Решения на основе расширенной информационной модели безопасности (ASIM) для Microsoft Sentinel (предварительная версия)
Основные решения Майкрософт — это доменные решения, опубликованные корпорацией Майкрософт для Microsoft Sentinel. Эти решения имеют нестандартное содержимое, которое может работать в нескольких продуктах для определенных категорий, таких как сеть. Некоторые из этих важных решений используют метод расширенной информационной модели безопасности (ASIM) для нормализации данных во время запроса или приема.
Внимание
Основные решения Майкрософт и решение Network Session Essentials в настоящее время находятся в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Зачем использовать основные решения Майкрософт на основе ASIM?
Если несколько решений в категории домена совместно используют аналогичные шаблоны обнаружения, имеет смысл записывать данные под нормализованной схемой, например ASIM. Основные решения используют эту схему ASIM для обнаружения угроз в масштабе.
В концентраторе содержимого существует несколько решений продуктов для различных категорий доменов, таких как "Безопасность — сеть". Например, Брандмауэр Azure, Брандмауэр Palo Alto и Corelight имеют решения продуктов для категории доменов "Безопасность — сеть".
- Эти решения имеют различные компоненты приема данных по проектированию. Но существует определенный шаблон для аналитики, охоты, книг и другого содержимого в той же категории домена.
- Большинство основных сетевых продуктов имеют общий набор оповещений брандмауэра, который включает вредоносные угрозы, поступающие от необычных IP-адресов. Шаблон правила аналитики, как правило, дублируется для каждой категории "Безопасность — сеть" решений продуктов. Если вы работаете с несколькими сетевыми продуктами, необходимо проверка и настроить несколько правил аналитики по отдельности, что неэффективно. Вы также получите оповещения для каждого правила, настроенного и в конечном итоге, с усталостью оповещений.
- Если у вас есть дедупликационные запросы охоты, возможно, у вас будет меньше опыта охоты на выполнение всех действий. Эти дедупликационные запросы охоты также вводят неэффективные запросы для охотников за угрозами для выбора и выполнения аналогичных запросов.
Вы можете рассмотреть основные решения Майкрософт по следующим причинам:
- Нормализованная схема упрощает запрос сведений об инциденте. Вам не нужно запоминать другой синтаксис поставщика для аналогичных атрибутов журнала.
- Если вам не нужно управлять содержимым для нескольких решений, проще использовать развертывание и обработку инцидентов.
- Консолидированное представление книги обеспечивает лучшую видимость среды и возможный анализ времени запроса с высоким уровнем производительности синтаксического анализа ASIM.
Поддерживаемые схемы ASIM
Основные решения в настоящее время охватывают следующие различные схемы ASIM, поддерживаемые Sentinel:
- Событие аудита
- Событие проверки подлинности
- Действие DNS
- Действие файла
- Сетевой сеанс
- Событие обработки
- Веб-сеанс
Дополнительные сведения см. в схемах расширенной информационной модели безопасности (ASIM).
Нормализация времени приема
Результаты нормализации времени приема могут быть приема в следующую нормализованную таблицу:
- ASimDnsActivityLogs для схемы DNS.
- ASimNetworkSessionLogs для схемы сетевого сеанса
Дополнительные сведения см. в разделе "Нормализация времени приема".
Содержимое, доступное с основными решениями домена на основе ASIM
В следующей таблице описывается тип содержимого, доступного для каждого важного решения. Для некоторых конкретных вариантов использования может потребоваться также использовать содержимое, доступное в решении продукта Microsoft Sentinel.
Content type | описание |
---|---|
Аналитическое правило | Аналитические правила, доступные в основных решениях на основе ASIM, являются универсальными и хорошо подходят для любого из зависимых решений продуктов Microsoft Sentinel для этого домена. Решение продукта Microsoft Sentinel может иметь исходный вариант использования, охватывающийся в рамках аналитического правила. Включите правила решения продуктов Microsoft Sentinel по мере необходимости для вашей среды. |
Запрос охоты | Запросы охоты, доступные в основных решениях на основе ASIM, являются универсальными и хорошо подходят для поиска угроз от любого из зависимых решений продуктов Microsoft Sentinel для этого домена. Решение продукта Microsoft Sentinel может иметь исходный запрос охоты, доступный вне поля. Используйте запросы охоты из решения продукта Microsoft Sentinel, если это необходимо для вашей среды. |
Подробный обзор типов | Основные решения на основе ASIM, как ожидается, обрабатывают данные с высокими событиями в секунду. Если у вас есть содержимое, использующее этот объем данных, может возникнуть некоторое влияние на производительность, что может привести к медленной загрузке книг или результатов запросов. Чтобы решить эту проблему, сборник схем суммирования суммирует исходные журналы и сохраняет сведения в предопределенную таблицу. Включите сборник схем сводных данных, чтобы разрешить основным решениям запрашивать эту таблицу. Так как сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps, которые создают отдельные ресурсы, другие расходы могут применяться. Дополнительные сведения см. на странице ценообразования Azure Logic Apps. Другие расходы также могут применяться для хранения суммированных данных. |
Watchlist | Основные решения на основе ASIM используют список наблюдения, включающий несколько наборов условий для обнаружения и поиска аналитических правил. Список наблюдения позволяет выполнять следующие задачи: — Выполнение ориентированного мониторинга с помощью фильтрации данных. — переключение между охотой и обнаружением для каждого элемента списка. — Сохраняйте тип порогового значения статическим для использования оповещений на основе порогов, а оповещения на основе аномалий будут изучаться за последние несколько дней данных (максимум 14 дней). — Изменение имени оповещения, описания, тактики и серьезности с помощью этого списка наблюдения для отдельных элементов списка. — Отключите обнаружение, задав значение серьезности как отключенное. |
Книга | Книга, доступная с основными решениями на основе ASIM, предоставляет консолидированное представление о различных событиях и действиях, происходящих в зависимом домене. Так как эта книга извлекает результаты из очень большого объема данных, может возникнуть некоторая задержка производительности. При возникновении проблем с производительностью используйте сборник схем сводных данных. |
Эти важные решения, такие как другие решения домена Microsoft Sentinel, не имеют собственного соединителя. Они зависят от исходных соединителей в решениях продуктов Microsoft Sentinel для извлечения журналов. Сведения о продуктах, поддерживаемых решением домена, см. в списке необходимых решений для каждого домена ASIM. Установите одно или несколько решений продукта. Настройте соединители данных для удовлетворения потребностей в зависимости от продукта и обеспечения лучшего использования содержимого этого решения домена.
Связанные статьи
- Поиск основных решений домена на основе ASIM, таких как решение Network Session Essentials и DNS Essentials для Microsoft Sentinel
- Использование расширенной информационной модели безопасности (ASIM)