修改内容以使用高级安全信息模型 (ASIM)

Microsoft Sentinel中的规范化安全内容包括分析规则、搜寻查询以及使用统一规范化分析器的工作簿。

可以在Microsoft Sentinel库和解决方案中找到规范化、现用的内容、创建自己的规范化内容，或修改现有自定义内容以使用规范化数据。

本文介绍如何将现有Microsoft Sentinel分析规则转换为将规范化数据与高级安全信息模型 (ASIM) 配合使用。

若要了解规范化内容如何适合 ASIM 体系结构，请参阅 ASIM 体系结构图。

提示

另请观看有关Microsoft Sentinel规范化分析器和规范化内容的深入探讨网络研讨会，或查看幻灯片。 有关详细信息，请参阅后续步骤。

修改自定义内容以使用规范化

若要使自定义Microsoft Sentinel内容使用规范化，

• 修改查询以使用与查询相关的任何 统一分析程序 。

• 修改查询中的字段名称以使用 规范化架构 字段名称。

• 如果适用，请更改条件以使用查询中字段的规范化值。

分析规则的示例规范化

例如，考虑使用 高反向 DNS 查找计数 DNS 分析规则观察到的稀有客户端 ，该规则适用于 Infoblox DNS 服务器发送的 DNS 事件：

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

以下代码是与源无关的版本，它使用规范化为提供 DNS 查询事件的任何源提供相同的检测。 以下示例使用内置的 ASIM 分析程序：

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

规范化、与源无关的版本具有以下差异：

• 使用 _Im_Dns 或 imDns规范化分析程序，而不是 Infoblox 分析器。

• 规范化分析程序仅提取 DNS 查询事件，因此无需像 Infoblox 版本中那样 where ProcessName =~ "named" and Log_Type =~ "client" 检查事件类型。

• 使用 SrcIpAddr 字段而不是 Client_IP。

• 分析器参数筛选用于 ResponseCodeName，无需显式 where 子句。

注意

除了支持任何规范化 DNS 源外，规范化版本更短且更易于理解。

如果架构或分析程序不支持筛选参数，则更改类似，只是筛选条件与原始查询保持一样。 例如：

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

请参阅 Kusto 文档中前面示例中使用的以下项的详细信息：

• let 语句
• where 运算符
• extend 运算符
• join 运算符
• summarize 运算符
• isnotempty () 函数
• count () 聚合函数

有关 KQL 的详细信息，请参阅 Kusto 查询语言 (KQL) 概述。

其他资源：

• KQL 快速参考
• Kusto 查询语言学习资源

后续步骤

本文讨论 ASIM) 内容 (高级安全信息模型。

有关更多信息，请参阅：

• 观看有关规范化分析器和规范化内容的Microsoft Sentinel深入探讨网络研讨会，或查看幻灯片
• 高级安全信息模型 (ASIM) 概述
• 高级安全信息模型 (ASIM) 分析程序
• (ASIM) 架构的高级安全信息模型
• (ASIM) 内容的高级安全信息模型