Soluciones de dominio basadas en el modelo de información de seguridad avanzada (ASIM) para Microsoft Sentinel (versión preliminar)
Las soluciones esenciales de Microsoft son soluciones de dominio publicadas por Microsoft para Microsoft Sentinel. Estas soluciones tienen contenidos listos para usar que pueden funcionar en varios productos para categorías específicas como las redes. Algunas de estas soluciones esenciales usan la técnica de normalización del modelo de información de seguridad avanzada (ASIM) para normalizar los datos en tiempo de consulta o tiempo de ingesta.
Importante
Las soluciones esenciales de Microsoft y la solución Network Session Essentials están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
¿Por qué usar soluciones esenciales de Microsoft basadas en ASIM?
Cuando varias soluciones de una categoría de dominio comparten patrones de detección similares, tiene sentido tener los datos capturados en un esquema normalizado, como ASIM. Las soluciones esenciales utilizan este esquema ASIM para detectar amenazas a escala.
En el centro de contenido, hay varias soluciones de productos para diferentes categorías de dominio, como "Seguridad: red". Por ejemplo, Azure Firewall, Palo Alto Firewall y Corelight tienen soluciones de producto para la categoría de dominio "Seguridad: red".
- Estas soluciones tienen distintos componentes de ingesta de datos por diseño. Pero hay un patrón determinado para el análisis, la búsqueda, los libros y otro contenido dentro de la misma categoría de dominio.
- La mayoría de los principales productos de red tienen un conjunto básico común de alertas de firewall que incluye amenazas malintencionadas procedentes de direcciones IP inusuales. La plantilla de regla analítica está duplicada, en general, para cada una de las categorías "Seguridad: red" de soluciones de productos. Si estuviera ejecutando varios productos de red, debería comprobar y configurar varias reglas de análisis individualmente, lo que es ineficaz. También obtendría alertas para cada regla configurada y podría acabar con fatiga de alertas.
- Si tiene consultas de búsqueda redundantes, es posible que tenga experiencias de búsqueda menos eficaces con el modo de búsqueda de ejecución completa. Estas consultas de búsqueda redundantes también presentan ineficiencias para que los buscadores de amenazas seleccionen y ejecuten consultas similares.
Es posible que considere las soluciones esenciales de Microsoft por los siguientes motivos:
- Un esquema normalizado facilitará la consulta de los detalles de los incidentes. No es necesario recordar una sintaxis de proveedor diferente para atributos de registro similares.
- Si no tiene que administrar contenidos para varias soluciones, la implementación de casos de uso y la gestión de incidencias resultan más sencillas.
- Una vista de libro consolidada proporcionará una mejor visibilidad del entorno y un posible análisis de tiempo de consulta con analizadores de ASIM de alto rendimiento.
Esquemas de ASIM admitidos
Las soluciones esenciales se distribuyen actualmente en los siguientes esquemas de ASIM diferentes compatibles con Sentinel:
- Evento de auditoría
- Evento de autenticación
- Actividad de DNS
- Actividad de archivo
- Sesión de red
- Evento de proceso
- Sesión web
Para obtener más información, consulte Esquemas del Modelo avanzado de información de seguridad (ASIM).
Normalización del tiempo de ingesta
Los resultados de la normalización del tiempo de ingesta se pueden ingerir en la siguiente tabla normalizada:
- ASimDnsActivityLogs para el esquema DNS.
- ASimNetworkSessionLogs para el esquema Network Session.
Para obtener más información, consulte Normalización del tiempo de ingesta.
Contenido disponible con soluciones esenciales de dominio basadas en ASIM
En la tabla siguiente se describe el tipo de contenido disponible con cada solución esencial. Para algunos casos de uso específicos, es posible que también desee usar el contenido disponible con la solución de producto de Microsoft Sentinel.
| Tipo de contenido | description |
|---|---|
| Regla analítica | Las reglas analíticas disponibles en las soluciones esenciales basadas en ASIM son genéricas y adecuadas para cualquiera de las soluciones de productos de Microsoft Sentinel dependientes de ese dominio. La solución de producto de Microsoft Sentinel podría tener un caso de uso específico de origen cubierto como parte de la regla analítica. Habilite las reglas de solución de productos de Microsoft Sentinel según sea necesario para su entorno. |
| Consultas de búsqueda | Las consultas de búsqueda disponibles en las soluciones esenciales basadas en ASIM son genéricas y suponen una buena opción para buscar amenazas de cualquiera de las soluciones de productos de Microsoft Sentinel dependientes de ese dominio. La solución de productos de Microsoft Sentinel podría tener disponible una consulta de búsqueda específica de origen lista para usar. Use las consultas de búsqueda de la solución de productos de Microsoft Sentinel según sea necesario para su entorno. |
| Guía | Se espera que las soluciones esenciales basadas en ASIM manejen datos con un elevado número de eventos por segundo. Cuando tenga contenido que use ese volumen de datos, podría experimentar algún impacto en el rendimiento que podría provocar cargas lentas de libros o resultados de consulta. Para solucionar este problema, el cuaderno de estrategias de resumen resumirá los registros de origen y almacenará la información en una tabla predefinida. Habilite el cuaderno de estrategias de resumen para permitir que las soluciones esenciales consulten esta tabla. Dado que los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo creados en Azure Logic Apps que crean recursos independientes, podrían aplicarse otros cargos. Para obtener más información, consulte la página de precios de Azure Logic Apps. También podrían aplicarse otros cargos por el almacenamiento de los datos resumidos. |
| Watchlist | Las soluciones esenciales basadas en ASIM usan una lista de reproducción que incluye varios conjuntos de condiciones para las consultas de búsqueda y detección de reglas analíticas. La lista de reproducción le permitirá realizar las siguientes tareas: - Supervisión enfocada con filtración de datos. - Cambiar entre la búsqueda y la detección de cada elemento de lista. - Mantener el Tipo de umbral establecido en Estático para aprovechar las alertas basadas en umbrales, mientras que las alertas basadas en anomalías aprenderían de los últimos días de datos (máximo 14 días). - Modifique el Nombre de la alerta, Descripción, Táctica y Gravedad utilizando esta lista de vigilancia para los elementos individuales de la lista. - Deshabilitar la detección estableciendo la Gravedad como Deshabilitada. |
| Libro | El libro disponible con las soluciones esenciales basadas en ASIM proporcionará una vista consolidada de diferentes eventos y actividades que se produzcan en el dominio dependiente. Dado que este libro capturará los resultados de un volumen muy alto de datos, es posible que haya algún retraso en el rendimiento. Si experimentase problemas de rendimiento, use el cuaderno de estrategias de resumen. |
Estas soluciones esenciales, como otras soluciones de dominio de Microsoft Sentinel, no tienen un conector propio. Dependerá de los conectores específicos de origen en las soluciones de productos de Microsoft Sentinel para extraer los registros. Para comprender los productos que admite la solución de dominio, consulte la lista de requisitos previos de las soluciones de productos que lista cada una de las soluciones esenciales del dominio de ASIM. Instale una o varias de las soluciones de producto. Configure los conectores de datos para satisfacer las necesidades de dependencia del producto subyacentes y para permitir un mejor uso del contenido de esta solución de dominio.
Artículos relacionados
- Buscar soluciones esenciales de dominio basadas en ASIM, como Network Session Essentials y DNS Essentials para Microsoft Sentinel
- Uso del modelo avanzado de información de seguridad (ASIM)