التسوية ونموذج معلومات الأمان المتقدم (ASIM) (إصدار أولي عام)
يستوعب Microsoft Sentinel البيانات من العديد من المصادر. يتطلب العمل مع أنواع البيانات والجداول المختلفة معاً فهم كل منها، وكتابة واستخدام مجموعات فريدة من البيانات لقواعد التحليلات والمصنفات واستعلامات التتبع لكل نوع أو مخطط.
في بعض الأحيان، ستحتاج إلى قواعد ومصنفات واستعلامات منفصلة، حتى عندما تشترك أنواع البيانات في عناصر مشتركة، مثل أجهزة جدار الحماية. يمكن أن يكون الروابط بين أنواع مختلفة من البيانات أثناء التحقيق والتتبع أمراً صعباً أيضاً.
نموذج معلومات الأمان المتقدم (ASIM) هو طبقة تقع بين هذه المصادر المتنوعة والمستخدم. يتبع ASIM مبدأ القوة: "كن حازمًا في ما ترسله، كن مرناً في ما تقبله". باستخدام مبدأ القوة كنمط تصميم، يحول ASIM بيانات تتبع الاستخدام المصدر الخاصة التي جمعها Microsoft Sentinel إلى بيانات سهلة الاستخدام لتسهيل التبادل والتكامل.
توفر هذه المقالة نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM) وحالات استخدامه والمكونات الرئيسية. راجع قسم الخطوات التالية للحصول على مزيد من التفاصيل.
تلميح
شاهد أيضاً ندوة الإنترنت ASIM أو راجع شرائح مؤتمر ويب.
هام
ASIM في وضع PREVIEW حاليًا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
استخدام ASIM الشائع
يوفر ASIM تجربة سلسة للتعامل مع المصادر المختلفة في طرق العرض الموحدة والخاضعة للتسوية، من خلال توفير الوظائف التالية:
الكشف عن المصادر المشتركة. تعمل قواعد التحليلات التي تمت تسويتها عبر المصادر والأماكن المحلية والسحابة، وتكتشف الهجمات مثل القوة الغاشمة أو السفر المستحيل عبر الأنظمة، بما في ذلك Okta وAWS وAzure.
المحتوى غير محدد المصدر. يتم توسيع تغطية كل من المحتوى المضمن والمخصص باستخدام ASIM تلقائياً إلى أي مصدر يدعم ASIM، حتى إذا تمت إضافة المصدر بعد إنشاء المحتوى. على سبيل المثال، تدعم تحليلات أحداث العملية أي مصدر قد يستخدمه العميل لإحضار البيانات، مثل Microsoft Defender لنقطة النهاية وأحداث Windows وSysmon.
دعم مصادرك المخصصة، في التحليلات المضمنة
سهولة الاستخدام. بعد أن يتعلم المحلل ASIM، تكون كتابة الاستعلامات أبسط بكثير لأن أسماء الحقول هي نفسها دائماً.
ASIM وبيانات تعريف أحداث الأمان مفتوحة المصدر
يتوافق ASIM مع نموذج المعلومات الشائعة لبيانات تعريف أحداث الأمان مفتوحة المصدر (OSSEM)، مما يسمح لارتباط الكيانات القابلة للتنبؤ عبر الجداول التي تمت تسويتها.
OSSEM هو مشروع يقوده المجتمع يركز في المقام الأول على وثائق وتوحيد سجلات أحداث الأمان من مصادر البيانات وأنظمة التشغيل المتنوعة. يوفر المشروع أيضاً وحدة نمطية للمعلومات الشائعة (CIM) يمكن استخدامه لمهندسي البيانات أثناء إجراءات تسوية البيانات للسماح لمحللي الأمان بالاستعلام عن البيانات وتحليلها عبر مصادر بيانات متنوعة.
لمزيدٍ من المعلومات، يُرجى مراجعة الوثائق المرجعية لـ OSSEM.
مكونات ASIM
توضح الصورة التالية كيف يمكن ترجمة البيانات غير العادية إلى محتوى تمت تسويتها واستخدامها في Microsoft Sentinel. على سبيل المثال، يمكنك البدء بجدول مخصص خاص بالمنتج وغير عادي، واستخدام محلل ومخطط تسوية لتحويل هذا الجدول إلى بيانات تمت تسويتها. استخدم بياناتك التي تمت تسويتها في كل من Microsoft والتحليلات المخصصة والقواعد والمصنفات والاستعلامات والمزيد.
ويتضمن ASIM المكونات التالية:
المخططات التي تمت تسويتها
تغطي المخططات التي تمت تسويتها مجموعات قياسية من أنواع الأحداث التي يمكن التنبؤ بها والتي يمكنك استخدامها عند إنشاء قدرات موحدة. يعرّف كل مخطط الحقول التي تمثل حدثًا، واصطلاح تسمية عمود معياري، وتنسيق قياسي لقيم الحقل.
يحدد نموذج ASIM حالياً المخططات الآتية:
- حدث التدقيق
- حدث المصادقة
- نشاط DHCP
- نشاط DNS
- نشاط الملف
- جلسة عمل الشبكة
- حدث العملية
- حدث التسجيل
- الإدارة الخاصة بالمستخدم
- جلسة عمل الويب
لمزيد من المعلومات، راجع مخططات ASIM.
محللات وقت الاستعلام
يستخدم ASIM محللات وقت الاستعلام لتعيين البيانات الموجودة إلى المخططات التي تمت تسويتها باستخدام وظائف KQL. تتوفر العديد من محللات ASIM خارج الصندوق مع Microsoft Sentinel. يمكن توزيع المزيد من أدوات التحليل وإصدارات أدوات التحليل المضمنة التي يمكن تعديلها من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع أدوات تحليل ASIM.
استيعاب تسوية الوقت
تتمتع محللات وقت الاستعلام بالعديد من المزايا:
- فهي لا تتطلب تعديل البيانات، وبالتالي الحفاظ على تنسيق المصدر.
- نظرا لأنها لا تعدل البيانات، ولكنها تقدم بدلا من ذلك عرضا للبيانات، فمن السهل تطويرها. يمكن أن يتم تطوير المحلل واختباره وإصلاحه على البيانات الموجودة. علاوة على ذلك، يمكن إصلاح المحللات عند اكتشاف مشكلة وسيتم تطبيق الإصلاح على البيانات الموجودة.
من ناحية أخرى، أثناء تحسين محللات ASIM، يمكن لتحليل وقت الاستعلام إبطاء الاستعلامات، خاصة على مجموعات البيانات الكبيرة. لحل هذه المشكلة، يكمل Microsoft Sentinel تحليل وقت الاستعلام مع استيعاب تحليل الوقت. باستخدام استيعاب التحويل، يتم تسوية الأحداث إلى جدول تمت تسويته، وتسريع الاستعلامات التي تستخدم البيانات التي تمت تسويتها.
حاليا، يدعم ASIM الجداول الأصلية التالية التي تمت تسويتها كوجهة لاستيعاب تسوية الوقت:
- ASimAuditEventLogs لمخطط حدث التدقيق .
- ASimAuthenticationEventLogs لمخطط المصادقة .
- ASimDnsActivityLogs لمخطط DNS .
- ASimNetworkSessionLogs لمخطط جلسة عمل الشبكة
- ASimWebSessionLogs لمخطط جلسة ويب .
لمزيد من المعلومات، راجع استيعاب تسوية الوقت.
محتوى لكل مخطط تمت تسويته
يتضمن المحتوى الذي يستخدم ASIM الحلول وقواعد التحليلات والمصنفات واستعلامات التتبع والمزيد. يعمل المحتوى لكل مخطط تمت تسويته على أي بيانات تمت تسويتها دون الحاجة إلى إنشاء محتوى خاص بالمصدر.
لمزيد من المعلومات، راجع محتوى ASIM.
بدء استخدام ASIM
لبدء استخدام ASIM:
نشر حل مجال يستند إلى ASIM مثل حل مجال Network Threat Protection Essentials .
تنشيط قوالب قواعد التحليلات التي تستخدم ASIM. لمزيد من المعلومات، راجع قائمة محتوى ASIM.
استخدم استعلامات تتبع ASIM من مستودع Microsoft Sentinel GitHub، عند الاستعلام عن السجلات في KQL في صفحة سجلات Microsoft Sentinel. لمزيد من المعلومات، راجع قائمة محتوى ASIM.
اكتب قواعد التحليلات الخاصة بك باستخدام ASIM أو قم بتحويل القواعد الموجودة.
قم بتمكين بياناتك المخصصة لاستخدام التحليلات المضمنة عن طريق كتابة أدوات تحليل لمصادرك المخصصة وإضافتها إلى محلل المصدر غير المعرف ذي الصلة.
الخطوات التالية
توفر هذه المقالة نظرة عامة على التسوية في كل من Microsoft Azure Sentinel ونموذج ASIM.
لمزيد من المعلومات، انظر: