Rozšířená řešení domény založená na modelu zabezpečení (ASIM) pro Microsoft Sentinel (Preview)
Základní řešení Microsoftu jsou doménová řešení publikovaná Microsoftem pro Microsoft Sentinel. Tato řešení mají předefinovaný obsah, který může fungovat v různých produktech pro konkrétní kategorie, jako jsou sítě. Některá z těchto základních řešení používají metodu normalizace Advanced Security Information Model (ASIM) k normalizaci dat v době dotazu nebo v době příjmu dat.
Důležité
Základní řešení Microsoftu a řešení Network Session Essentials jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Proč používat základní řešení microsoftu založená na ASIM?
Pokud několik řešení v kategorii domény sdílí podobné vzorce detekce, je vhodné mít data zachycená v normalizovaném schématu, jako je ASIM. Základní řešení využívají toto schéma ASIM k detekci hrozeb ve velkém měřítku.
V centru obsahu existuje několik produktových řešení pro různé kategorie domén, jako je zabezpečení – síť. Například Azure Firewall, Palo Alto Firewall a Corelight mají produktová řešení pro kategorii "Zabezpečení – síť".
- Tato řešení mají různé komponenty ingestování dat podle návrhu. Existuje ale určitý vzor analýzy, proaktivního vyhledávání, sešitů a dalšího obsahu ve stejné kategorii domény.
- Většina hlavních síťových produktů má společnou základní sadu výstrah brány firewall, která zahrnuje škodlivé hrozby pocházející z neobvyklých IP adres. Šablona analytického pravidla je obecně duplikována pro každou kategorii "Zabezpečení – síť" produktových řešení. Pokud používáte více síťových produktů, musíte zkontrolovat a nakonfigurovat několik analytických pravidel jednotlivě, což je neefektivní. Také byste dostávali upozornění pro každé nakonfigurované pravidlo a mohlo by dojít k únavě upozornění.
- Pokud máte duplicitní dotazy proaktivního vyhledávání, můžete mít méně výkonné možnosti proaktivního vyhledávání v režimu proaktivního vyhledávání. Tyto duplikativní proaktivní dotazy proaktivního vyhledávání také přinášejí neektivosti pro lovce hrozeb, aby mohli vybírat a spouštět podobné dotazy.
Základní řešení Microsoftu můžete zvážit z následujících důvodů:
- Normalizované schéma usnadňuje dotazování podrobností incidentů. Pro podobné atributy protokolu si nemusíte pamatovat jinou syntaxi dodavatele.
- Pokud nemusíte spravovat obsah pro více řešení, je jednodušší nasazení případu a zpracování incidentů.
- Konsolidované zobrazení sešitu poskytuje lepší viditelnost prostředí a možný čas dotazování s vysoce výkonnými analyzátory ASIM.
Podporované schémata ASIM
Základní řešení se v současné době nacházejí v následujících různých schématech ASIM, která Sentinel podporuje:
- Událost auditu
- Událost ověřování
- Aktivita DNS
- Aktivita souboru
- Síťová relace
- Událost zpracování
- Webová relace
Další informace najdete v tématu Schémata MODELU ASIM (Advanced Security Information Model).
Normalizace času příjmu dat
Výsledky normalizace času příjmu dat je možné ingestovat do následující normalizované tabulky:
- ASimDnsActivityLogs pro schéma DNS.
- ASimNetworkSessionLogs pro schéma síťové relace
Další informace naleznete v tématu Ingestování normalizace času.
Obsah dostupný se základními řešeními domén založenými na ASIM
Následující tabulka popisuje typ obsahu, který je k dispozici s každým základním řešením. V některých konkrétních případech použití můžete chtít také použít obsah dostupný v řešení produktu Microsoft Sentinel.
| Typ obsahu | description |
|---|---|
| Analytické pravidlo | Analytická pravidla dostupná v základních řešeních založených na ASIM jsou obecná a vhodná pro všechna závislá řešení produktů Microsoft Sentinel pro danou doménu. Řešení produktu Microsoft Sentinel může mít případ použití specifický pro zdroj, který je součástí analytického pravidla. Podle potřeby povolte pravidla řešení produktu Microsoft Sentinel pro vaše prostředí. |
| Dotaz proaktivního vyhledávání | Dotazy proaktivního vyhledávání, které jsou k dispozici v základních řešeních založených na ASIM, jsou obecné a vhodné pro vyhledávání hrozeb z libovolného závislého řešení produktu Microsoft Sentinel pro danou doménu. Řešení produktu Microsoft Sentinel může mít k dispozici zdrojový konkrétní dotaz proaktivního vyhledávání. Dotazy proaktivního vyhledávání z produktového řešení Microsoft Sentinel použijte podle potřeby pro vaše prostředí. |
| Playbook | Očekává se, že základní řešení založená na ASIM budou zpracovávat data s velkými událostmi za sekundy. Pokud máte obsah, který používá tento objem dat, může docházet k určitému dopadu na výkon, který může způsobit pomalé načítání sešitů nebo výsledků dotazů. Aby se tento problém vyřešil, playbook souhrnu shrnuje zdrojové protokoly a ukládá informace do předdefinované tabulky. Povolte playbook souhrnu, aby se základní řešení mohla dotazovat na tuto tabulku. Vzhledem k tomu, že playbooky v Microsoft Sentinelu jsou založené na pracovních postupech integrovaných v Azure Logic Apps, které vytvářejí samostatné prostředky, můžou se účtovat další poplatky. Další informace najdete na stránce s cenami Azure Logic Apps. U úložiště souhrnných dat se můžou účtovat i další poplatky. |
| Seznam ke zhlédnutí | Základní řešení založená na ASIM používají seznam ke zhlédnutí, který obsahuje více sad podmínek pro zjišťování analytických pravidel a proaktivní vyhledávání dotazů. Seznam ke zhlédnutí umožňuje provádět následující úlohy: - Zaměřte se na monitorování filtrací dat. - Přepínání mezi proaktivním vyhledáváním a detekcí pro každou položku seznamu – Ponechte typ prahové hodnoty nastavený na statickou , aby bylo možné využít výstrahy založené na prahových hodnotách, zatímco výstrahy založené na anomáliích se budou učit z posledních několika dnů dat (maximálně 14 dnů). - Upravte název výstrahy, popis, taktiku a závažnost pomocí tohoto seznamu ke zhlédnutí pro jednotlivé položky seznamu. – Zakažte detekci nastavením Závažnosti jako Zakázáno. |
| sešit | Sešit dostupný se základními řešeními založenými na ASIM poskytuje konsolidované zobrazení různých událostí a aktivit probíhajících v závislé doméně. Vzhledem k tomu, že tento sešit načítá výsledky z velmi velkého objemu dat, může dojít k určité prodlevě výkonu. Pokud dochází k problémům s výkonem, použijte playbook sumarizace. |
Tato základní řešení, jako jsou jiná doménová řešení Microsoft Sentinelu, nemají vlastní konektor. Závisí na zdrojových konkrétních konektorech v produktových řešeních Microsoft Sentinelu, aby mohly protokoly načíst. Pokud chcete porozumět produktům, které řešení domény podporuje, projděte si seznam požadovaných produktových řešení v jednotlivých seznamech řešení základy domény ASIM. Nainstalujte jedno nebo více produktových řešení. Nakonfigurujte datové konektory tak, aby vyhovovaly potřebám základního produktu a aby bylo možné lépe používat obsah tohoto doménového řešení.
Související články
- Vyhledání základních řešení domén založených na ASIM, jako jsou základy síťových relací a řešení DNS Essentials pro Microsoft Sentinel
- Použití modelu ADVANCED Security Information Model (ASIM)