分享方式:


適用於 Microsoft Sentinel 的進階安全性資訊模型 (ASIM) 型領域解決方案 (預覽)

Microsoft 基本解決方案是由 Microsoft for Microsoft Sentinel 發佈的網域解決方案。 這些解決方案具有現用的內容,可針對網路等特定類別,跨多個產品運作。 其中一些基本解決方案會使用標準化技術進階安全性資訊模型 (ASIM) 在查詢時間或擷取時間將數據正規化。

重要

Microsoft 基本解決方案和網路會話基本解決方案目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

為何使用以 ASIM 為基礎的 Microsoft 基本解決方案?

當網域類別中的多個解決方案共用類似的偵測模式時,在 ASIM 之類的正規化架構下擷取數據是合理的。 基本解決方案會使用此 ASIM 架構大規模偵測威脅。

在內容中樞中,不同網域類別有多個產品解決方案,例如「安全性 - 網路」。 例如,Azure 防火牆、Palo Alto 防火牆和 Corelight 都有「安全性 - 網路」網域類別的產品解決方案。

  • 根據設計,這些解決方案有不同的數據內嵌元件。 但相同網域類別內的分析、搜捕、活頁簿和其他內容有某種模式。
  • 大部分的主要網路產品都有一組常見的基本防火牆警示,其中包含來自異常IP位址的惡意威脅。 一般而言,分析規則範本會針對產品解決方案的每個「安全性 - 網路」類別重複。 如果您正在執行多個網路產品,您必須個別檢查及設定多個分析規則,這效率不佳。 您也會針對每個已設定的規則取得警示,最後可能會造成警示疲勞。
  • 如果您有重複的搜捕查詢,則執行型搜捕模式的搜捕體驗可能較低。 這些重複的搜捕查詢也引進了威脅搜捕人員選取和執行類似查詢的效率低下。

基於下列原因,您可能會考慮 Microsoft 基本解決方案:

  • 標準化架構可讓您更輕鬆地查詢事件詳細數據。 您不需要記住類似記錄屬性的不同廠商語法。
  • 如果您不需要管理多個解決方案的內容,使用案例部署和事件處理會比較容易。
  • 合併的活頁簿檢視可讓您以高效能的 ASIM 剖析器提供更好的環境可見度和可能的查詢時間剖析。

支援的 ASIM 架構

基本概念解決方案目前橫跨 Sentinel 支援的下列不同 ASIM 架構:

  • 稽核事件
  • 驗證事件
  • DNS 活動
  • 檔案活動
  • 網路會話
  • 處理事件
  • Web 工作階段

如需詳細資訊,請參閱 進階安全性資訊模型 (ASIM) 架構

擷取時間正規化

擷取時間正規化結果可以擷取到下列正規化數據表:

如需詳細資訊,請參閱 擷取時間正規化

ASIM 型網域基本解決方案提供的內容

下表描述每個基本解決方案可用的內容類型。 針對某些特定使用案例,您可能也想要使用 Microsoft Sentinel 產品解決方案中可用的內容。

內容類型 description
分析規則 ASIM 型基本解決方案中可用的分析規則是泛型的,適合該網域的任何相依 Microsoft Sentinel 產品解決方案。 Microsoft Sentinel 產品解決方案可能有在分析規則中涵蓋的來源特定使用案例。 視您的環境需要啟用 Microsoft Sentinel 產品解決方案規則。
搜捕查詢 ASIM 型基本解決方案中提供的搜捕查詢是泛型的,非常適合從該網域的任何相依 Microsoft Sentinel 產品解決方案中尋找威脅。 Microsoft Sentinel 產品解決方案可能有現成可用的來源特定搜捕查詢。 視您的環境需要,使用 Microsoft Sentinel 產品解決方案的搜捕查詢。
劇本 ASIM 型基本解決方案預期會以每秒高事件處理數據。 當您有使用該數據量的內容時,可能會遇到一些效能影響,可能會導致載入活頁簿或查詢結果變慢。 若要解決此問題,摘要劇本會摘要來源記錄,並將資訊儲存到預先定義的數據表中。 啟用摘要劇本,以允許必要的解決方案查詢此數據表。

由於 Microsoft Sentinel 中的劇本是以建立個別資源的 Azure Logic Apps 內建的工作流程為基礎,因此可能會套用其他費用。 如需詳細資訊,請參閱 Azure Logic Apps 定價頁面。 其他費用也可能適用於摘要數據的儲存。
關注清單 以 ASIM 為基礎的基本解決方案會使用包含多個條件集的監看清單,以進行分析規則偵測和搜捕查詢。 關注清單可讓您執行下列工作:

- 使用數據過濾進行專注的監視。
- 在每個清單專案的搜捕和偵測之間切換。
- 將 [閾值類型] 設定為 [靜態] 以利用閾值型警示,而異常型警示則會從過去幾天的數據中學習(最多 14 天)。
- 針對個別清單專案使用此關注清單來修改 警示名稱描述策略嚴重性
- 將 [嚴重性] 設定[已停用] 來停用偵測。
活頁簿 以 ASIM 為基礎的基本解決方案提供的活頁簿,提供相依網域中發生之不同事件和活動的合併檢視。 由於此活頁簿會從大量數據擷取結果,因此可能會有一些效能延遲。 如果您遇到效能問題,請使用摘要劇本。

這些基本解決方案,如其他 Microsoft Sentinel 網域解決方案沒有自己的連接器。 它們取決於 Microsoft Sentinel 產品解決方案中要提取記錄的來源特定連接器。 若要瞭解網域解決方案所支援的產品,請參閱每個 ASIM 網域基本解決方案清單的產品解決方案必要清單。 安裝一或多個產品解決方案。 設定數據連接器以符合基礎產品相依性需求,並啟用此網域解決方案內容的更佳使用方式。