İçeriği Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) kullanacak şekilde değiştirme

Microsoft Sentinel'daki normalleştirilmiş güvenlik içeriği analiz kurallarını, avcılık sorgularını ve normalleştirme ayrıştırıcılarını birleştiren çalışma kitaplarını içerir.

Microsoft Sentinel galerilerinde ve çözümlerinde normalleştirilmiş, kullanıma hazır içeriği bulabilir, kendi normalleştirilmiş içeriğinizi oluşturabilir veya mevcut özel içeriği normalleştirilmiş verileri kullanacak şekilde değiştirebilirsiniz.

Bu makalede, Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ile normalleştirilmiş verileri kullanmak için mevcut Microsoft Sentinel analiz kurallarının nasıl dönüştürüldüğü açıklanır.

Normalleştirilmiş içeriğin ASIM mimarisine nasıl uyduğunu anlamak için ASIM mimari diyagramına bakın.

İpucu

Ayrıca Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme Microsoft Sentinel ayrıntılı bakış web seminerini izleyin veya slaytları gözden geçirin. Daha fazla bilgi için bkz. Sonraki adımlar.

Normalleştirmeyi kullanmak için özel içeriği değiştirme

Özel Microsoft Sentinel içeriğinizin normalleştirmeyi kullanmasını sağlamak için:

• Sorgunuzla ilgili tüm birleştirici ayrıştırıcıları kullanmak için sorgularınızı değiştirin.

• Normalleştirilmiş şema alan adlarını kullanmak için sorgunuzdaki alan adlarını değiştirin.

• Uygun olduğunda, koşulları sorgunuzdaki alanların normalleştirilmiş değerlerini kullanacak şekilde değiştirin.

Analiz kuralları için örnek normalleştirme

Örneğin, Infoblox DNS sunucuları tarafından gönderilen DNS olaylarında çalışan yüksek ters DNS arama sayısı DNS analiz kuralıyla gözlemlenen Nadir istemciyi göz önünde bulundurun:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

Aşağıdaki kod, DNS sorgu olayları sağlayan herhangi bir kaynak için aynı algılamayı sağlamak üzere normalleştirmeyi kullanan kaynak-belirsiz sürümüdür. Aşağıdaki örnekte yerleşik ASIM ayrıştırıcıları kullanılır:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Normalleştirilmiş, kaynak belirsiz sürümü aşağıdaki farklılıklara sahiptir:

• _Im_Dns Infoblox Ayrıştırıcısı yerine veya imDnsnormalleştirilmiş ayrıştırıcılar kullanılır.

• Normalleştirilmiş ayrıştırıcılar yalnızca DNS sorgu olaylarını getirir, bu nedenle Infoblox sürümünde tarafından gerçekleştirilen where ProcessName =~ "named" and Log_Type =~ "client" olay türünü denetlemeye gerek yoktur.

• SrcIpAddr alanı yerine Client_IPkullanılır.

• Ayrıştırıcı parametre filtrelemesi ResponseCodeName için kullanılır ve bu da açık where yan tümceler gereksinimini ortadan kaldırır.

Not

Normalleştirilmiş DNS kaynaklarını desteklemenin dışında, normalleştirilmiş sürüm daha kısadır ve anlaşılması daha kolaydır.

Şema veya ayrıştırıcılar filtreleme parametrelerini desteklemiyorsa, filtreleme koşullarının özgün sorgudan saklanması dışında değişiklikler benzerdir. Örneğin:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgi için Kusto belgelerine bakın:

• let deyimi
• where işleci
• extend işleci
• join işleci
• summarize işleci
• isnotempty() işlevi
• count() toplama işlevi

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

• KQL hızlı başvurusu
• Kusto Sorgu Dili öğrenme kaynakları

Sonraki adımlar

Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) içeriği ele alınmaktadır.

Daha fazla bilgi için bkz.:

• Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme Microsoft Sentinel Ayrıntılı Bakış Web Seminerini izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği