Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Sentinel inntar data fra mange kilder. Når du arbeider med ulike datatyper og tabeller sammen, må du forstå hver av dem, og skrive og bruke unike datasett for analyseregler, arbeidsbøker og jaktspørringer for hver type eller hvert skjema.
Noen ganger trenger du separate regler, arbeidsbøker og spørringer, selv når datatyper deler vanlige elementer, for eksempel brannmurenheter. Det kan også være utfordrende å forholde seg til ulike typer data under en undersøkelse og jakt.
Advanced Security Information Model (ASIM) er et lag som er plassert mellom disse forskjellige kildene og brukeren. ASIM følger robusthetsprinsippet: «Vær streng i det du sender, vær fleksibel i det du godtar». Ved hjelp av robusthetsprinsippet som utformingsmønster transformerer ASIM den proprietære kildetelemetrien som samles inn av Microsoft Sentinel til brukervennlige data for å legge til rette for utveksling og integrering.
Denne artikkelen gir en oversikt over ASIM (Advanced Security Information Model), brukstilfeller og hovedkomponenter.
Tips
Se også på ASIM-nettseminaret eller se gjennom nettseminarlysbildene.
Vanlig ASIM-bruk
ASIM gir en sømløs opplevelse for håndtering av ulike kilder i ensartede, normaliserte visninger ved å tilby følgende funksjonalitet:
Krysskildegjenkjenning. Normaliserte analyseregler fungerer på tvers av kilder, lokalt og i skyen, og oppdager angrep som rå kraft eller umulig reise på tvers av systemer, inkludert Okta, AWS og Azure.
Kildeagnostisk innhold. Dekningen av både innebygd og egendefinert innhold ved hjelp av ASIM utvides automatisk til alle kilder som støtter ASIM, selv om kilden ble lagt til etter at innholdet ble opprettet. Prosesshendelsesanalyse støtter for eksempel enhver kilde som en kunde kan bruke til å hente inn dataene, for eksempel Microsoft Defender for endepunkt, Windows-hendelser og Sysmon.
Støtte for egendefinerte kilder, i innebygd analyse
Brukervennlighet. Når en analytiker lærer ASIM, er det mye enklere å skrive spørringer fordi feltnavnene alltid er de samme.
ASIM og metadata for sikkerhetshendelser for åpen kilde
ASIM justeres etter den vanlige informasjonsmodellen Open Source Security Events Metadata (OSSEM), slik at forutsigbare enheter kan korrelasjon på tvers av normaliserte tabeller.
OSSEM er et fellesskapsledet prosjekt som hovedsakelig fokuserer på dokumentasjon og standardisering av sikkerhetshendelseslogger fra ulike datakilder og operativsystemer. Prosjektet tilbyr også en Cim (Common Information Model) som kan brukes for datateknikere under datanormaliseringsprosedyrer for å tillate sikkerhetsanalytikere å spørre og analysere data på tvers av ulike datakilder.
Hvis du vil ha mer informasjon, kan du se OSSEM-referansedokumentasjonen.
ASIM-komponenter
Bildet nedenfor viser hvordan ikke-normaliserte data kan oversettes til normalisert innhold og brukes i Microsoft Sentinel. Du kan for eksempel starte med en egendefinert, produktspesifikk, ikke-normalisert tabell, og bruke en parser og et normaliseringsskjema til å konvertere tabellen til normaliserte data. Bruk normaliserte data i både Microsoft og egendefinert analyse, regler, arbeidsbøker, spørringer og mer.
ASIM inkluderer følgende komponenter:
Normaliserte skjemaer
Normaliserte skjemaer dekker standardsett med forutsigbare hendelsestyper som du kan bruke når du bygger enhetlige funksjoner. Hvert skjema definerer feltene som representerer en hendelse, en normalisert kolonnenavnekonvensjon og et standardformat for feltverdiene.
