоненты:
Нормализованные схемы
Нормализованные схемы охватывают стандартные наборы прогнозируемых типов событий, которые можно использовать при создании унифицированных возможностей. Каждая схема определяет поля, представляющие событие, соглашение об именовании нормализованных столбцов и стандартный формат значений полей.
ASIM в настоящее время определяет следующие схемы:
- Событие аудита
- Событие проверки подлинности
- Действие DHCP
- Действие DNS
- Действие с файлами
- Сетевой сеанс
- Событие процесса
- Событие реестра
- Управление пользователями
- Веб-сеанс
Дополнительные сведения см. в разделе о схемах ASIM.
Средства синтаксического анализа времени выполнения запроса
ASIM использует средства синтаксического анализа времени запроса для сопоставления существующих данных с нормализованными схемами с помощью функций KQL. Многие средства синтаксического анализа ASIM доступны в Microsoft Sentinel в готовом виде. Дополнительные средства и версии встроенных средств, доступные для изменения, можно развернуть из репозитория Microsoft Sentinel на GitHub.
Дополнительные сведения см. на странице Средства синтаксического анализа ASIM.
Нормализация времени приема
Средства синтаксического анализа времени запросов имеют множество преимуществ:
- Они не требуют изменения данных, таким образом сохраняя исходный формат.
- Так как они не изменяют данные, а представляют представление данных, их легко разрабатывать. Разработка, тестирование и исправление средства синтаксического анализа можно выполнять на основе существующих данных. Кроме того, средства синтаксического анализа можно исправить при обнаружении проблемы, а исправление будет применяться к существующим данным.
С другой стороны, хотя средства синтаксического анализа ASIM оптимизированы, синтаксический анализ времени запросов может замедлить выполнение запросов, особенно в больших наборах данных. Чтобы устранить эту проблему, Microsoft Sentinel дополняет синтаксический анализ времени запроса с анализом времени приема. С помощью преобразования приема события нормализуются в нормализованную таблицу, ускоряя выполнение запросов, использующих нормализованные данные.
В настоящее время ASIM поддерживает следующие собственные нормализованные таблицы в качестве назначения для нормализации времени приема:
- ASimAuditEventLogs для схемы события аудита .
- ASimAuthenticationEventLogs для схемы проверки подлинности .
- ASimDnsActivityLogs для схемы DNS .
- ASimNetworkSessionLogs для схемы сетевого сеанса
- ASimWebSessionLogs для схемы веб-сеанса .
Дополнительные сведения см. в разделе Нормализация времени приема.
Содержимое для каждой нормализованной схемы
Содержимое, использующее ASIM, включает решения, правила аналитики, книги, запросы охоты и многое другое. Содержимое для каждой нормализованной схемы работает со всеми нормализованными данными без необходимости создавать содержимое для определенного источника.
Дополнительные сведения см. в разделе о содержимом ASIM.
Начало работы с ASIM
Чтобы начать работу с ASIM, выполните следующие действия.
Разверните доменное решение на основе ASIM, например решение домена Защиты от угроз сети Essentials .
Активируйте шаблоны правил аналитики, использующие ASIM. Дополнительные сведения см. в списке содержимого ASIM.
Используйте запросы поиска ASIM из репозитория GitHub Microsoft Sentinel при запросе журналов в KQL на странице Журналы Microsoft Sentinel. Дополнительные сведения см. в списке содержимого ASIM.
Напишите собственные правила аналитики с помощью ASIM или преобразуйте существующие.
Включите в своих пользовательских данных встроенную аналитику, написав средства синтаксического анализа для пользовательских источников и добавив их в соответствующее средство синтаксического анализа, не зависящее от источника.
Дальнейшие действия
В этой статье представлены общие сведения о нормализации в Microsoft Sentinel и ASIM.
Дополнительные сведения см. в разделе: