修改內容以使用進階安全性資訊模型 (ASIM) (公開預覽)

Microsoft Sentinel 中的正規化安全性內容包括分析規則、搜捕查詢，以及搭配統一正規化剖析器使用的活頁簿。

您可以在 Microsoft Sentinel 資源庫和解決方案中找到正規化的現成內容，建立您自己的正規化內容，或是修改現有的自訂內容以使用正規化資料。

本文說明如何轉換現有的 Microsoft Sentinel 分析規則，以使用正規化資料搭配進階安全性資訊模型 (ASIM)。

若要了解正規化內容如何放入 ASIM 架構，請參閱 ASIM 架構圖。

提示

另請觀看有關 Microsoft Sentinel 正規化剖析器和正規化內容的深入探討網路研討會，或檢閱投影片。 如需詳細資訊，請參閱後續步驟。

重要

ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

修改自訂內容以利用正規化

若要讓您的自訂 Microsoft Sentinel 內容能夠利用正規化：

• 修改查詢，以使用與查詢相關的任何統一剖析器。

• 修改查詢中的功能變數名稱，以使用正規化結構描述欄位名稱。

• 適時變更條件，以在查詢中使用欄位的正規化值。

分析規則的正規化範例

例如，請設想觀察到具有高反向 DNS 對應計數的罕見用戶端 DNS 分析規則，此規則適用於由 Infoblox DNS 伺服器傳送的 DNS 事件：

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

下列程式碼是來源無從驗證的版本，此程式碼利用正規化對提供 DNS 查詢事件的任何來源提供相同的偵測。 下列範例使用內建 ASIM 剖析器：

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

若要使用工作區部署的 ASIM 剖析器，請將第一行取代成下列程式碼：

imDns(responsecodename='NXDOMAIN')

內建剖析器和工作區部署剖析器之間的差異

上述範例中的兩個選項功能相同。 正規化、來源無從驗證的版本有下列差異：

• 使用 _Im_Dns 或 imDns 正規化剖析器，而不使用 Infoblox 剖析器。

• 標準化剖析器只會擷取 DNS 查詢事件，因此不需要像 Infoblox 版本中 where ProcessName =~ "named" and Log_Type =~ "client" 所執行的一樣，檢查事件種類。

• 使用 SrcIpAddr 欄位，而不使用 Client_IP。

• ResponseCodeName 使用剖析器參數篩選，免除必須使用明確的 where 子句。

注意

除了支援任何正規化 DNS 來源之外，正規化版本也較短且更容易了解。

如果結構描述或剖析器不支援篩選參數，則除了篩選條件會與原始查詢分開保留之外，變更很類似。 例如：

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

下一步

本文討論進階安全性資訊模型 (ASIM) 內容。

如需詳細資訊，請參閱

• 請觀看有關 Microsoft Sentinel 標準化剖析器和標準化內容的深入探討網路研討會，或檢閱投影片
• 進階安全性資訊模型 (ASIM) 概觀
• 進階安全性資訊模型 (ASIM) 剖析器
• 進階安全性資訊模型 (ASIM) 結構描述
• 進階安全性資訊模型 (ASIM) 內容