Microsoft Sentinelは、多くのソースからデータを取り込みます。 さまざまなデータ型とテーブルを一緒に操作するには、それぞれのデータを理解し、分析ルール、ブック、および各型またはスキーマのハンティング クエリに一意のデータ セットを記述して使用する必要があります。
場合によっては、データ型がファイアウォール デバイスなどの共通要素を共有している場合でも、個別のルール、ブック、クエリが必要になることがあります。 調査中とハンティング中にさまざまな種類のデータを関連付けるのも困難な場合があります。
高度なセキュリティ情報モデル (ASIM) は、これらの多様なソースとユーザーの間に配置されるレイヤーです。 ASIM は 、堅牢性の原則に従います 。"送信するものに厳密に従い、受け入れる内容に柔軟に対応する"。 堅牢性の原則を設計パターンとして使用して、ASIM は、交換と統合を容易にするために、Microsoft Sentinelによって収集された独自のソース テレメトリをユーザー フレンドリ なデータに変換します。
この記事では、高度なセキュリティ情報モデル (ASIM)、そのユース ケース、および主要なコンポーネントの概要について説明します。
ヒント
また、ASIM ウェビナーを見るか、ウェビナー スライドを確認してください。
ASIM の一般的な使用方法
ASIM は、次の機能を提供することで、さまざまなソースを均一で正規化されたビューで処理するためのシームレスなエクスペリエンスを提供します。
クロス ソース検出。 正規化された分析ルールは、ソース、オンプレミス、クラウド間で機能し、ブルート フォースや Okta、AWS、Azureなどのシステム間の不可能な移動などの攻撃を検出します。
ソースに依存しないコンテンツ。 ASIM を使用した組み込みコンテンツとカスタム コンテンツの両方のカバレッジは、コンテンツの作成後にソースが追加された場合でも、ASIM をサポートするすべてのソースに自動的に拡張されます。 たとえば、プロセス イベント分析では、Microsoft Defender for Endpoint、Windows イベント、Sysmon など、お客様がデータを取り込む際に使用できるソースがサポートされます。
組み込みの分析でのカスタム ソースのサポート
使いやすさ。 アナリストが ASIM を学習した後は、フィールド名が常に同じであるため、クエリの記述がはるかに簡単になります。
ASIM とオープン ソースのセキュリティ イベント メタデータ
ASIM は 、オープン ソース セキュリティ イベント メタデータ (OSSEM) 共通情報モデルに合わせて調整され、正規化されたテーブル間の予測可能なエンティティの相関関係を可能にします。
OSSEM は、さまざまなデータ ソースとオペレーティング システムからのセキュリティ イベント ログのドキュメントと標準化に主に焦点を当てたコミュニティ主導のプロジェクトです。 また、このプロジェクトには、データ正規化手順中にデータ エンジニアに使用できる共通情報モデル (CIM) も用意されており、セキュリティ アナリストは、さまざまなデータ ソース間でデータのクエリと分析を行うことができます。
詳細については、 OSSEM リファレンス ドキュメントを参照してください。
ASIM コンポーネント
次の図は、正規化されていないデータを正規化されたコンテンツに変換し、Microsoft Sentinelで使用する方法を示しています。 たとえば、カスタムの製品固有の正規化されていないテーブルから開始し、パーサーと正規化スキーマを使用してそのテーブルを正規化されたデータに変換できます。 Microsoft とカスタム分析、ルール、ブック、クエリなどの両方で正規化されたデータを使用します。
ASIM には、次のコンポーネントが含まれています。
正規化されたスキーマ
正規化されたスキーマは、統合された機能を構築するときに使用できる予測可能なイベントの種類の標準セットをカバーします。 各スキーマは、イベントを表すフィールド、正規化された列の名前付け規則、およびフィールド値の標準形式を定義します。
ASIM では現在、次のスキーマが定義されています。
- アラート イベント
- 監査イベント
- 認証イベント
- DHCP アクティビティ
- DNS アクティビティ
- ファイル アクティビティ
- ネットワーク セッション
- プロセス イベント
- レジストリ イベント
- ユーザー管理
- Web セッション
詳細については、「 ASIM スキーマ」を参照してください。
クエリ時刻パーサー
ASIM では、クエリ時間パーサーを使用して、 KQL 関数を使用して、正規化されたスキーマに既存のデータをマップします。 多くの ASIM パーサーは、Microsoft Sentinelを使用してすぐに使用できます。 その他のパーサー、および変更可能な組み込みパーサーのバージョンは、Microsoft Sentinel GitHub リポジトリからデプロイできます。
詳細については、「 ASIM パーサー」を参照してください。
取り込み時間の正規化
クエリ時間パーサーには、次のような多くの利点があります。
- データを変更する必要がないため、ソース形式を保持します。
- データは変更されず、データのビューが表示されるため、開発が簡単です。 パーサーの開発、テスト、修正はすべて、既存のデータで行うことができます。 さらに、問題が検出され、修正プログラムが既存のデータに適用されると、パーサーを修正できます。
一方、ASIM パーサーは最適化されていますが、クエリ時間の解析では、特に大規模なデータ セットではクエリの速度が低下する可能性があります。 これを解決するために、Microsoft Sentinelは、取り込み時間解析によるクエリ時間の解析を補完します。 取り込み変換を使用すると、イベントは正規化されたテーブルに正規化され、正規化されたデータを使用するクエリが高速化されます。
現在、ASIM では、取り込み時間正規化の宛先として、次のネイティブ正規化テーブルがサポートされています。
- 監査イベント スキーマの ASimAuditEventLogs。
- 認証スキーマの ASimAuthenticationEventLogs。
- DHCP イベント スキーマの ASimDhcpEventLogs。
- DNS スキーマの ASimDnsActivityLogs。
- ファイル イベント スキーマの ASimFileEventLogs。
- ネットワーク セッション スキーマの ASimNetworkSessionLogs。
- プロセス イベント スキーマの ASimProcessEventLogs。
- レジストリ イベント スキーマの ASimRegistryEventLogs。
- ユーザー管理スキーマの ASimUserManagementActivityLogs。
- Web セッション スキーマの ASimWebSessionLogs。
詳細については、「 時間正規化の取り込み」を参照してください。
正規化された各スキーマのコンテンツ
ASIM を使用するコンテンツには、ソリューション、分析ルール、ブック、ハンティング クエリなどが含まれます。 正規化された各スキーマのコンテンツは、ソース固有のコンテンツを作成する必要なく、正規化されたデータに対して機能します。
詳細については、「 ASIM コンテンツ」を参照してください。
ASIM の概要
ASIM の使用を開始するには:
Network Threat Protection Essentials ドメイン ソリューションなどの ASIM ベースのドメイン ソリューションをデプロイします。
ASIM を使用する分析ルール テンプレートをアクティブ化します。 詳細については、 ASIM コンテンツの一覧を参照してください。
[Microsoft Sentinel ログ] ページで KQL のログに対してクエリを実行するときは、Microsoft Sentinel GitHub リポジトリからの ASIM ハンティング クエリを使用します。 詳細については、 ASIM コンテンツの一覧を参照してください。
ASIM を使用して独自の分析ルールを記述するか、 既存の分析ルールを変換します。
カスタム ソースの パーサーを記述 し、関連するソースに依存しないパーサーに 追加 することで、カスタム データで組み込みの分析を使用できるようにします。
関連コンテンツ
この記事では、Microsoft Sentinelと ASIM での正規化の概要について説明します。
詳細については、以下を参照してください: