ASIM-baserade domänlösningar (Advanced Security Information Model) för Microsoft Sentinel (förhandsversion)
Microsofts viktiga lösningar är domänlösningar som publicerats av Microsoft för Microsoft Sentinel. De här lösningarna har inbyggt innehåll som kan användas i flera produkter för specifika kategorier som nätverk. Vissa av dessa viktiga lösningar använder normaliseringstekniken Advanced Security Information Model (ASIM) för att normalisera data vid frågetid eller inmatningstid.
Viktigt!
Microsofts viktiga lösningar och lösningen Network Session Essentials finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Varför ska vi använda ASIM-baserade Microsofts viktiga lösningar?
När flera lösningar i en domänkategori delar liknande identifieringsmönster är det klokt att data samlas in under ett normaliserat schema som ASIM. Viktiga lösningar använder det här ASIM-schemat för att identifiera hot i stor skala.
I innehållshubben finns det flera produktlösningar för olika domänkategorier som "Säkerhet – nätverk". Azure Firewall, Palo Alto Firewall och Corelight har till exempel produktlösningar för domänkategorin "Säkerhet – nätverk".
- De här lösningarna har olika komponenter för inmatning av data avsiktligt. Men det finns ett visst mönster för analys, jakt, arbetsböcker och annat innehåll inom samma domänkategori.
- De flesta av de viktigaste nätverksprodukterna har en gemensam grundläggande uppsättning brandväggsaviseringar som innehåller skadliga hot som kommer från ovanliga IP-adresser. Analysregelmallen dupliceras i allmänhet för var och en av kategorin "Säkerhet – nätverk" för produktlösningar. Om du kör flera nätverksprodukter måste du kontrollera och konfigurera flera analysregler individuellt, vilket är ineffektivt. Du skulle också få aviseringar för varje regel som konfigurerats och kan sluta med aviseringströtthet.
- Om du har duplicerande jaktfrågor kan du ha mindre högpresterande jaktupplevelser med körningsläget för jakt. Dessa duplicerande jaktfrågor ger också ineffektivitet för hotjägare att välja och köra liknande frågor.
Du kan överväga Microsofts viktiga lösningar av följande skäl:
- Ett normaliserat schema gör det enklare för dig att fråga efter incidentinformation. Du behöver inte komma ihåg olika leverantörssyntax för liknande loggattribut.
- Om du inte behöver hantera innehåll för flera lösningar är användningsfallsdistribution och incidenthantering enklare.
- En konsoliderad arbetsboksvy ger bättre miljösynlighet och möjlig frågetidsparsning med högpresterande ASIM-parsare.
ASIM-scheman stöds
De viktigaste lösningarna sträcker sig för närvarande över följande olika ASIM-scheman som Sentinel stöder:
- Granskningshändelse
- Autentiseringshändelse
- DNS-aktivitet
- Filaktivitet
- Nätverkssession
- Processhändelse
- Webbsession
Mer information finns i ASIM-scheman (Advanced Security Information Model).
Normalisering av inmatningstid
Resultatet av inmatningstidens normalisering kan matas in i följande normaliserade tabell:
- ASimDnsActivityLogs för DNS-schemat.
- ASimNetworkSessionLogs för nätverkssessionsschemat
Mer information finns i Inmatningstidsnormalisering.
Innehåll som är tillgängligt med ASIM-baserade grundläggande domänlösningar
I följande tabell beskrivs vilken typ av innehåll som är tillgängligt för varje viktig lösning. För vissa specifika användningsfall kanske du också vill använda det innehåll som är tillgängligt med Microsoft Sentinel-produktlösningen.
| Innehållstyp | description |
|---|---|
| Analysregel | Analysreglerna som är tillgängliga i de ASIM-baserade grundläggande lösningarna är generiska och passar bra för någon av de beroende Microsoft Sentinel-produktlösningarna för den domänen. Microsoft Sentinel-produktlösningen kan ha ett källspecifikt användningsfall som omfattas som en del av analysregeln. Aktivera Microsoft Sentinel-produktlösningsregler efter behov för din miljö. |
| Jaktfråga | De jaktfrågor som är tillgängliga i de ASIM-baserade grundläggande lösningarna är generiska och passar bra för att jaga efter hot från någon av de beroende Microsoft Sentinel-produktlösningarna för den domänen. Microsoft Sentinel-produktlösningen kan ha en källspecifik jaktfråga tillgänglig. Använd jaktfrågorna från Microsoft Sentinel-produktlösningen efter behov för din miljö. |
| Playbook | De ASIM-baserade viktiga lösningarna förväntas hantera data med höga händelser per sekund. När du har innehåll som använder den mängden data kan det uppstå en viss prestandapåverkan som kan orsaka långsam inläsning av arbetsböcker eller frågeresultat. För att lösa det här problemet sammanfattar spelboken för sammanfattning källloggarna och lagrar informationen i en fördefinierad tabell. Aktivera spelboken för sammanfattning så att de viktigaste lösningarna kan köra frågor mot den här tabellen. Eftersom spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps som skapar separata resurser kan andra avgifter tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps. Andra avgifter kan också tillkomma för lagring av sammanfattade data. |
| Övervakningslista | De ASIM-baserade viktiga lösningarna använder en visningslista som innehåller flera uppsättningar villkor för analysregelidentifiering och jaktfrågor. Med visningslistan kan du utföra följande uppgifter: – Utför fokuserad övervakning med datafiltrering. – Växla mellan jakt och identifiering för varje listobjekt. – Behåll tröskelvärdestypen inställd på Statisk för att utnyttja tröskelvärdesbaserad avisering medan avvikelsebaserade aviseringar skulle lära sig av de senaste dagarnas data (högst 14 dagar). – Ändra aviseringsnamn, beskrivning, taktik och allvarlighetsgrad med hjälp av den här visningslistan för enskilda listobjekt. – Inaktivera identifiering genom att ange Allvarlighetsgrad som Inaktiverad. |
| Arbetsbok | Arbetsboken som är tillgänglig med de ASIM-baserade grundläggande lösningarna ger en samlad vy över olika händelser och aktiviteter som händer i den beroende domänen. Eftersom den här arbetsboken hämtar resultat från en mycket hög datavolym kan det uppstå en viss fördröjning i prestandan. Om du får prestandaproblem använder du spelboken för sammanfattning. |
Dessa viktiga lösningar som andra Microsoft Sentinel-domänlösningar har inte en egen anslutningsapp. De är beroende av källspecifika anslutningsappar i Microsoft Sentinel-produktlösningar för att hämta loggarna. Information om de produkter som domänlösningen stöder finns i listan över nödvändiga produktlösningar som var och en av ASIM-domänens essentials-lösningar listar. Installera en eller flera av produktlösningarna. Konfigurera dataanslutningarna så att de uppfyller de underliggande produktberoendebehoven och för att möjliggöra bättre användning av det här domänlösningsinnehållet.
Relaterade artiklar
- Hitta nödvändiga lösningar för ASIM-baserade domäner som Network Session Essentials och DNS Essentials Solution för Microsoft Sentinel
- Använda ASIM (Advanced Security Information Model)