Veri normalleştirmeyi anlama
Microsoft Sentinel birçok kaynaktan veri alır. Çeşitli veri türleri ve tablolarla birlikte çalışmak için bunların her birini anlamanız ve her tür veya şema için analiz kuralları, çalışma kitapları ve tehdit avcılığı sorguları için benzersiz veri kümeleri yazmanız ve kullanmanız gerekir.
Bazen, veri türleri güvenlik duvarı cihazları gibi ortak öğeleri paylaştığında bile ayrı kurallara, çalışma kitaplarına ve sorgulara ihtiyacınız olur. Araştırma ve tehdit avcılığı sırasında farklı veri türleri arasında bağıntı oluşturma da zor olabilir.
Gelişmiş Güvenlik Bilgileri Modeli (ASIM), bu farklı kaynaklar ile kullanıcı arasında yer alan bir katmandır. ASIM, sağlamlık ilkesini izler: "Gönderdiğiniz şeyde katı olun, kabul ettiğiniz şeyde esnek olun". Tasarım deseni olarak sağlamlık ilkesi kullanıldığında ASIM, Microsoft Sentinel'in tutarsız ve kullanımı zor kaynak telemetri verilerini kullanıcı dostu verilere dönüştürür.
Yaygın ASIM kullanımı
ASIM, aşağıdaki işlevleri sağlayarak çeşitli kaynakları tekdüzen, normalleştirilmiş görünümlerde işlemek için sorunsuz bir deneyim sağlar:
Çapraz kaynak algılama. Normalleştirilmiş analiz kuralları kaynaklar, şirket içi ve bulut genelinde çalışır ve Okta, AWS ve Azure gibi sistemler arasında deneme yanılma veya imkansız seyahat gibi saldırıları algılar.
Kaynak belirsiz içerik. ASIM kullanan hem yerleşik hem de özel içeriğin kapsamı, içerik oluşturulduktan sonra eklenmiş olsa bile ASIM'i destekleyen herhangi bir kaynağa otomatik olarak genişletir. Örneğin, işlem olay analizi müşterinin verileri getirmek için kullanabileceği Uç Nokta için Microsoft Defender, Windows Olayları ve Sysmon gibi kaynakları destekler.
Yerleşik analizde, özel kaynaklarınız için destek
Kullanım kolaylığı. Bir analist ASIM'i öğrendikte, alan adları her zaman aynı olduğundan sorgu yazmak daha kolaydır.
ASIM ve Açık Kaynak Güvenlik Olayları Meta Verileri
ASIM, Açık Kaynak Güvenlik Olayları Meta Verileri (OSSEM) ortak bilgi modeliyle uyumlu hale gelir ve normalleştirilmiş tablolar arasında tahmin edilebilir varlıklar bağıntısına olanak tanır.
OSSEM, öncelikle çeşitli veri kaynaklarından ve işletim sistemlerinden gelen güvenlik olay günlüklerinin belgelerine ve standartlaştırılmasına odaklanan topluluk liderliğinde bir projedir. Proje ayrıca, güvenlik analistlerinin farklı veri kaynaklarındaki verileri sorgulamasına ve çözümlemesine olanak sağlamak üzere veri normalleştirme yordamları sırasında veri mühendisleri için kullanılabilecek bir Ortak Bilgi Modeli (CIM) sağlar.
ASIM bileşenleri
Aşağıdaki görüntüde normalleştirilmemiş verilerin normalleştirilmiş içeriğe nasıl çevrilebileceği ve Microsoft Sentinel'de nasıl kullanılacağı gösterilmektedir. Örneğin, özel, ürüne özgü, normalleştirilmemiş bir tabloyla başlayabilir ve bu tabloyu normalleştirilmiş verilere dönüştürmek için ayrıştırıcı ve normalleştirme şeması kullanabilirsiniz. Normalleştirilmiş verilerinizi hem Microsoft'ta hem de özel analizlerde, kurallarda, çalışma kitaplarında, sorgularda ve daha fazlasında kullanın.
ASIM aşağıdaki bileşenleri içerir:
| Bileşen | Açıklama |
|---|---|
| Normalleştirilmiş şemalar | Birleşik özellikler oluştururken kullanabileceğiniz tahmin edilebilir olay türlerinin standart kümelerini kapsar. Her şema bir olayı temsil eden alanları, normalleştirilmiş bir sütun adlandırma kuralını ve alan değerleri için standart biçimi tanımlar. |
| Çözümleyiciler | KQL işlevlerini kullanarak mevcut verileri normalleştirilmiş şemalarla eşleyin. Microsoft Sentinel ile birçok ASIM ayrıştırıcısı kullanıma hazırdır. Daha fazla ayrıştırıcı ve değiştirilebilen yerleşik ayrıştırıcıların sürümleri Microsoft Sentinel GitHub deposundan dağıtılabilir. |
| Normalleştirilmiş her şema için içerik | Analiz kurallarını, çalışma kitaplarını, avlanma sorgularını ve daha fazlasını içerir. Her normalleştirilmiş şemanın içeriği, kaynağa özgü içerik oluşturmaya gerek kalmadan normalleştirilmiş veriler üzerinde çalışır. |
ASIM terminolojisi
ASIM aşağıdaki terimleri kullanır:
| Süre | Açıklama |
|---|---|
| Raporlama cihazı | Kayıtları Microsoft Sentinel'e gönderen sistem. Bu sistem, gönderilen kaydın konu sistemi olmayabilir. |
| Kayıt | Raporlama cihazından gönderilen bir veri birimi. Kayıt genellikle günlük, olay veya uyarı olarak adlandırılır, ancak diğer veri türleri de olabilir. |
| İçerik veya İçerik Öğesi | Microsoft Sentinel ile kullanılabilecek farklı, özelleştirilebilir veya kullanıcı tarafından oluşturulan yapıtlar. Bu yapıtlar arasında Analiz kuralları, Avcılık sorguları ve çalışma kitapları yer alır. İçerik öğesi böyle bir yapıttır. |
ASIM Ayrıştırıcılarını Görüntüle
Microsoft Sentinel ortamınızda ASIM işlevlerini görüntülemek için.
- Azure portalında Microsoft Sentinel çalışma alanınıza gidin
- Sol gezinti bölmesinden Günlükler'i seçin
- Sol taraftaki şema ve filtre bölmesini genişletin (gerekirse tüm araçları göstermek için üç noktayı kullanın)
- İşlevler'i seçin
- Microsoft Sentinel'i genişletme
ASim ve Im ile başlayan işlevleri görürsünüz.