规范化和高级安全信息模型 (ASIM)

Microsoft Sentinel从多个源引入数据。 结合使用各种数据类型和表需要了解每种数据类型和表，并为每种类型或架构的分析规则、工作簿和搜寻查询编写和使用唯一的数据集。

有时，即使数据类型共享通用元素（如防火墙设备），也需要单独的规则、工作簿和查询。 在调查和搜寻期间关联不同类型的数据也可能具有挑战性。

高级安全信息模型 (ASIM) 是位于这些不同源和用户之间的层。 ASIM 遵循稳健性原则：“严格执行所发送的内容，灵活处理所接受的内容”。 ASIM 使用稳健性原则作为设计模式，将Microsoft Sentinel收集的专有源遥测转换为用户友好的数据，以促进交换和集成。

本文概述了高级安全信息模型 (ASIM) 、其用例和主要组件。

常见 ASIM 用法

ASIM 通过提供以下功能，提供在统一规范化视图中处理各种源的无缝体验：

• 跨源检测。 规范化分析规则可跨源、本地和云运行，并检测暴力攻击或跨系统（包括 Okta、AWS 和Azure）无法移动等攻击。

• 源不可知的内容。 使用 ASIM 的内置内容和自定义内容的覆盖范围会自动扩展到支持 ASIM 的任何源，即使源是在创建内容后添加的。 例如，流程事件分析支持客户可用于引入数据的任何源，例如Microsoft Defender for Endpoint、Windows 事件和 Sysmon。

• 内置分析中对自定义源的支持

• 易于使用。 分析师了解 ASIM 后，编写查询要简单得多，因为字段名称始终相同。

ASIM 和开源安全事件元数据

ASIM 与 开源安全事件元数据 (OSSEM) 通用信息模型保持一致，允许跨规范化表实现可预测的实体关联。

OSSEM 是一个社区主导的项目，主要侧重于来自不同数据源和操作系统的安全事件日志的文档和标准化。 该项目还提供通用信息模型 (CIM) ，可在数据规范化过程中供数据工程师使用，使安全分析师能够跨不同数据源查询和分析数据。

有关详细信息，请参阅 OSSEM 参考文档。

ASIM 组件

下图显示了如何将非规范化数据转换为规范化内容并在Microsoft Sentinel中使用。 例如，可以从自定义的、特定于产品的非规范化表开始，并使用分析器和规范化架构将该表转换为规范化数据。 在Microsoft和自定义分析、规则、工作簿、查询等中使用规范化数据。

ASIM 包括以下组件：

规范化架构

规范化架构涵盖生成统一功能时可以使用的标准可预测事件类型集。 每个架构定义表示事件的字段、规范化列命名约定和字段值的标准格式。

ASIM 当前定义以下架构：

• 警报事件
• 审核事件
• 身份验证事件
• DHCP 活动
• DNS 活动
• 文件活动
• 网络会话
• 进程事件
• 注册表事件
• 用户管理
• Web 会话

有关详细信息，请参阅 ASIM 架构。

查询时间分析器

ASIM 使用查询时间分析器使用 KQL 函数将现有数据映射到规范化架构。 许多 ASIM 分析器现成可用，Microsoft Sentinel。 可以从 gitHub 存储库部署更多分析程序以及可修改的内置分析程序版本Microsoft Sentinel。

有关详细信息，请参阅 ASIM 分析程序。

引入时间规范化

查询时间分析器有许多优点：

• 它们不需要修改数据，从而保留源格式。
• 由于它们不会修改数据，而是提供数据视图，因此很容易开发。 开发、测试和修复分析程序都可以在现有数据上完成。 此外，当发现问题并且修复程序将应用于现有数据时，可以修复分析程序。

另一方面，虽然 ASIM 分析器已经过优化，但查询时间分析可能会减慢查询速度，尤其是在大型数据集上。 若要解决此问题，Microsoft Sentinel使用引入时间分析来补充查询时间分析。 使用引入转换将事件规范化为规范化表，从而加速使用规范化数据的查询。

目前，ASIM 支持将以下本机规范化表作为引入时间规范化的目标：

• 审核事件架构的 ASimAuditEventLogs。
• 用于身份验证架构的 ASimAuthenticationEventLogs。
• DHCP 事件架构的 ASimDhcpEventLogs。
• DNS 架构的 ASimDnsActivityLogs。
• 文件事件架构的 ASimFileEventLogs。
• 用于网络会话架构的 ASimNetworkSessionLogs。
• 进程事件架构的 ASimProcessEventLogs。
• 注册表事件架构的 ASimRegistryEventLogs。
• 用户管理架构的 ASimUserManagementActivityLogs。
• 适用于 Web 会话架构的 ASimWebSessionLogs。

有关详细信息，请参阅 引入时间规范化。

每个规范化架构的内容

使用 ASIM 的内容包括解决方案、分析规则、工作簿、搜寻查询等。 每个规范化架构的内容适用于任何规范化数据，而无需创建特定于源的内容。

有关详细信息，请参阅 ASIM 内容。

ASIM 入门

若要开始使用 ASIM，请执行以下操作：

• 部署基于 ASIM 的域解决方案，例如 网络威胁防护 Essentials 域解决方案。

• 激活使用 ASIM 的分析规则模板。 有关详细信息，请参阅 ASIM 内容列表。

• 在“Microsoft Sentinel日志”页中查询 KQL 中的日志时，请使用来自 Microsoft Sentinel GitHub 存储库的 ASIM 搜寻查询。 有关详细信息，请参阅 ASIM 内容列表。

• 使用 ASIM 编写自己的分析规则或 转换现有规则。

• 通过为自定义源 编写分析程序 并将其 添加到 相关的源不可知分析程序，使自定义数据能够使用内置分析。

相关内容

本文概述了 Microsoft Sentinel 和 ASIM 中的规范化。

有关更多信息，请参阅：

• 观看 ASIM 网络研讨会 或查看 幻灯片
• (ASIM) 架构的高级安全信息模型
• 高级安全信息模型 (ASIM) 分析程序
• (ASIM) 内容的高级安全信息模型