Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel ingere dados de várias origens. Trabalhar com vários tipos de dados e tabelas em conjunto requer que compreenda cada um deles e escreva e utilize conjuntos exclusivos de dados para regras de análise, livros e consultas de investigação para cada tipo ou esquema.
Por vezes, precisará de regras, livros e consultas separados, mesmo quando os tipos de dados partilham elementos comuns, como dispositivos de firewall. A correlação entre diferentes tipos de dados durante uma investigação e investigação também pode ser desafiante.
O Modelo de Informações de Segurança Avançada (ASIM) é uma camada localizada entre estas diversas origens e o utilizador. O ASIM segue o princípio de robustez: "Seja rigoroso naquilo que envia, seja flexível naquilo que aceitar". Ao utilizar o princípio de robustez como padrão de conceção, o ASIM transforma a telemetria de origem proprietária recolhida por Microsoft Sentinel para dados amigáveis para facilitar a troca e a integração.
Este artigo fornece uma descrição geral do Modelo de Informações de Segurança Avançada (ASIM), os casos de utilização e os componentes principais.
Sugestão
Veja também o Webinar do ASIM ou reveja os diapositivos do webinar.
Utilização comum do ASIM
O ASIM proporciona uma experiência totalmente integrada para processar várias origens em vistas uniformes e normalizadas, fornecendo as seguintes funcionalidades:
Deteção entre origens. As regras de análise normalizadas funcionam entre origens, no local e na cloud e detetam ataques como força bruta ou viagens impossíveis entre sistemas, incluindo Okta, AWS e Azure.
Conteúdo agnóstico de origem. A cobertura dos conteúdos incorporados e personalizados com o ASIM expande-se automaticamente para qualquer origem que suporte o ASIM, mesmo que a origem tenha sido adicionada após a criação do conteúdo. Por exemplo, a análise de eventos de processos suporta qualquer origem que um cliente possa utilizar para introduzir os dados, como Microsoft Defender para Endpoint, Eventos do Windows e Sysmon.
Suporte para as suas origens personalizadas, na análise incorporada
Facilidade de utilização. Depois de um analista aprender ASIM, escrever consultas é muito mais simples, pois os nomes dos campos são sempre os mesmos.
ASIM e os Metadados de Eventos de Segurança Open Source
O ASIM alinha-se com o modelo de informações comuns de Metadados de Eventos de Segurança de Open Source (OSSEM), permitindo a correlação de entidades previsíveis entre tabelas normalizadas.
O OSSEM é um projeto liderado pela comunidade que se foca principalmente na documentação e uniformização dos registos de eventos de segurança de diversas origens de dados e sistemas operativos. O projeto também fornece um Modelo de Informação Comum (CIM) que pode ser utilizado para engenheiros de dados durante os procedimentos de normalização de dados para permitir que os analistas de segurança consultem e analisem dados em diversas origens de dados.
Para obter mais informações, veja a documentação de referência do OSSEM.
Componentes ASIM
A imagem seguinte mostra como os dados não normalizados podem ser traduzidos em conteúdo normalizado e utilizados no Microsoft Sentinel. Por exemplo, pode começar com uma tabela personalizada, específica do produto e não normalizada e utilizar um analisador e um esquema de normalização para converter essa tabela em dados normalizados. Utilize os dados normalizados na Microsoft e em análises personalizadas, regras, livros, consultas e muito mais.
O ASIM inclui os seguintes componentes:
Esquemas normalizados
Os esquemas normalizados abrangem conjuntos padrão de tipos de evento previsíveis que pode utilizar ao criar capacidades unificadas. Cada esquema define os campos que representam um evento, uma convenção de nomenclatura de colunas normalizada e um formato padrão para os valores de campo.
Atualmente, o ASIM define os seguintes esquemas:
- Evento de Alerta
- Evento de Auditoria
- Evento de Autenticação
- Atividade DHCP
- Atividade DNS
- Atividade de Ficheiros
- Sessão de Rede
- Evento de Processo
- Evento de Registo
- Gestão de Utilizadores
- Sessão Web
Para obter mais informações, veja Esquemas ASIM.
Analisadores de tempo de consulta
O ASIM utiliza analisadores de tempo de consulta para mapear dados existentes para os esquemas normalizados com funções KQL. Muitos analisadores asim estão disponíveis fora da caixa com Microsoft Sentinel. Mais analisadores e versões dos analisadores incorporados que podem ser modificados podem ser implementados a partir do Microsoft Sentinel repositório do GitHub.
Para obter mais informações, veja Analisadores asIM.
Normalização do tempo de ingestão
Os analisadores de tempo de consulta têm muitas vantagens:
- Não necessitam que os dados sejam modificados, preservando assim o formato de origem.
- Uma vez que não modificam os dados, mas apresentam uma vista dos dados, são fáceis de desenvolver. O desenvolvimento, o teste e a correção de um analisador podem ser feitos em dados existentes. Além disso, os analisadores podem ser corrigidos quando um problema é detetado e a correção será aplicada aos dados existentes.
Por outro lado, enquanto os analisadores ASIM estão otimizados, a análise do tempo de consulta pode abrandar as consultas, especialmente em grandes conjuntos de dados. Para resolver este problema, Microsoft Sentinel complementa a análise do tempo de consulta com a análise do tempo de ingestão. Ao utilizar a transformação de ingestão, os eventos são normalizados para uma tabela normalizada, acelerando as consultas que utilizam dados normalizados.
Atualmente, o ASIM suporta as seguintes tabelas normalizadas nativas como destino para a normalização do tempo de ingestão:
- ASimAuditEventLogs para o esquema evento de auditoria .
- ASimAuthenticationEventLogs para o esquema de Autenticação .
- ASimDhcpEventLogs para o esquema de Evento DHCP .
- ASimDnsActivityLogs para o esquema DNS .
- ASimFileEventLogs para o esquema de Evento de Ficheiro .
- ASimNetworkSessionLogs para o esquema de Sessão de Rede .
- ASimProcessEventLogs para o esquema de Evento de Processo .
- ASimRegistryEventLogs para o esquema do Evento de Registo .
- ASimUserManagementActivityLogs para o esquema de Gestão de Utilizadores .
- ASimWebSessionLogs para o esquema de Sessão Web .
Para obter mais informações, veja Normalização da Hora da Ingestão.
Conteúdo para cada esquema normalizado
O conteúdo que utiliza o ASIM inclui soluções, regras de análise, livros, consultas de investigação e muito mais. O conteúdo para cada esquema normalizado funciona em quaisquer dados normalizados sem a necessidade de criar conteúdo específico da origem.
Para obter mais informações, veja Conteúdo ASIM.
Introdução ao ASIM
Para começar a utilizar o ASIM:
Implemente uma solução de domínio baseada em ASIM, como a solução de domínio do Network Threat Protection Essentials .
Ativar modelos de regras de análise que utilizam o ASIM. Para obter mais informações, veja a lista de conteúdos do ASIM.
Utilize as consultas de investigação do ASIM do Microsoft Sentinel repositório do GitHub ao consultar registos no KQL na página Registos do Microsoft Sentinel. Para obter mais informações, veja a lista de conteúdos do ASIM.
Escreva as suas próprias regras de análise com o ASIM ou converta as existentes.
Ative os seus dados personalizados para utilizar análises incorporadas ao escrever analisadores para as suas origens personalizadas e adicioná-los ao analisador agnóstico de origem relevante.
Conteúdos relacionados
Este artigo fornece uma descrição geral da normalização no Microsoft Sentinel e no ASIM.
Para mais informações, consulte: