Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM) (Genel önizleme)

Microsoft Sentinel, birçok kaynaktan veri alır. Çeşitli veri türleri ve tablolarla birlikte çalışmak için her birini anlamanız ve her tür veya şema için analiz kuralları, çalışma kitapları ve tehdit avcılığı sorguları için benzersiz veri kümeleri yazmanız ve kullanmanız gerekir.

Bazen, veri türleri güvenlik duvarı cihazları gibi ortak öğeleri paylaştığında bile ayrı kurallara, çalışma kitaplarına ve sorgulara ihtiyaç duyarsınız. Araştırma ve tehdit avcılığı sırasında farklı veri türleri arasında bağıntıda bulunılması da zor olabilir.

Gelişmiş Güvenlik Bilgileri Modeli (ASIM), bu farklı kaynaklar ve kullanıcı arasında yer alan bir katmandır. ASIM , sağlamlık ilkesini izler: "Gönderdiğiniz işte katı olun, kabul ettiğiniz şeyde esnek olun". Tasarım deseni olarak sağlamlık ilkesini kullanan ASIM, Microsoft Sentinel tarafından toplanan özel kaynak telemetri verilerini, değişim ve tümleştirmeyi kolaylaştırmak için kullanıcı dostu verilere dönüştürür.

Bu makalede Gelişmiş Güvenlik Bilgi Modeli 'ne (ASIM), kullanım örneklerine ve ana bileşenlere genel bir bakış sağlanmaktadır. Diğer ayrıntılar için sonraki adımlar bölümüne bakın.

İpucu

Ayrıca ASIM Web seminerini watch veya web semineri slaytlarını gözden geçirin.

Önemli

ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Yaygın ASIM kullanımı

ASIM, aşağıdaki işlevleri sağlayarak çeşitli kaynakları tekdüzen, normalleştirilmiş görünümlerde işlemek için sorunsuz bir deneyim sağlar:

• Kaynaklar arası algılama. Normalleştirilmiş analiz kuralları kaynaklar, şirket içi ve bulut genelinde çalışır ve Okta, AWS ve Azure gibi sistemler arasında deneme yanılma veya imkansız seyahat gibi saldırıları algılar.

• Kaynak belirsiz içerik. ASIM kullanan hem yerleşik hem de özel içeriğin kapsamı, kaynak oluşturulduktan sonra eklenmiş olsa bile ASIM'i destekleyen herhangi bir kaynağa otomatik olarak genişletir. Örneğin, işlem olay analizi müşterinin verileri getirmek için kullanabileceği Uç Nokta için Microsoft Defender, Windows Olayları ve Sysmon gibi kaynakları destekler.

• Yerleşik analizde özel kaynaklarınız için destek

• Kullanım kolaylığı. Bir analist ASIM'i öğrendikte, alan adları her zaman aynı olduğundan sorgu yazmak çok daha basittir.

ASIM ve Açık Kaynak Güvenlik Olayları Meta Verileri

ASIM , Açık Kaynak Güvenlik Olayları Meta Verileri (OSSEM) ortak bilgi modeliyle uyumlu hale gelir ve normalleştirilmiş tablolar arasında tahmin edilebilir varlıklar bağıntısına olanak tanır.

OSSEM, öncelikle farklı veri kaynakları ve işletim sistemlerinden gelen güvenlik olay günlüklerinin belgelerine ve standartlaştırılmasına odaklanan topluluk tarafından yönetilen bir projedir. Proje ayrıca güvenlik analistlerinin farklı veri kaynaklarındaki verileri sorgulamasına ve çözümlemesine olanak sağlamak için veri normalleştirme yordamları sırasında veri mühendisleri için kullanılabilecek bir Ortak Bilgi Modeli (CIM) sağlar.

Daha fazla bilgi için OSSEM başvuru belgelerine bakın.

ASIM bileşenleri

Aşağıdaki görüntüde normalleştirilmemiş verilerin normalleştirilmiş içeriğe nasıl çevrilebileceği ve Microsoft Sentinel'de nasıl kullanılacağı gösterilmektedir. Örneğin, özel, ürüne özgü, normalleştirilmemiş bir tabloyla başlayabilir ve bu tabloyu normalleştirilmiş verilere dönüştürmek için ayrıştırıcı ve normalleştirme şeması kullanabilirsiniz. Normalleştirilmiş verilerinizi hem Microsoft'ta hem de özel analizlerde, kurallarda, çalışma kitaplarında, sorgularda ve daha fazlasında kullanın.