ASIM definerer for øyeblikket følgende skjemaer:
- Varselhendelse
- Overvåkingshendelse
- Godkjenningshendelse
- DHCP-aktivitet
- DNS-aktivitet
- Filaktivitet
- Nettverksøkt
- Prosesshendelse
- Registerhendelse
- Brukeradministrasjon
- Webøkt
Hvis du vil ha mer informasjon, kan du se ASIM-skjemaer.
Spørringstidsanalyser
ASIM bruker spørringstidsparsere til å tilordne eksisterende data til de normaliserte skjemaene ved hjelp av KQL-funksjoner. Mange ASIM-analyser er tilgjengelige i boksen med Microsoft Sentinel. Flere analyser og versjoner av de innebygde parserne som kan endres, kan distribueres fra Microsoft Sentinel GitHub-repositoriet.
Hvis du vil ha mer informasjon, kan du se ASIM-analyser.
Inntakstidsnormalisering
Spørringstidsanalyser har mange fordeler:
- De krever ikke at dataene endres, og beholder derfor kildeformatet.
- Siden de ikke endrer dataene, men heller presenterer en visning av dataene, er de enkle å utvikle. Utvikling, testing og reparasjon av en analyse kan alle gjøres på eksisterende data. Analyser kan dessuten løses når et problem oppdages, og løsningen gjelder for eksisterende data.
På den annen side, mens ASIM-analyser er optimalisert, kan spørringstidsanalyse redusere spørringer, spesielt på store datasett. For å løse dette, Microsoft Sentinel utfyller spørringstidsanalyse med inntakstidsanalyse. Ved hjelp av inntakstransformasjon normaliseres hendelsene til normalisert tabell og akselererer spørringer som bruker normaliserte data.
ASIM støtter for øyeblikket følgende opprinnelige normaliserte tabeller som et mål for inntak av tidsnormalisering:
- ASimAuditEventLogs for skjemaet overvåkingshendelse .
- ASimAuthenticationEventLogs for godkjenningsskjemaet .
- ASimDhcpEventLogs for DHCP-hendelsesskjemaet .
- ASimDnsActivityLogs for DNS-skjemaet .
- ASimFileEventLogs for Filhendelse-skjemaet .
- ASimNetworkSessionLogs for nettverksøktskjemaet .
- ASimProcessEventLogs for Prosesshendelse-skjemaet .
- ASimRegistryEventLogs for registerhendelsesskjemaet .
- ASimUserManagementActivityLogs for brukerbehandlingsskjemaet .
- ASimWebSessionLogs for webøktskjemaet .
Hvis du vil ha mer informasjon, kan du se Inntakstidsnormalisering.
Innhold for hvert normaliserte skjema
Innhold som bruker ASIM, omfatter løsninger, analyseregler, arbeidsbøker, jaktspørringer og mer. Innhold for hvert normaliserte skjema fungerer på normaliserte data uten å måtte opprette kildesspesifikk innhold.
Hvis du vil ha mer informasjon, kan du se ASIM-innhold.
Komme i gang med ASIM
Slik begynner du å bruke ASIM:
Distribuer en ASIM-basert domeneløsning, for eksempel network Threat Protection Essentials-domeneløsningen .
Aktiver analyseregelmaler som bruker ASIM. Hvis du vil ha mer informasjon, kan du se ASIM-innholdslisten.
Bruk ASIM-jaktspørringer fra Microsoft Sentinel GitHub-repositoriet når du spør etter logger i KQL på Microsoft Sentinel Logger-siden. Hvis du vil ha mer informasjon, kan du se ASIM-innholdslisten.
Skriv dine egne analyseregler ved hjelp av ASIM, eller konverter eksisterende regler.
Aktiver de egendefinerte dataene til å bruke innebygd analyse ved å skrive analyser for de egendefinerte kildene og legge dem til i den relevante kildeagnostiske analysen.
Beslektet innhold
Denne artikkelen gir en oversikt over normalisering i Microsoft Sentinel og ASIM.
Hvis du vil ha mer informasjon, kan du se: