Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel tietojen käyttö useista lähteistä. Erilaisten tietotyyppien ja taulukoiden yhteiskäyttö edellyttää, että ymmärrät ne kaikki sekä kirjoitat ja käytät yksilöllisiä tietojoukkoja analytiikkasääntöjä, työkirjoja ja metsästyskyselyitä varten kullekin tyypille tai rakenteelle.
Joskus tarvitaan erilliset säännöt, työkirjat ja kyselyt, vaikka tietotyypeillä olisi yhteisiä elementtejä, kuten palomuurilaitteita. Myös erityyppisten tietojen korrelaatio tutkinnan ja metsästyksen aikana voi olla haastavaa.
ASIM (Advanced Security Information Model) on kerros, joka sijaitsee näiden erilaisten lähteiden ja käyttäjän välillä. ASIM noudattaa kestävyysperiaatetta: "Ole tarkka lähettämisissäsi, ole joustava sen suhteen, mitä hyväksyt". Käyttämällä rakennemallina kestävyysperiaatetta ASIM muuntaa Microsoft Sentinel keräämät lähdetelemetriatiedot käyttäjäystävällisiksi tietojen vaihdon ja integroinnin helpottamiseksi.
Tässä artikkelissa on yleiskatsaus ASIM-mallista, sen käyttötapauksista ja tärkeistä osista.
Vihje
Katso myös ASIM-verkkoseminaari tai lue verkkoseminaarin diat.
Yleinen ASIM-käyttö
ASIM tarjoaa saumattoman käyttökokemuksen erilaisten lähteiden käsittelyyn yhdenmukaisissa, normalisoituissa näkymissä tarjoamalla seuraavat toiminnot:
Ristilähdetunnistus. Normalisoidut analytiikkasäännöt toimivat eri lähteissä, paikallisesti ja pilvipalvelussa ja havaitsevat hyökkäyksiä, kuten raakaa voimaa tai mahdotonta matkustamista eri järjestelmissä, kuten Okta, AWS ja Azure.
Lähdeagnostinen sisältö. Asim-funktiota käyttävän sekä sisäänrakennetun että mukautetun sisällön kattavuus laajenee automaattisesti mihin tahansa LÄHTEESEEN, joka tukee ASIM:iä, vaikka lähde lisäisiin sisällön luomisen jälkeen. Esimerkiksi prosessitapahtumien analysointi tukee mitä tahansa lähdettä, jonka avulla asiakas voi tuoda tiedot, kuten Microsoft Defender for Endpoint, Windows-tapahtumat ja Sysmon.
Mukautettujen lähteiden tuki valmiissa analytiikassa
Käytön helppous. Kun analyytikko oppii ASIM:n, kyselyiden kirjoittaminen on paljon yksinkertaisempaa, koska kenttien nimet ovat aina samat.
ASIM-tiedot ja avoimen lähdekoodin suojaustapahtumien metatiedot
ASIM on linjassa avoimen lähdekoodin suojaustapahtumien metatietojen (OSSEM) yleisen tietomallin kanssa, mikä mahdollistaa ennustettavissa olevien entiteettien korrelaation normalisoitujen taulukoiden välillä.
OSSEM on yhteisöjohtoinen projekti, joka keskittyy ensisijaisesti eri tietolähteistä ja käyttöjärjestelmistä peräisin olevien suojaustapahtumien lokien dokumentointiin ja standardointiin. Projekti sisältää myös Yleisen tietomallin (CIM), jota voidaan käyttää tietoteknikoille tietojen normalisointimenettelyjen aikana, jotta tietoturva-analyytikot voivat kysellä ja analysoida tietoja eri tietolähteistä.
Lisätietoja on OSSEM-viitedokumentaatiossa.
ASIM-osat
Seuraavassa kuvassa näytetään, miten normalisoimattomat tiedot voidaan kääntää normalisoituun sisältöön ja käyttää Microsoft Sentinel. Voit esimerkiksi aloittaa mukautetulla, tuotekohtaisessa, normalisoimattomassa taulukossa ja käyttää jäsennintä ja normalisointirakennetta kyseisen taulukon muuntamiseksi normalisoiduiksi tiedoiksi. Käytä normalisoituja tietojasi sekä Microsoftissa että mukautetuissa analytiikassa, säännöissä, työkirjoissa, kyselyissä ja niin edelleen.
ASIM sisältää seuraavat osat:
Normalisoidut rakenteet
Normalisoidut rakenteet kattavat vakiojoukot ennakoitavia tapahtumatyyppejä, joita voit käyttää, kun luot yhtenäisiä ominaisuuksia. Jokainen rakenne määrittää tapahtumaa edustavat kentät, normalisoidun sarakkeen nimeämiskäytännön ja kenttien arvojen vakiomuodon.
ASIM määrittää tällä hetkellä seuraavat rakenteet:
- Ilmoitustapahtuma
- Valvontatapahtuma
- Todennustapahtuma
- DHCP-toiminta
- DNS-toiminta
- Tiedoston toiminta
- Verkkoistunto
- Prosessitapahtuma
- Rekisteritapahtuma
- Käyttäjien hallinta
- WWW-istunto
Lisätietoja on kohdassa ASIM-rakenteet.
Kyselyn aika jäsentäjät
ASIM käyttää kyselyajan jäsennystä olemassa olevien tietojen yhdistämiseen normalisoituihin rakenteisiin KQL-funktioiden avulla. Monet ASIM-jäsentimet ovat käytettävissä yhdessä Microsoft Sentinel kanssa. Lisää jäsentimiä ja muokattavien valmiiden jäsennysten versioita voidaan ottaa käyttöön Microsoft Sentinel GitHub-säilöstä.
Lisätietoja on kohdassa ASIM-jäsentimet.
Käyttöajan normalisointi
Kyselyajan jäsennyksillä on monia etuja:
- Ne eivät edellytä tietojen muokkaamista, joten lähdemuoto säilytetään.
- Koska ne eivät muokkaa tietoja vaan esittävät näkymän tiedoista, niitä on helppo kehittää. Jäsentimen kehittäminen, testaaminen ja korjaaminen voidaan kaikki tehdä olemassa oleville tiedoille. Lisäksi jäsentimet voidaan korjata, kun ongelma havaitaan ja korjaus koskee olemassa olevia tietoja.
Toisaalta ASIM-jäsennykset on optimoitu, mutta kyselyn ajan jäsentäminen voi hidastaa kyselyitä erityisesti suurissa tietojoukoissa. Voit ratkaista tämän Microsoft Sentinel täydentämällä kyselyaikaa jäsennysaika jäsennyksessä. Kun käytät käytettyä muunnoksia, tapahtumat normalisoidaan normalisoituun taulukkoon, mikä nopeuttaa kyselyitä, jotka käyttävät normalisoituja tietoja.
ASIM tukee tällä hetkellä seuraavia alkuperäisiä normalisoituja taulukoita kohdesijaintina ajan normalisointia varten:
- ASimAuditEventLogsvalvontatapahtuman rakenteelle.
- ASimAuthenticationEventLogstodennusmallille .
- DHCP-tapahtumarakenteenASimDhcpEventLogs.
- ASimDnsActivityLogs DNS-rakenteelle.
- ASimFileEventLogstiedostotapahtuman rakenteelle.
- ASimNetworkSessionLogsverkkoistunnon rakenteelle.
- ASimProcessEventLogsprosessitapahtuman rakenteelle.
- ASimRegistryEventLogsrekisteritapahtuman rakenteelle.
- ASimUserManagementActivityLogskäyttäjien hallinnan rakenteelle.
- ASimWebSessionLogsWWW-istunnon rakenteelle.
Lisätietoja on kohdassa Käyttöajan normalisointi.
Kunkin normalisoidun rakenteen sisältö
ASIM:iä käytava sisältö sisältää ratkaisuja, analytiikkasääntöjä, työkirjoja, metsästyskyselyitä ja paljon muuta. Kunkin normalisoidun rakenteen sisältö toimii normalisoiduissa tiedoissa ilman lähdekohtaisen sisällön luomista.
Lisätietoja on artikkelissa ASIM-sisältö.
ASIM:n käytön aloittaminen
ALOITA ASIM:n käyttö seuraavasti:
Ota käyttöön ASIM-pohjainen toimialueratkaisu, kuten Network Threat Protection Essentials -toimialueratkaisu.
Aktivoi analytiikan sääntömallit, jotka käyttävät ASIM:iä. Lisätietoja on ASIM-sisältöluettelossa.
Käytä ASIM-metsästyskyselyitä Microsoft Sentinel GitHub-säilöstä tehtäessä kyselyjä KQL:ssä Microsoft Sentinel Lokit -sivulla. Lisätietoja on ASIM-sisältöluettelossa.
Kirjoita omia analytiikkasääntöjäSI ASIM:n avulla tai muunna olemassa olevia sääntöjä.
Ota mukautetut tietosi käyttöön ja käytä sisäisiä analyyseja kirjoittamalla jäsennykset mukautettuihin lähteisiin ja lisäämällä ne asianmukaiseen lähdeagnostiseen jäsennykseen.
Aiheeseen liittyvä sisältö
Tässä artikkelissa on yleiskatsaus Microsoft Sentinel ja ASIM:n normalisointiin.
Lisätietoja on seuraavissa artikkeleissa: