Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras de análise, consultas de investigação e livros que funcionam com analisadores de normalização unificadores.
Pode encontrar conteúdos normalizados e inseridos em Microsoft Sentinel galerias e soluções, criar o seu próprio conteúdo normalizado ou modificar conteúdo personalizado existente para utilizar dados normalizados.
Este artigo explica como converter regras de análise de Microsoft Sentinel existentes para utilizar dados normalizados com o Modelo de Informações de Segurança Avançada (ASIM).
Para compreender como os conteúdos normalizados se enquadram na arquitetura ASIM, veja o diagrama de arquitetura ASIM.
Sugestão
Veja também o Webinar Deep Dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos. Para obter mais informações, veja Passos seguintes.
Modificar conteúdo personalizado para utilizar a normalização
Para ativar o conteúdo Microsoft Sentinel personalizado para utilizar a normalização:
Modifique as consultas para utilizar todos os analisadores unificadores relevantes para a consulta.
Modifique os nomes dos campos na consulta para utilizar os nomes de campos de esquema normalizados .
Quando aplicável, altere as condições para utilizar os valores normalizados dos campos na consulta.
Normalização de exemplo para regras de análise
Por exemplo, considere o cliente Raro observado com uma regra de análise DNS de contagem de pesquisa DNS inversa elevada , que funciona em eventos DNS enviados por servidores DNS do Infoblox:
let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP
O código seguinte é a versão agnóstica de origem, que utiliza a normalização para fornecer a mesma deteção para qualquer origem que forneça eventos de consulta DNS. O exemplo seguinte utiliza analisadores ASIM incorporados:
_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr
A versão normalizada e agnóstica de origem tem as seguintes diferenças:
Os
_Im_Dnsanalisadores normalizados ou sãoimDnsutilizados em vez do Analisador de Infoblox.Os analisadores normalizados obtêm apenas eventos de consulta DNS, pelo que não é necessário verificar o tipo de evento, conforme realizado pelo
where ProcessName =~ "named" and Log_Type =~ "client"na versão do Infoblox.O
SrcIpAddrcampo é utilizado em vez deClient_IP.A filtragem de parâmetros do analisador é utilizada para ResponseCodeName, eliminando a necessidade de cláusulas explícitas
where.
Nota
Além de suportar qualquer origem de DNS normalizada, a versão normalizada é mais curta e fácil de compreender.
Se o esquema ou os analisadores não suportarem parâmetros de filtragem, as alterações são semelhantes, exceto que as condições de filtragem são mantidas da consulta original. Por exemplo:
let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr
Veja mais informações sobre os seguintes itens utilizados nos exemplos anteriores, na documentação do Kusto:
- instrução let
- operador where
- operador extend
- operador de associação
- operador summarize
- função isnotempty()
- função de agregação count()
Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Pesquisa Kusto (KQL).
Outros recursos:
Passos seguintes
Este artigo aborda o conteúdo do Modelo de Informação de Segurança Avançada (ASIM).
Para mais informações, consulte:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Analisadores do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)