標準化與先進安全資訊模型 (ASIM)

Microsoft Sentinel 會從多個來源匯入資料。 同時處理各種資料型態和資料表，需要你理解它們，並為每種類型或結構撰寫與使用獨特的分析規則、工作簿和搜尋查詢。

有時候，即使資料類型有共通元素，例如防火牆裝置，你仍需要獨立的規則、工作簿和查詢。 在調查與搜尋過程中，將不同類型的資料相互關聯也可能具有挑戰性。

ASIM (先進安全資訊模型) 是位於這些多元來源與使用者之間的一層。 ASIM 遵循穩健性原則：「對你所發送的內容要嚴格，接受的內容要有彈性」。 ASIM 以穩健性原則作為設計模式，將 Microsoft Sentinel 收集的專有原始遙測數據轉換為使用者友善的資料，以促進交換與整合。

本文概述了 ASIM) (先進安全資訊模型、其使用案例及主要組件。

提示

也可以觀看 ASIM網路研討會 或複習研討會 簡報。

常見的 ASIM 使用

ASIM 透過以下功能，提供以統一且正規化視圖處理各種來源的無縫體驗：

• 交叉源偵測。 標準化分析規則跨來源、本地端與雲端運作，能偵測暴力破解或跨系統（包括 Okta、AWS 與 Azure）的不可能旅行等攻擊。

• 來源為中立內容。 使用ASIM的內建與自訂內容涵蓋範圍會自動擴展至任何支援ASIM的來源，即使該來源是在內容建立後才加入的。 例如，流程事件分析支援客戶可能用來導入資料的任何來源，例如適用於端點的 Microsoft Defender、Windows 事件及 Sysmon。

• 內建分析支援您的自訂來源

• 容易使用。 分析師學會 ASIM 後，寫查詢會簡單許多，因為欄位名稱總是相同。

ASIM 與開源安全事件元資料

ASIM 與 OSSEM (開源安全事件元資料) 通用資訊模型相符，允許在正規化資料表間實現可預測的實體關聯。

OSSEM 是一個由社群主導的專案，主要專注於來自不同資料來源與作業系統的安全事件日誌文件化與標準化。 該專案同時提供一個通用資訊模型 (CIM) ，供資料工程師在資料正規化過程中使用，讓安全分析師能查詢並分析跨多元資料來源的資料。

欲了解更多資訊，請參閱 OSSEM參考文件。

ASIM 元件

下圖展示了如何將非正規化資料轉換成正規化內容，並用於 Microsoft Sentinel。 例如，你可以從一個自訂、針對產品、未正規化的表格開始，然後用解析器和正規化結構將該表格轉換成正規化資料。 在 Microsoft 和自訂分析、規則、工作簿、查詢等多種工具中，使用你正規化的資料。

ASIM 包含以下組件：

正規化結構

正規化結構涵蓋了標準的可預測事件類型，這些類型在建構統一能力時可以使用。 每個結構定義代表事件的欄位、標準化的欄位命名慣例，以及欄位值的標準格式。

ASIM 目前定義了以下結構結構：

• 警報事件
• 審核事件
• 認證事件
• DHCP 活動
• DNS 活動
• 檔案活動
• 網路會議
• 流程事件
• 登記處活動
• 使用者管理
• 網路會議

欲了解更多資訊，請參閱 ASIM 結構。

查詢時間解析器

ASIM 使用查詢時間解析器，利用 KQL 函式將現有資料映射到正規化結構。 許多 ASIM 解析器在 Microsoft Sentinel 中可直接使用。 更多解析器，以及可修改的內建解析器版本可從 Microsoft Sentinel GitHub 倉庫部署。

欲了解更多資訊，請參閱 ASIM 解析器。

導入時間正規化

查詢時間解析器有許多優點：

• 它們不需修改資料，因此保留原始格式。
• 由於它們不修改資料本身，而是呈現資料的視圖，因此開發起來容易。 開發、測試和修復解析器都可以在現有資料上完成。 此外，當發現問題時，解析器可以被修復，且修正會套用到現有資料。

另一方面，雖然 ASIM 解析器有優化，但查詢時間解析可能會拖慢查詢速度，尤其是在大型資料集上。 為了解決這個問題，Microsoft Sentinel 補充了查詢時間解析與 inest time 解析。 透過 inest 轉換，事件會被正規化為正規化資料表，加速使用正規化資料的查詢。

目前，ASIM 支援以下原生正規化表格作為導入時間正規化的目的地：

• ASimAuditEventLogs 用於 審計事件 結構。
• ASimAuthenticationEventLogs 用於 認證 架構。
• 用於 DHCP 事件結構的 ASimDhcpEventLogs。
• ASimDnsActivityLogs 用於 DNS 架構。
• ASimFileEventLogs 用於 檔案事件 結構。
• ASimNetworkSessionLogs 用於 網路會話 架構。
• ASimProcessEventLogs 用於 程序事件 結構。
• ASimRegistryEventLogs 用於 登錄檔事件 結構。
• ASimUserManagementActivityLogs 用於 使用者管理 結構。
• ASimWebSessionLogs 用於 網頁會話 結構。

欲了解更多資訊，請參閱 「Ingest Time Normalization」。

每個正規化結構的內容

使用 ASIM 的內容包括解決方案、分析規則、工作簿、搜尋查詢等。 每個正規化結構的內容都能在任何正規化資料上運作，無需建立特定來源內容。

欲了解更多資訊，請參閱 ASIM 內容。

開始使用 ASIM

開始使用 ASIM 的方法：

• 部署基於 ASIM 的網域解決方案，例如 Network Threat Protection Essentials 網域解決方案。

• 啟用使用 ASIM 的分析規則範本。 欲了解更多資訊，請參閱 ASIM內容列表。

• 在 Microsoft Sentinel Logs 頁面查詢 KQL 日誌時，請使用 Microsoft Sentinel GitHub 倉庫的 ASIM 搜尋查詢。 欲了解更多資訊，請參閱 ASIM內容列表。

• 你可以自己寫分析規則，使用 ASIM 或 轉換現有的。

• 透過為自訂來源 撰寫解析器 並將其 加入 相關的來源無關解析器，讓你的自訂資料使用內建分析功能。

相關內容

本文概述了 Microsoft Sentinel 與 ASIM 中的正規化。

如需詳細資訊，請參閱：

• 觀看 ASIM網路研討會 或複習 投影片
• ASIM) 架構 (進階安全資訊模型
• ASIM) 解析器 (進階安全資訊模型
• ASIM) 內容 (進階安全資訊模型