正規化和進階安全性資訊模型 （ASIM） （公開預覽）

Microsoft Sentinel 會從許多來源內嵌資料。 使用各種資料類型和資料表需要您瞭解每一個資料類型，並為每個類型或結構描述針對分析規則、活頁簿和搜捕查詢撰寫和使用唯一資料集。

有時候，即使資料類型具有共同元素，例如防火牆裝置，您有時也需要個別的規則、活頁簿和查詢。 在調查和搜捕期間，使不同類型的資料之間相互關聯也可能是一項挑戰。

進階安全性資訊模型 (ASIM) 是位於這些多個來源與使用者之間的層。 ASIM 遵循強固性原則：“在您傳送的內容中嚴格，在您接受的內容中具有彈性”。 使用強固性原則作為設計模式，ASIM 會將Microsoft Sentinel 所收集的專屬來源遙測轉換為方便交換和整合的用戶易記數據。

本文提供進階安全性資訊模型（ASIM）、其使用案例和主要元件的概觀。

提示

另請 觀看 ASIM 網路研討會 ，或檢閱 網路研討會投影片。

重要

ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

常見的 ASIM 使用方式

ASIM 提供下列功能，讓您擁有以統一、標準化的檢視處理各種來源的順暢體驗：

• 跨來源偵測。 標準化分析規則可在來源、內部部署和雲端之間運作，並偵測暴力密碼破解或不可能跨系統進行的攻擊，包括 Okta、AWS 和 Azure。

• 與來源無關的內容。 使用 ASIM 的內建和自訂內容涵蓋範圍會自動擴充至任何支援 ASIM 的來源，即使建立內容之後才新增的來源也一樣。 例如，處理事件分析支援客戶可用來帶入資料的任何來源，例如適用於端點的 Microsoft Defender、Windows 事件和 Sysmon。

• 自訂來源的支援在內建分析中

• 易於使用。 分析師瞭解 ASIM 之後，撰寫查詢會比較簡單，因為欄位名稱一律相同。

ASIM 與開放原始碼安全性事件中繼資料

ASIM 會與 開放原始碼安全性事件元數據 （OSSEM） 通用資訊模型一致，允許跨標準化數據表的可預測實體相互關聯。

OSSEM 是一個社群導向的專案，主要著重於各種資料來源和作業系統的安全性事件記錄的文件和標準化。 此專案也提供通用訊息模型l (CIM)，可用於資料工程師在資料正規化程序期間，讓安全性分析師查詢和分析各種資料來源的資料。

如需詳細資訊，請參閱 OSSEM 參考檔。

ASIM 元件

下圖顯示如何將非正規化資料轉譯成正規化內容，並在 Microsoft Sentinel 中使用。 例如，您可以從自訂、產品特定的非正規化資料表開始，使用剖析器和正規化結構描述將該資料表轉換成正規化資料。 在 Microsoft 和自訂分析、規則、活頁簿、查詢等中使用正規化資料。

A S I M 包含下列元件：

正規化結構描述

標準化架構涵蓋您在建置統一功能時可以使用的標準可預測事件類型集合。 每個結構描述都會定義代表事件的欄位、標準化的資料行命名慣例，以及欄位的標準格式。

ASIM 目前定義了下列結構描述：

• 稽核事件
• 驗證事件
• DHCP 活動
• DNS 活動
• 檔案活動
• 網路工作階段
• 處理事件
• 登錄事件
• 使用者管理
• Web 工作階段

如需詳細資訊，請參閱 ASIM 架構。

查詢時間剖析器

ASIM 會使用查詢時間剖析器，使用 KQL 函式將現有數據對應至標準化架構。 還有許多適用於 Microsoft Sentinel 的現成 ASIM 剖析器可用。 您可以從 Microsoft Sentinel GitHub 存放庫部署更多可修改的內建剖析器和版本。

如需詳細資訊，請參閱 ASIM 剖析器。

擷取時間正規化

查詢時間剖析器有許多優點：

• 它們不需要修改數據，因此會保留來源格式。
• 因為它們不會修改數據，而是呈現數據的檢視，因此很容易開發。 開發、測試和修正剖析器全都可以在現有資料上完成。 此外，當發現問題時，可以修正剖析器，而修正程式會套用至現有的資料。

另一方面，雖然 ASIM 剖析器已優化，但查詢時間剖析可能會讓查詢變慢，特別是在大型數據集上。 若要解決此問題，Microsoft Sentinel 補充查詢時間剖析與內嵌時間剖析。 使用內嵌轉換，事件會正規化為標準化數據表，加速使用標準化數據的查詢。

目前，ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地：

• 稽核事件結構描述的ASimAuditEventLogs。
• 驗證結構描述的ASimAuthenticationEventLogs。
• DNS 結構描述的 ASimDnsActivityLogs。
• 網路工作階段結構描述的ASimNetworkSessionLogs
• Web 工作階段結構描述的ASimWebSessionLogs。

如需詳細資訊，請參閱 擷取時間正規化。

每個正規化結構描述的內容

使用 ASIM 的內容包括解決方案、分析規則、活頁簿、搜捕查詢等等。 每個正規化結構描述的內容都適用於任何正規化資料，而不需要建立來源特定內容。

如需詳細資訊，請參閱 ASIM 內容。

開始使用 ASIM

若要開始使用 ASIM：

• 部署 ASIM 型網域解決方案，例如 網路威脅防護 Essentials 網域解決方案。

• 啟用使用 ASIM 的分析規則範本。 如需詳細資訊，請參閱 ASIM 內容清單。

• 在 [Microsoft Sentinel 記錄] 頁面中查詢 KQL 中的記錄時，請使用來自 Microsoft Sentinel GitHub 存放庫的 ASIM 搜捕查詢。 如需詳細資訊，請參閱 ASIM 內容清單。

• 使用 ASIM 撰寫您自己的分析規則，或 轉換現有的分析規則。

• 為您的自訂來源撰寫剖析器，並將其新增至相關的來源無從驗證剖析器，以用於內建分析。

相關內容

本文提供 Microsoft Sentinel 和 ASIM 中的標準化概觀。

如需詳細資訊，請參閱

• 觀看 ASIM 網路研討會 或檢閱 投影片
• 進階安全性資訊模型 (ASIM) 結構描述
• 進階安全性資訊模型 (ASIM) 剖析器
• 進階安全性資訊模型 (ASIM) 內容