ASIM aşağıdaki bileşenleri içerir:

Normalleştirilmiş şemalar

Normalleştirilmiş şemalar, birleşik yetenekler oluştururken kullanabileceğiniz tahmin edilebilir olay türlerinin standart kümelerini kapsar. Her şema bir olayı temsil eden alanları, normalleştirilmiş bir sütun adlandırma kuralını ve alan değerleri için standart biçimi tanımlar.

ASIM şu anda aşağıdaki şemaları tanımlar:

• Denetim Olayı
• Kimlik Doğrulama Olayı
• DHCP Etkinliği
• DNS Etkinliği
• Dosya Etkinliği
• Ağ Oturumu
• İşlem Olayı
• Kayıt Defteri Olayı
• Kullanıcı Yönetimi
• Web Oturumu

Daha fazla bilgi için bkz. ASIM şemaları.

Sorgu süresi ayrıştırıcıları

ASIM, KQL işlevlerini kullanarak mevcut verileri normalleştirilmiş şemalarla eşlemek için sorgu süresi ayrıştırıcılarını kullanır. Microsoft Sentinel ile birçok ASIM ayrıştırıcısı kullanıma hazırdır. Daha fazla ayrıştırıcı ve değiştirilebilen yerleşik ayrıştırıcıların sürümleri Microsoft Sentinel GitHub deposundan dağıtılabilir.

Daha fazla bilgi için, bkz. ASIM ayrıştırıcıları.

Alma süresi normalleştirme

Sorgu süresi ayrıştırıcılarının birçok avantajı vardır:

• Verilerin değiştirilmesini gerektirmezler, bu nedenle kaynak biçimi korurlar.
• Verileri değiştirmediklerinden, verilerin bir görünümünü sunduğundan, geliştirmeleri kolaydır. Ayrıştırıcı geliştirme, test etme ve düzeltme işlemleri mevcut veriler üzerinde gerçekleştirilebilir. Ayrıca, bir sorun bulunduğunda ayrıştırıcılar düzeltilebilir ve düzeltme mevcut verilere uygulanır.

Öte yandan ASIM ayrıştırıcıları iyileştirilirken, sorgu süresi ayrıştırma özellikle büyük veri kümelerinde sorguları yavaşlatabilir. Bu sorunu çözmek için Microsoft Sentinel, alma süresi ayrıştırma ile sorgu süresi ayrıştırmayı tamamlar. Alma dönüştürmesi kullanıldığında olaylar normalleştirilmiş tabloya normalleştirilir ve normalleştirilmiş verileri kullanan sorguları hızlandırılır.

ASIM şu anda alma süresi normalleştirmesi için hedef olarak aşağıdaki yerel normalleştirilmiş tabloları destekler:

• Denetim Olayı şeması için ASimAuditEventLogs.
• Kimlik Doğrulama şeması için ASimAuthenticationEventLogs.
• DNS şeması için ASimDnsActivityLogs.
• Ağ Oturumu şeması için ASimNetworkSessionLogs
• Web Oturumu şeması için ASimWebSessionLogs.

Daha fazla bilgi için bkz. Alma Süresi Normalleştirme.

Normalleştirilmiş her şema için içerik

ASIM kullanan içerik çözümler, analiz kuralları, çalışma kitapları, tehdit avcılığı sorguları ve daha fazlasını içerir. Her normalleştirilmiş şemanın içeriği, kaynağa özgü içerik oluşturmaya gerek kalmadan normalleştirilmiş veriler üzerinde çalışır.

Daha fazla bilgi için bkz. ASIM içeriği.

ASIM ile çalışmaya başlama

ASIM kullanmaya başlamak için:

• Network Threat Protection Essentials etki alanı çözümü gibi ASIM tabanlı bir etki alanı çözümü dağıtın.

• ASIM kullanan analiz kuralı şablonlarını etkinleştirin. Daha fazla bilgi için, bkz. asim içerik listesi.

• Microsoft Sentinel Günlükleri sayfasındaki KQL'deki günlükleri sorgularken Microsoft Sentinel GitHub deposundaki ASIM tehdit avcılığı sorgularını kullanın. Daha fazla bilgi için, bkz. asim içerik listesi.

• ASIM kullanarak kendi analiz kurallarınızı yazın veya mevcut kuralları dönüştürün.

• Özel kaynaklarınız için ayrıştırıcılar yazarak, bunları ilgili kaynak belirsiz ayrıştırıcısına ekleyerek özel verilerinizin yerleşik analiz kullanmasını sağlayın.

Sonraki adımlar

Bu makalede, Microsoft Sentinel ve ASIM'de normalleştirmeye genel bir bakış sağlanır.

Daha fazla bilgi için bkz.

• ASIM Web Semineri'ni izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği