正規化和進階安全性資訊模型 （ASIM）

Microsoft Sentinel 會內嵌來自許多來源的資料。 您需要了解每一種各種資料類型和資料表，才能加以搭配使用，以及針對每種類型或結構描述撰寫及使用唯一資料集來分析規則、活頁簿和搜捕查詢。

有時候，即使資料類型共用常見的元素，例如防火牆裝置，您有時也需要個別的規則、活頁簿和查詢。 在調查和搜捕期間，使不同類型的資料相互關聯也可能是一大挑戰。

進階安全性資訊模型 (ASIM) 是位於這些多元來源與使用者之間的圖層。 ASIM 遵循 加強性準則 (英文)：「嚴格對待您傳送的內容，彈性對待您接受的內容」。 透過使用穩健性原則作為設計模式，ASIM 可將 Microsoft Sentinel 所收集的專有來源遙測資料轉換成易於使用的資料格式，以利進行交換和整合。

本文提供了進階安全性資訊模型 (ASIM)、其使用案例和主要元件的概觀。

秘訣

另請觀看 ASIM 網路研討會 (英文)，或檢閱網路研討會投影片 (英文)。

常見的 ASIM 使用方式

ASIM 提供順暢的體驗，可藉由提供下列功能，在一致化、正規化檢視中處理各種來源：

• 跨來源偵測。 正規化分析規則可跨來源、內部部署和雲端運作，並偵測暴力密碼破解攻擊或不可能移動跨系統的攻擊，包括 Okta、AWS 和 Azure。

• 來源無從驗證內容。 使用 ASIM 的內建和自訂內容涵蓋範圍會自動擴充至任何支援 ASIM 的來源，即使建立內容之後才新增來源也一樣。 例如，處理事件分析支援客戶可用來帶入資料的任何來源，例如適用於端點的 Microsoft Defender、Windows 事件和 Sysmon。

• 支援自訂來源、內建分析

• 容易使用。 在分析師了解 ASIM 之後，撰寫查詢會比較簡單，因為欄位名稱一律相同。

ASIM 和開放原始碼安全性事件中繼資料

ASIM 與 開放原始碼安全性事件中繼資料一致 (OSSEM) 通用訊息模型對應儲存，允許跨正規化資料表的可預測實體相互關聯。

OSSEM 是一個社群導向的專案，主要著重於來自各種資料來源和作業系統的安全性事件記錄檔文件和正規化。 此專案也提供通用訊息模型 (CIM)，其可用於資料工程師在資料正規化程序期間，讓安全性分析師查詢和分析各種資料來源的資料。

如需詳細資訊，請參閱 OSSEM 參考文件。

ASIM 元件

下圖顯示如何將非正規化資料轉譯成正規化內容，並在 Microsoft Sentinel 中使用。 例如，您可以從自訂、產品特定的非正規化資料表開始，並使用剖析器和正規化架構將該資料表轉換成正規化資料。 在 Microsoft 和自訂分析、規則、活頁簿、查詢等之中使用正規化資料。

ASIM 包括下列元件：

正規化結構描述

正規化結構描述涵蓋了在建置整合功能時您可使用的可預測事件種類的標準集合。 每個結構描述都會定義代表事件的欄位、正規化資料行命名慣例，以及域值的標準格式。

ASIM 目前定義了下列結構描述：

• 警示事件
• 稽核事件
• 驗證事件
• DHCP 活動
• DNS 活動
• 檔案活動
• 網路工作階段
• 處理事件
• 登錄事件
• 使用者管理
• Web 工作階段

如需詳細資訊，請參閱 ASIM 結構描述。

查詢時間剖析器

ASIM 會使用查詢時間剖析器，透過 KQL 函式將現有資料對應至標準化架構。 還有許多適用於 Microsoft Sentinel 的現成 ASIM 剖析器可用。 您可以從 Microsoft Sentinel GitHub 存放庫部署更多可修改的剖析器和內建剖析器版本。

如需詳細資訊，請參閱 ASIM 剖析器。

擷取時間正規化

查詢時間剖析器具有許多優點：

• 它們不需要修改資料，因此保留了來源格式。
• 因為它們不會修改資料，而是呈現資料的檢視，因此易於開發。 開發、測試和修正剖析器全都可以在現有資料上完成。 此外，當發現問題時，可以修正剖析器，而修正程式會套用至現有的資料。

另一方面，雖然 ASIM 剖析器已最佳化，但查詢時間剖析可能會讓查詢變慢，特別是在大型資料集上。 為了解決這個問題，Microsoft Sentinel 會透過擷取時間剖析來補充查詢時間剖析。 透過使用擷取轉換，事件會被正規化到正規化表中，從而加速使用正規化資料的查詢。

目前，ASIM 支援下列原生正規化資料表作為擷取時間正規化的目的地：

• ASimAuditEventLogs 用於稽核事件結構描述。
• ASimAuthenticationEventLogs，用於驗證結構描述。
• ASimDhcpEventLogs，用於 DHCP 事件結構描述。
• ASimDnsActivityLogs 用於 DNS 結構描述。
• ASimFileEventLogs，用於檔案事件結構描述。
• ASimNetworkSessionLogs，用於網路工作階段結構描述。
• ASimProcessEventLogs 用於 Process 事件 架構。
• ASimRegistryEventLogs 用於 登錄事件 架構。
• ASimUserManagementActivityLogs，用於使用者管理結構描述。
• ASimWebSessionLogs 用來 Web 工作階段結構描述。

如需詳細資訊，請參閱擷取時間正規化 (部分機器翻譯)。

每個正規化結構描述的內容

使用 ASIM 的內容包括解決方案、分析規則、活頁簿、搜捕查詢等等。 每個正規化結構描述的內容都適用於任何正規化資料，無需建立來源特定內容。

如需詳細資訊，請參閱 ASIM 內容。

開始使用 ASIM

若要開始使用 ASIM：

• 部署 ASIM 型網域解決方案，例如網路威脅防護 Essentials 網域解決方案。

• 啟用使用 ASIM 的分析規則範本。 如需詳細資訊，請參閱 ASIM 內容清單。

• 在 Microsoft Sentinel 記錄頁面查詢 KQL 中的記錄時，使用 Microsoft Sentinel GitHub 存放庫中的 ASIM 搜捕查詢。 如需詳細資訊，請參閱 ASIM 內容清單。

• 使用 ASIM 撰寫您自己的分析規則，或轉換現有的分析規則。

• 為您的自訂來源撰寫剖析器，並將其新增至相關的來源無從驗證剖析器，以用於內建分析。

相關內容

本文提供 Microsoft Sentinel 和 ASIM 中的標準化概觀。

如需詳細資訊，請參閱

• 觀看 ASIM 網路研討會 或檢閱投影片
• 進階安全性資訊模型 (ASIM) 結構描述
• 進階安全性資訊模型 (ASIM) 剖析器
• 進階安全性資訊模型 (ASIM) 內容