Нормализация и расширенная информационная модель безопасности (ASIM)

Microsoft Sentinel прием данных из многих источников. Совместная работа с различными типами данных и таблицами требует понимания каждого из них, а также записи и использования уникальных наборов данных для правил аналитики, книг и запросов охоты для каждого типа или схемы.

Иногда требуются отдельные правила, книги и запросы, даже если типы данных используют общие элементы, такие как устройства брандмауэра. Корреляция между различными типами данных во время исследования и охоты также может быть сложной задачей.

Расширенная информационная модель безопасности (ASIM) — это слой, расположенный между этими различными источниками и пользователем. ASIM следует принципу надежности: "Будьте строги в том, что вы отправляете, будьте гибкими в том, что вы принимаете". Используя принцип надежности в качестве шаблона проектирования, ASIM преобразует собственные исходные данные телеметрии, собранные Microsoft Sentinel, в удобные для пользователя данные, чтобы упростить обмен и интеграцию.

В этой статье представлен обзор расширенной информационной модели безопасности (ASIM), ее вариантов использования и основных компонентов.

Совет

Также просмотрите вебинар ASIM или просмотрите слайды вебинара.

Распространенное использование ASIM

ASIM обеспечивает простой интерфейс для обработки различных источников в однородных нормализованных представлениях, предоставляя следующие функциональные возможности:

• Обнаружение перекрестных источников. Нормализованные правила аналитики работают в разных источниках, в локальной и облачной среде и обнаруживают такие атаки, как метод подбора или невозможное перемещение между системами, включая Okta, AWS и Azure.

• Независимое от источника содержимое. Охват встроенного и настраиваемого содержимого с помощью ASIM автоматически расширяется на любой источник, поддерживающий ASIM, даже если источник был добавлен после создания содержимого. Например, аналитика событий процессов поддерживает любой источник, который клиент может использовать для переноса данных, например Microsoft Defender для конечной точки, события Windows и sysmon.

• Поддержка пользовательских источников во встроенной аналитике

• Удобство использования. После того как аналитик узнает ASIM, написание запросов гораздо проще, так как имена полей всегда одинаковы.

ASIM и метаданные событий безопасности с открытым кодом

ASIM соответствует общей информационной модели событий безопасности с открытым кодом (OSSEM), что обеспечивает прогнозируемую корреляцию сущностей между нормализованными таблицами.

OSSEM — это проект под руководством сообщества, который в основном ориентирован на документацию и стандартизацию журналов событий безопасности из различных источников данных и операционных систем. Проект также предоставляет общую информационную модель (CIM), которую можно использовать для инженеров данных во время процедур нормализации данных, чтобы аналитики безопасности могли запрашивать и анализировать данные в различных источниках данных.

Дополнительные сведения см. в справочной документации по OSSEM.

Компоненты ASIM

На следующем рисунке показано, как не нормализованные данные можно преобразовать в нормализованное содержимое и использовать в Microsoft Sentinel. Например, можно начать с пользовательской, конкретной для продукта, ненормализованной таблицы и использовать синтаксический анализатор и схему нормализации для преобразования этой таблицы в нормализованные данные. Используйте нормализованные данные как в microsoft, так и в пользовательской аналитике, правилах, книгах, запросах и т. д.

ASIM включает следующие компоненты:

Нормализованные схемы

Нормализованные схемы охватывают стандартные наборы прогнозируемых типов событий, которые можно использовать при создании унифицированных возможностей. Каждая схема определяет поля, представляющие событие, нормализованное соглашение об именовании столбцов и стандартный формат значений полей.

В настоящее время ASIM определяет следующие схемы:

• Событие оповещения
• Событие аудита
• Событие проверки подлинности
• Действие DHCP
• Действия DNS
• Действие файла
• Сетевой сеанс
• Событие обработки
• Событие реестра
• Управление пользователями
• Веб-сеанс

Дополнительные сведения см. в разделе Схемы ASIM.

Средства синтаксического анализа времени запроса

ASIM использует средства синтаксического анализа запросов для сопоставления существующих данных с нормализованными схемами с помощью функций KQL. Многие средства синтаксического анализа ASIM доступны в готовых версиях с Microsoft Sentinel. Дополнительные средства синтаксического анализа и версии встроенных средств синтаксического анализа, которые можно изменить, можно развернуть из репозитория Microsoft Sentinel GitHub.

Дополнительные сведения см. в разделе Средства синтаксического анализа ASIM.

Нормализация времени приема

Средства синтаксического анализа времени запросов имеют множество преимуществ:

• Они не требуют изменения данных, что позволяет сохранить исходный формат.
• Так как они не изменяют данные, а представляют собой представление данных, их легко разрабатывать. Разработка, тестирование и исправление средства синтаксического анализа можно выполнять с существующими данными. Кроме того, средства синтаксического анализа можно исправить при обнаружении проблемы, а исправление будет применяться к существующим данным.

С другой стороны, хотя средства синтаксического анализа ASIM оптимизированы, синтаксический анализ во время запросов может замедлить выполнение запросов, особенно в больших наборах данных. Чтобы устранить эту проблему, Microsoft Sentinel дополняет синтаксический анализ во время запроса с синтаксический анализ времени приема. При преобразовании приема события нормализуются в нормализованную таблицу, ускоряя запросы, использующие нормализованные данные.

В настоящее время ASIM поддерживает следующие собственные нормализованные таблицы в качестве назначения для нормализации времени приема:

• ASimAuditEventLogs для схемы события аудита .
• ASimAuthenticationEventLogs для схемы проверки подлинности .
• ASimDhcpEventLogs для схемы событий DHCP .
• ASimDnsActivityLogs для схемы DNS .
• ASimFileEventLogs для схемы события файла .
• ASimNetworkSessionLogs для схемы сетевого сеанса .
• ASimProcessEventLogs для схемы события процесса .
• ASimRegistryEventLogs для схемы события реестра .
• ASimUserManagementActivityLogs для схемы управления пользователями .
• ASimWebSessionLogs для схемы веб-сеанса .

Дополнительные сведения см. в разделе Нормализация времени приема.

Содержимое для каждой нормализованной схемы

Содержимое, использующее ASIM, включает решения, правила аналитики, книги, запросы охоты и многое другое. Содержимое для каждой нормализованной схемы работает с любыми нормализованными данными без необходимости создавать содержимое для конкретного источника.

Дополнительные сведения см. в разделе Содержимое ASIM.

Начало работы с ASIM

Чтобы приступить к использованию ASIM, выполните приведенные далее действия.

• Разверните доменное решение на основе ASIM, например решение домена Network Threat Protection Essentials .

• Активируйте шаблоны правил аналитики, использующие ASIM. Дополнительные сведения см. в списке содержимого ASIM.

• Используйте запросы поиска ASIM из репозитория Microsoft Sentinel GitHub при запросе журналов в KQL на странице журналов Microsoft Sentinel. Дополнительные сведения см. в списке содержимого ASIM.

• Создайте собственные правила аналитики с помощью ASIM или преобразуйте существующие.

• Включите пользовательские данные для использования встроенной аналитики, написав средства синтаксического анализа для пользовательских источников и добавив их в соответствующий средство синтаксического анализа, независимо от источника.

Связанные материалы

В этой статье представлен обзор нормализации в Microsoft Sentinel и ASIM.

Дополнительные сведения см. в разделе:

• Просмотрите вебинар ASIM или просмотрите слайды
• Схемы расширенной информационной модели безопасности (ASIM)
• Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)
• Содержимое расширенной информационной модели безопасности (ASIM)