正規化和進階安全性資訊模型 (ASIM) (公開預覽)
Microsoft Sentinel 會內嵌來自許多來源的資料。 您需要了解每一種各種資料類型和資料表,才能加以搭配使用,以及針對每種類型或結構描述撰寫及使用唯一資料集來分析規則、活頁簿和搜捕查詢。
有時候,即使資料類型共用常見的元素,例如防火牆裝置,您有時也需要個別的規則、活頁簿和查詢。 在調查和搜捕期間,使不同類型的資料相互關聯也可能是一大挑戰。
進階安全性資訊模型 (ASIM) 是位於這些多元來源與使用者之間的圖層。 ASIM 遵循 加強性準則 (英文):「嚴格對待您傳送的內容,彈性對待您接受的內容」。 使用強固性準則作為設計模式,ASIM 會將 Microsoft Sentinel 收集的專屬來源遙測轉換為方便使用的資料,以利交換和整合。
本文提供使用案例和主要元件之進階安全性資訊模型 (ASIM) 的概觀。 如需詳細資訊,請參閱後續步驟一節。
提示
另請觀看 ASIM 網路研討會 (英文),或檢閱網路研討會投影片 (英文)。
重要
ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
常見的 ASIM 使用方式
ASIM 提供順暢的體驗,可藉由提供下列功能,在一致化、正規化檢視中處理各種來源:
跨來源偵測。 正規化分析規則可跨來源、內部部署和雲端運作,並偵測暴力密碼破解攻擊或不可能移動跨系統的攻擊,包括 Okta、AWS 和 Azure。
來源無從驗證內容。 使用 ASIM 的內建和自訂內容涵蓋範圍會自動擴充至任何支援 ASIM 的來源,即使建立內容之後才新增來源也一樣。 例如,處理事件分析支援客戶可用來帶入資料的任何來源,例如適用於端點的 Microsoft Defender、Windows 事件和 Sysmon。
支援自訂來源、內建分析
容易使用。 在分析師了解 ASIM 之後,撰寫查詢會比較簡單,因為欄位名稱一律相同。
ASIM 和開放原始碼安全性事件中繼資料
ASIM 與 開放原始碼安全性事件中繼資料一致 (OSSEM) 通用訊息模型對應儲存,允許跨正規化資料表的可預測實體相互關聯。
OSSEM 是一個社群導向的專案,主要著重於來自各種資料來源和作業系統的安全性事件記錄檔文件和正規化。 此專案也提供通用訊息模型 (CIM),其可用於資料工程師在資料正規化程序期間,讓安全性分析師查詢和分析各種資料來源的資料。
如需詳細資訊,請參閱 OSSEM 參考文件。
ASIM 元件
下圖顯示如何將非正規化資料轉譯成正規化內容,並在 Microsoft Sentinel 中使用。 例如,您可以從自訂、產品特定的非正規化資料表開始,並使用剖析器和正規化架構將該資料表轉換成正規化資料。 在 Microsoft 和自訂分析、規則、活頁簿、查詢等之中使用正規化資料。
ASIM 包括下列元件:
正規化結構描述
標準化架構涵蓋可在建置整合功能時使用的標準可預測事件種類集合。 每個結構描述都會定義代表事件的欄位、正規化資料行命名慣例,以及域值的標準格式。
ASIM 目前定義下列結構描述:
如需詳細資訊,請參閱 ASIM 結構描述。
查詢時間剖析器
ASIM 會使用查詢時間剖析器,透過 KQL 函式將現有資料對應至標準化架構。 還有許多適用於 Microsoft Sentinel 的現成 ASIM 剖析器可用。 您可以從 Microsoft Sentinel GitHub 存放庫部署更多可修改的剖析器和內建剖析器版本。
如需詳細資訊,請參閱 ASIM 剖析器。
擷取時間正規化
查詢時間剖析器有許多優點:
- 它們不需要修改資料,因此會保留來源格式。
- 因為它們不會修改資料,而是呈現資料的檢視,因此很容易開發。 開發、測試和修正剖析器全都可以在現有資料上完成。 此外,探索到問題時可以修正剖析器,而修正程式將套用至現有的資料。
另一方面,雖然 ASIM 剖析器已優化,但查詢時間剖析可能會讓查詢變慢,特別是在大型資料集上。 為了解決此問題,Microsoft Sentinel 會使用內嵌時間剖析來補充查詢時間剖析。 使用內嵌轉換,事件會正規化為標準化資料表,加速使用標準化資料的查詢。
目前,ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地:
- Audit 事件架構的ASimAuditEventLogs。
- 驗證架構的ASimAuthenticationEventLogs。
- DNS架構的ASimDnsActivityLogs。
- 網路會話架構的ASimNetworkSessionLogs
- Web會話架構的ASimWebSessionLogs。
如需詳細資訊,請參閱 擷取時間正規化。
每個正規化結構描述的內容
使用 ASIM 的內容包括解決方案、分析規則、活頁簿、搜捕查詢等等。 每個正規化結構描述的內容都適用於任何正規化資料,無需建立來源特定內容。
如需詳細資訊,請參閱 ASIM 內容。
開始使用 ASIM
若要開始使用 ASIM:
部署 ASIM 型網域解決方案,例如 網路威脅防護 Essentials 網域解決方案。
啟用使用 ASIM 的分析規則範本。 如需詳細資訊,請參閱 ASIM 內容清單。
在 Microsoft Sentinel 記錄頁面查詢 KQL 中的記錄時,使用 Microsoft Sentinel GitHub 存放庫中的 ASIM 搜捕查詢。 如需詳細資訊,請參閱 ASIM 內容清單。
使用 ASIM 撰寫您自己的分析規則,或轉換現有的分析規則。
下一步
本文提供 Microsoft Sentinel 和 ASIM 中的標準化概觀。
如需詳細資訊,請參閱