Endre innhold for å bruke ASIM (Advanced Security Information Model)

Normalisert sikkerhetsinnhold i Microsoft Sentinel omfatter analyseregler, jaktspørringer og arbeidsbøker som fungerer med samlende normaliseringsanalyser.

Du kan finne normalisert, forhåndsdefinert innhold i Microsoft Sentinel gallerier og løsninger, opprette ditt eget normaliserte innhold eller endre eksisterende, egendefinert innhold for å bruke normaliserte data.

Denne artikkelen forklarer hvordan du konverterer eksisterende Microsoft Sentinel analyseregler til å bruke normaliserte data med Advanced Security Information Model (ASIM).

Hvis du vil forstå hvordan normalisert innhold passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.

Tips

Se også nettseminaret Deep Dive på Microsoft Sentinel Normalisere analyser og normalisert innhold, eller se gjennom lysbildene. Hvis du vil ha mer informasjon, kan du se Neste trinn.

Endre egendefinert innhold for å bruke normalisering

Slik aktiverer du det egendefinerte Microsoft Sentinel innholdet til å bruke normalisering:

  • Endre spørringene til å bruke alle samlende analyser som er relevante for spørringen.

  • Endre feltnavn i spørringen for å bruke de normaliserte skjemafeltnavnene .

  • Når det er aktuelt, endrer du betingelser for å bruke de normaliserte verdiene for feltene i spørringen.

Eksempel på normalisering for analyseregler

Vurder for eksempel at Sjelden-klienten er observert med dns-analytisk regel med høyt omvendt DNS-oppslag , som fungerer på DNS-hendelser som sendes av Infoblox DNS-servere:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

Følgende kode er den kilde-agnostiske versjonen, som bruker normalisering til å gi samme gjenkjenning for alle kilder som gir DNS-spørringshendelser. Følgende eksempel bruker innebygde ASIM-parsere:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Den normaliserte, kilde-agnostiske versjonen har følgende forskjeller:

  • De _Im_Dns eller imDnsnormaliserte parserne brukes i stedet for Infoblox-parseren.

  • De normaliserte parserne henter bare DNS-spørringshendelser, så det er ikke nødvendig å kontrollere hendelsestypen, som utført av where ProcessName =~ "named" and Log_Type =~ "client" i Infoblox-versjonen.

  • Feltet SrcIpAddr brukes i stedet Client_IPfor .

  • Parameterfiltrering for parser brukes for ResponseCodeName, noe som eliminerer behovet for en eksplisitt where setningsdel.

Obs!

Bortsett fra å støtte en normalisert DNS-kilde, er den normaliserte versjonen kortere og enklere å forstå.

Hvis skjemaet eller parserne ikke støtter filtreringsparametere, er endringene like, bortsett fra at filtreringsbetingelsene beholdes fra den opprinnelige spørringen. Eksempel:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Se mer informasjon om følgende elementer som brukes i eksemplene ovenfor, i Kusto-dokumentasjonen:

Hvis du vil ha mer informasjon om KQL, kan du se Oversikt over Kusto-spørringsspråk (KQL).

Andre ressurser:

Neste trinn

Denne artikkelen beskriver innholdet i Advanced Security Information Model (ASIM).

Hvis du vil ha mer informasjon, kan du se:

  • Last updated on