Normalisering och Advanced Security Information Model (ASIM) (offentlig förhandsversion)

  • Artikel

Microsoft Sentinel matar in data från många källor. När du arbetar med olika datatyper och tabeller tillsammans måste du förstå var och en av dem och skriva och använda unika datauppsättningar för analysregler, arbetsböcker och jaktfrågor för varje typ eller schema.

Ibland behöver du separata regler, arbetsböcker och frågor, även när datatyper delar gemensamma element, till exempel brandväggsenheter. Det kan också vara svårt att korrelera mellan olika typer av data under en undersökning och jakt.

Advanced Security Information Model (ASIM) är ett lager som finns mellan dessa olika källor och användaren. ASIM följer robusthetsprincipen: "Var strikt i det du skickar, var flexibel i det du accepterar". Med hjälp av robusthetsprincipen som designmönster omvandlar ASIM den upphovsrättsskyddade källtelemetri som samlas in av Microsoft Sentinel till användarvänliga data för att underlätta utbyte och integrering.

Den här artikeln innehåller en översikt över Advanced Security Information Model (ASIM), dess användningsfall och huvudkomponenter. Mer information finns i nästa stegavsnitt .

Tips

Du kan också watch ASIM-webbseminariet eller granska webbseminariets bilder.

Viktigt

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.

Vanlig ASIM-användning

ASIM ger en sömlös upplevelse för hantering av olika källor i enhetliga, normaliserade vyer genom att tillhandahålla följande funktioner:

  • Identifiering mellan källor. Normaliserade analysregler fungerar mellan källor, lokalt och i molnet, och identifierar attacker som råstyrkeattacker eller omöjliga resor mellan system, inklusive Okta, AWS och Azure.

  • Källagnostiskt innehåll. Täckningen av både inbyggt och anpassat innehåll med ASIM utökas automatiskt till alla källor som stöder ASIM, även om källan lades till efter att innehållet skapades. Till exempel stöder processhändelseanalys alla källor som en kund kan använda för att hämta in data, till exempel Microsoft Defender för Endpoint, Windows-händelser och Sysmon.

  • Stöd för dina anpassade källor, i inbyggd analys

  • Användarvänlighet. När en analytiker har lärt sig ASIM är det mycket enklare att skriva frågor eftersom fältnamnen alltid är desamma.

ASIM och metadata för säkerhetshändelser med öppen källkod

ASIM överensstämmer med ossem-modellen (Open Source Security Events Metadata), vilket möjliggör förutsägbar entitetskorrelation mellan normaliserade tabeller.

OSSEM är ett community-lett projekt som främst fokuserar på dokumentation och standardisering av säkerhetshändelseloggar från olika datakällor och operativsystem. Projektet innehåller också en CIM (Common Information Model) som kan användas för datatekniker under procedurer för datanormalisering så att säkerhetsanalytiker kan köra frågor mot och analysera data över olika datakällor.

Mer information finns i OSSEM-referensdokumentationen.

ASIM-komponenter

Följande bild visar hur icke-normaliserade data kan översättas till normaliserat innehåll och användas i Microsoft Sentinel. Du kan till exempel börja med en anpassad, produktspecifik, icke-normaliserad tabell och använda en parser och ett normaliseringsschema för att konvertera tabellen till normaliserade data. Använd dina normaliserade data i både Microsoft och anpassad analys, regler, arbetsböcker, frågor med mera.

Icke-normaliserat till normaliserat datakonverteringsflöde och användning i Microsoft Sentinel

ASIM innehåller följande komponenter:

Normaliserade scheman

Normaliserade scheman omfattar standarduppsättningar med förutsägbara händelsetyper som du kan använda när du skapar enhetliga funktioner. Varje schema definierar de fält som representerar en händelse, en normaliserad namngivningskonvention för kolumner och ett standardformat för fältvärdena.

ASIM definierar för närvarande följande scheman:

Mer information finns i ASIM-scheman.

Parsers för frågetid

ASIM använder parsers för frågetid till att mappa befintliga data till normaliserade scheman med hjälp av KQL-funktioner. Många ASIM-parsers är tillgängliga direkt i Microsoft Sentinel. Fler parsers och versioner av de inbyggda parser som kan ändras kan distribueras från Microsoft Sentinel GitHub-lagringsplatsen.

Mer information finns i ASIM-parsers.

Mata in tidsnormalisering

Frågetidsparsers har många fördelar:

  • De kräver inte att data ändras, vilket bevarar källformatet.
  • Eftersom de inte ändrar data, utan snarare visar en vy över data, är de lätta att utveckla. Du kan utveckla, testa och åtgärda en parser på befintliga data. Dessutom kan parser åtgärdas när ett problem identifieras och korrigeringen gäller för befintliga data.

Å andra sidan, medan ASIM-parsers är optimerade, kan frågetidsparsning göra frågor långsammare, särskilt för stora datamängder. För att lösa detta kompletterar Microsoft Sentinel frågetidsparsning med inmatningstidsparsning. Med inmatningstransformering normaliseras händelserna till normaliserad tabell, vilket påskyndar frågor som använder normaliserade data.

För närvarande stöder ASIM följande inbyggda normaliserade tabeller som mål för inmatningstidsnormalisering:

Mer information finns i Inmatningstidsnormalisering.

Innehåll för varje normaliserat schema

Innehåll som använder ASIM innehåller lösningar, analysregler, arbetsböcker, jaktfrågor med mera. Innehåll för varje normaliserat schema fungerar på normaliserade data utan att behöva skapa källspecifikt innehåll.

Mer information finns i ASIM-innehåll.

Komma igång med ASIM

Så här börjar du använda ASIM:

Nästa steg

Den här artikeln innehåller en översikt över normalisering i Microsoft Sentinel och ASIM.

Mer information finns i: