Normalizace a model ASIM (Advanced Security Information Model) (Public Preview)

Microsoft Sentinel ingestuje data z mnoha zdrojů. Při společné práci s různými datovými typy a tabulkami musíte rozumět každému z nich a zapisovat a používat jedinečné sady dat pro analytická pravidla, sešity a proaktivní dotazy pro každý typ nebo schéma.

Někdy budete potřebovat samostatná pravidla, sešity a dotazy, a to i v případě, že datové typy sdílejí společné prvky, jako jsou zařízení brány firewall. Korelace mezi různými typy dat během vyšetřování a proaktivního vyhledávání může být také náročná.

Advanced Security Information Model (ASIM) je vrstva, která se nachází mezi těmito různými zdroji a uživatelem. ASIM se řídí principem robustnosti: "Buďte přísní v tom, co posíláte, buďte flexibilní v tom, co přijímáte". Pomocí principu robustnosti jako vzoru návrhu asim transformuje proprietární zdrojovou telemetrii shromážděnou službou Microsoft Sentinel na uživatelsky přívětivá data, aby se usnadnila výměna a integrace.

Tento článek obsahuje přehled modelu ASIM (Advanced Security Information Model), jeho případů použití a hlavních komponent. Další podrobnosti najdete v části další kroky .

Tip

Také watch webinář ASIM nebo si prohlédněte snímky webináře.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.

Běžné využití ASIM

ASIM poskytuje bezproblémové prostředí pro práci s různými zdroji v jednotných normalizovaných zobrazeních tím, že poskytuje následující funkce:

• Detekce mezi zdroji. Normalizovaná analytická pravidla fungují napříč zdroji, místními i cloudovými a detekují útoky, jako je hrubá síla nebo nemožné cestování mezi systémy, včetně Okta, AWS a Azure.

• Obsah nezávislý na zdroji. Pokrytí integrovaného i vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoli zdroj, který podporuje ASIM, a to i v případě, že byl zdroj přidán po vytvoření obsahu. Například analýza událostí procesu podporuje jakýkoli zdroj, který může zákazník použít k přenesení dat, například Microsoft Defender for Endpoint, události Windows a Sysmon.

• Podpora vlastních zdrojů v integrované analýze

• Snadné použití. Jakmile se analytik naučí ASIM, psaní dotazů je mnohem jednodušší, protože názvy polí jsou vždy stejné.

ASIM a open source metadata událostí zabezpečení

ASIM je v souladu s běžným informačním modelem OSSEM (Open Source Security Events Metadata) a umožňuje předvídatelnou korelaci entit napříč normalizovanými tabulkami.

OSSEM je projekt vedený komunitou, který se zaměřuje především na dokumentaci a standardizaci protokolů událostí zabezpečení z různých zdrojů dat a operačních systémů. Projekt také poskytuje model CIM (Common Information Model), který je možné použít pro datové inženýry během postupů normalizace dat a umožnit analytikům zabezpečení dotazovat a analyzovat data napříč různými zdroji dat.

Další informace najdete v referenční dokumentaci K OSSEM.

Komponenty ASIM

Následující obrázek ukazuje, jak se nenormalizované údaje dají přeložit na normalizovaný obsah a jak je použít ve službě Microsoft Sentinel. Můžete například začít s vlastní nenormalizovanou tabulkou specifickou pro konkrétní produkt a pomocí analyzátoru a schématu normalizace převést tuto tabulku na normalizovaná data. Používejte normalizovaná data v Microsoftu i v vlastních analytických možnostech, pravidlech, sešitech, dotazech a dalších možnostech.

ASIM obsahuje následující komponenty:

Normalizovaná schémata

Normalizovaná schémata pokrývají standardní sady předvídatelných typů událostí, které můžete použít při vytváření jednotných funkcí. Každé schéma definuje pole, která představují událost, normalizované zásady vytváření názvů sloupců a standardní formát hodnot polí.

ASIM v současné době definuje následující schémata:

• Událost auditu
• Událost ověřování
• Aktivita DHCP
• Aktivita DNS
• Aktivita souborů
• Síťová relace
• Událost procesu
• Událost registru
• Správa uživatelů
• Webová relace

Další informace najdete v tématu Schémata ASIM.

Analyzátory času dotazů

ASIM využívá analyzátory času dotazů k mapování existujících dat na normalizovaná schémata pomocí funkcí KQL. Řada předem připravených analyzátorů ASIM je k dispozici jako součást produktu Microsoft Sentinel. Další analyzátory a verze předdefinovaných analyzátorů, které je možné upravit, je možné nasadit z úložiště GitHub služby Microsoft Sentinel.

Další informace najdete v tématu Analyzátory ASIM.

Normalizace doby ingestování

Analyzátory času dotazů mají mnoho výhod:

• Nevyžadují úpravu dat, takže zachovávají zdrojový formát.
• Vzhledem k tomu, že data neupravují, ale spíše představují zobrazení dat, je snadné je vyvíjet. Vývoj, testování a opravy analyzátoru je možné provádět na existujících datech. Analyzátory se navíc dají opravit, když se zjistí problém a oprava se použije pro existující data.

Na druhou stranu, zatímco analyzátory ASIM jsou optimalizované, může analýza času dotazu zpomalit dotazy, zejména u velkých datových sad. Microsoft Sentinel tento problém vyřeší tím, že parsování času dotazu doplní o analýzu času ingestování. Pomocí transformace ingestování se události normalizují do normalizované tabulky, čímž se urychlí dotazy, které používají normalizovaná data.

V současné době ASIM podporuje následující nativní normalizované tabulky jako cíl pro normalizaci času příjmu:

• ASimAuditEventLogs pro schéma události auditu .
• ASimAuthenticationEventLogs pro schéma ověřování .
• ASimDnsActivityLogs pro schéma DNS .
• ASimNetworkSessionLogs pro schéma síťové relace
• ASimWebSessionLogs pro schéma webové relace .

Další informace najdete v tématu Normalizace doby příjmu.

Obsah pro každé normalizované schéma

Obsah, který používá ASIM, zahrnuje řešení, analytická pravidla, sešity, dotazy proaktivního vyhledávání a další. Obsah pro každé normalizované schéma funguje na všech normalizovaných datech bez nutnosti vytvářet obsah specifický pro zdroj.

Další informace najdete v tématu Obsah ASIM.

Začínáme s ASIM

Pokud chcete začít používat ASIM:

• Nasaďte doménové řešení založené na ASIM, jako je doménové řešení Network Threat Protection Essentials .

• Aktivujte šablony analytických pravidel, které používají ASIM. Další informace najdete v seznamu obsahu ASIM.

• Při dotazování protokolů v KQL na stránce Protokoly služby Microsoft Sentinel použijte dotazy proaktivního vyhledávání ASIM z úložiště GitHub služby Microsoft Sentinel. Další informace najdete v seznamu obsahu ASIM.

• Vytvořte si vlastní analytická pravidla pomocí ASIM nebo si převeďte stávající pravidla.

• Umožněte vlastním datům využívat předdefinované analýzy tím, že pro vlastní zdroje napíšete analyzátory a přidáte je do příslušného analyzátoru nezávislého na zdrojích.

Další kroky

Tento článek obsahuje přehled normalizace ve službě Microsoft Sentinel a ASIM.

Další informace naleznete v tématu:

• Podívejte se na webinář ASIM nebo si prohlédněte snímky.
• Schémata ASIM (Advanced Security Information Model)
• Analyzátory ASIM (Advanced Security Information Model)
• Obsah modelu ASIM (Advanced Security Information Model)