Normalizace a Advanced SIEM Information Model (ASIM) (Public Preview)
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Ověřovací údaje Microsoftu ingestují data z mnoha zdrojů. Práce s různými datovými typy a tabulkami vyžaduje, abyste porozuměli každému z nich a mohli zapisovat a používat jedinečné sady dat pro analytická pravidla, sešity a lovecké dotazy pro každý typ nebo schéma.
V některých případech budete potřebovat samostatná pravidla, sešity a dotazy, a to i v případě, že typy dat sdílejí společné prvky, jako jsou například zařízení brány firewall. Korelace mezi různými typy dat během vyšetřování a lov může být také náročná.
Tento článek poskytuje přehled rozšířených informací o zabezpečení a SIEM (ASIM), který poskytuje řešení pro problémy s zpracováním více typů dat.
Tip
Podívejte se také na Asim webinář nebo si Projděte webinář snímky. Další informace najdete v části Další kroky.
Důležité
ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Běžné použití ASIM
Advanced SIEM Information Model (ASIM) poskytuje bezproblémové prostředí pro zpracování různých zdrojů v jednotných, normalizovaných zobrazeních, a poskytuje následující funkce:
Zjišťování více zdrojů. Normalizovaná analytická pravidla pracují napříč zdroji, místním prostředím a cloudem a zjišťují útoky, jako je hrubá síla nebo nemožná Cestování napříč systémy, včetně okta, AWS a Azure.
Zdrojový nezávislá obsah. Pokrytí integrovaného i vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoliv zdroj, který podporuje ASIM, a to i v případě, že byl zdroj přidán až po vytvoření obsahu. například proces analýza událostí bude podporovat libovolný zdroj, který může zákazník použít k uvedení dat, jako je například Microsoft Defender pro koncové body, Windows události a Sysmon.
Podpora vlastních zdrojů v integrované analýze
Snadné použití. Až se analytik učí ASIM, zápis dotazů je mnohem jednodušší, protože názvy polí jsou vždycky stejné.
Metadata událostí zabezpečení ASIM a open source
Advanced SIEM Information Model se zarovnává s využitím modelu Common Information Model OSSEM (Open Source Security Events metadata) , který umožňuje předvídatelné entity korelace napříč normalizovanými tabulkami.
OSSEM je projekt založený na komunitě, který se zaměřuje hlavně na dokumentaci a standardizaci protokolů událostí zabezpečení z nejrůznějších zdrojů dat a operačních systémů. Projekt také poskytuje model CIM (Common Information Model) (CIM), který lze použít pro inženýry dat během normalizace dat a umožňuje tak analytikům zabezpečení zadávat dotazy a analyzovat data napříč různými zdroji dat.
Další informace najdete v referenční dokumentaci k OSSEM.
Součásti ASIM
Následující obrázek ukazuje, jak lze Nenormalizovaná data přeložit do normalizovaného obsahu a použít je v nástroji Microsoft Sentinel. Můžete například začít s vlastní, nenormalizovanou tabulkou specifickou pro daný produkt a použít analyzátor a schéma normalizace k převedení této tabulky na normalizovaná data. Používejte vaše normalizovaná data v Microsoft i v vlastní analýze, pravidlech, sešitech, dotazech a dalších.
Pokročilý SIEM Information Model zahrnuje následující součásti:
| Komponenta | Popis |
|---|---|
| Normalizovaná schémata | Pokrývají se standardní sady předvídatelných typů událostí, které můžete použít při vytváření sjednocených možností. Každé schéma definuje pole, která reprezentují událost, normalizovanou konvenci pojmenování sloupců a standardní formát pro hodnoty polí. ASIM v současné době definuje následující schémata: - Událost ověřování - Aktivita DHCP - Aktivita DNS - Aktivita souboru - Síťová relace - Událost procesu - Událost registru - Webová relace Další informace najdete v tématu Pokročilé schémata Siem Information Model. |
| Analyzátorů | Namapujte existující data na normalizovaná schémata pomocí funkcí KQL. nasaďte normalizované analyzátory vyvinuté microsoftem ze Parsers složky v úložišti Microsoft Sentinel GitHub. Další informace najdete v tématu Rozšířené analyzátory modelu Siem Information Model. |
| Obsah pro každé normalizované schéma | Zahrnuje pravidla analýzy, sešity, lovecké dotazy a další. Obsah pro každé normalizované schéma funguje se všemi normalizovanými daty bez nutnosti vytvářet obsah specifický pro zdroj. Další informace najdete v tématu pokročilý obsah modelu Siem Information Model. |
Terminologie ASIM
Pokročilý SIEM Information Model používá následující výrazy:
| Období | Popis |
|---|---|
| Zařízení pro vytváření sestav | Systém, který odesílá záznamy do programu Microsoft Sentinel. Tento systém nemusí být systémem subjektu pro záznam, který je právě odesílán. |
| Záznam | Jednotka dat odesílaná ze zařízení pro generování sestav. Záznam se často označuje jako log , event nebo alert , ale může to být i jiný typ dat. |
| Obsah nebo položka obsahu | Různé, přizpůsobitelné nebo uživatelsky vytvořené artefakty, které se dají použít s ověřovacími službami Microsoft Sentinel. Tyto artefakty zahrnují například pravidla analýzy, lovecké dotazy a sešity. Položka obsahu je takový artefakt. |
Začínáme s ASIM
Chcete-li začít používat ASIM:
k rychlému nasazení všech analyzátorů ASIM z úložiště Microsoft Sentinel GitHub.
Aktivujte analytické šablony pravidel, které používají ASIM. Další informace najdete v seznamu obsahu Asim (Advanced Siem Information Model).
Použijte ASIM v pracovním prostoru pomocí následujících metod:
při dotazování protokolů v KQL na stránce protokoly ověřovacích protokolů společnosti microsoft použijte při dotazování protokolů ve službě ASIM lovecké dotazy z úložiště microsoft sentinel GitHub. Další informace najdete v seznamu obsahu Asim (Advanced Siem Information Model).
Vytvářejte vlastní analytická pravidla pomocí ASIM nebo Převeďte stávající.
Umožněte, aby vaše vlastní data používala integrované analýzy, a to tak, že napíšete analyzátory pro vlastní zdroje a přidáte je do příslušného zdrojového analyzátoru nezávislá.
Další kroky
Tento článek poskytuje přehled normalizace v rámci Microsoft Sentinel a Advanced SIEM Information Model.
Další informace naleznete v tématu:
- Podívejte se na Asim webinář nebo zkontrolujte snímky .
- Pokročilá schémata SIEM Information Model
- Rozšířené analyzátory modelu SIEM Information Model
- Obsah modelu Advanced SIEM Information Model