Aracılığıyla paylaş

İçeriği Gelişmiş Güvenlik Bilgileri Modeli'ni (ASIM) kullanacak şekilde değiştirme

Microsoft Sentinel'de normalleştirilmiş güvenlik içeriği, birleştirici normalleştirme ayrıştırıcılarıyla çalışan analiz kurallarını, tehdit avcılığı sorgularını ve çalışma kitaplarını içerir.

Microsoft Sentinel galerilerinde ve çözümlerinde normalleştirilmiş, kullanıma hazır içeriği bulabilir, kendi normalleştirilmiş içeriğinizi oluşturabilir veya mevcut özel içeriği normalleştirilmiş verileri kullanacak şekilde değiştirebilirsiniz.

Bu makalede, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ile normalleştirilmiş verileri kullanmak için mevcut Microsoft Sentinel analiz kurallarının nasıl dönüştürüldüğü açıklanmaktadır.

Normalleştirilmiş içeriğin ASIM mimarisine nasıl uyduğunu anlamak için ASIM mimari diyagramına bakın.

İpucu

Ayrıca Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin. Daha fazla bilgi için bkz. Sonraki adımlar.

Normalleştirmeyi kullanmak için özel içeriği değiştirme

Özel Microsoft Sentinel içeriğinizin normalleştirmeyi kullanmasını sağlamak için:

Analiz kuralları için örnek normalleştirme

Örneğin, Infoblox DNS sunucuları tarafından gönderilen DNS olaylarında çalışan yüksek ters DNS arama sayısı DNS analiz kuralıyla gözlemlenen Nadir istemciyi göz önünde bulundurun:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

Aşağıdaki kod, DNS sorgu olayları sağlayan herhangi bir kaynak için aynı algılamayı sağlamak üzere normalleştirmeyi kullanan kaynak-bağımsız sürümdür. Aşağıdaki örnekte yerleşik ASIM ayrıştırıcıları kullanılır:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Normalleştirilmiş, kaynak agnostik sürümü aşağıdaki farklılıklara sahiptir:

  • _Im_Dns Infoblox Ayrıştırıcısı yerine veya imDnsnormalleştirilmiş ayrıştırıcılar kullanılır.

  • Normalleştirilmiş ayrıştırıcılar yalnızca DNS sorgu olaylarını getirir, bu nedenle Infoblox sürümünde tarafından gerçekleştirilen where ProcessName =~ "named" and Log_Type =~ "client" olay türünü denetlemeye gerek yoktur.

  • SrcIpAddr alanı yerine Client_IPkullanılır.

  • Ayrıştırıcı parametresi filtrelemesi, ResponseCodeName için kullanılır ve açık where yan tümcelere olan ihtiyacı ortadan kaldırır.

Not

Normalleştirilmiş DNS kaynaklarını desteklemenin dışında, normalleştirilmiş sürüm daha kısadır ve anlaşılması daha kolaydır.

Şema veya ayrıştırıcılar filtreleme parametrelerini desteklemiyorsa, filtreleme koşullarının özgün sorgudan saklanması dışında değişiklikler benzerdir. Örneğin:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

Sonraki adımlar

Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) içeriği ele alınmaktadır.

Daha fazla bilgi için bkz.

  • Last updated on