Advanced Security Information Model (ASIM) alapú tartományi megoldások a Microsoft Sentinelhez (előzetes verzió)
A Microsoft alapvető megoldásai a Microsoft for Microsoft Sentinel által közzétett tartományi megoldások. Ezek a megoldások beépített tartalommal rendelkeznek, amelyek több terméken is képesek működni bizonyos kategóriákban, például a hálózatkezelésben. Néhány alapvető megoldás az Advanced Security Information Model (ASIM) normalizálási technikával normalizálja az adatokat lekérdezéskor vagy betöltési időben.
Fontos
A Microsoft alapvető megoldásai és a Network Session Essentials-megoldás jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Miért érdemes az ASIM-alapú Microsoft alapvető megoldásokat használni?
Ha egy tartománykategórián belül több megoldás is hasonló észlelési mintákkal rendelkezik, érdemes az adatokat egy normalizált sémában, például az ASIM-ben rögzíteni. Az alapvető megoldások ezt az ASIM-sémát használják a fenyegetések nagy léptékű észlelésére.
A tartalomközpontban több termékmegoldás is található a különböző tartománykategóriákhoz, például a "Biztonság – Hálózat" kategóriához. Az Azure Firewall, a Palo Alto Firewall és a Corelight például termékmegoldásokkal rendelkezik a "Biztonság – Hálózat" tartománykategóriához.
- Ezek a megoldások kialakításuk szerint eltérő adatbetöltési összetevőket tartalmaznak. Az elemzés, a keresés, a munkafüzetek és más tartalmak azonban egy adott tartománykategórián belül vannak.
- A fő hálózati termékek többsége rendelkezik gyakori alapszintű tűzfalriasztásokkal, amelyek a szokatlan IP-címekről érkező rosszindulatú fenyegetéseket is tartalmazzák. Az elemzési szabálysablon általában duplikálva van a termékmegoldások minden egyes "Security - Network" kategóriájához. Ha több hálózati terméket futtat, több elemzési szabályt kell egyenként ellenőriznie és konfigurálnia, ami nem hatékony. Emellett riasztásokat is kaphat az egyes konfigurált szabályokhoz, és a riasztások kimerültségével járhat.
- Ha duplikatív keresési lekérdezésekkel rendelkezik, előfordulhat, hogy kevésbé teljesítménnyel rendelkezik a vadászati móddal. Ezek a duplikatív vadászati lekérdezések emellett nem hatékonyak a fenyegetésvadászok számára a hasonló lekérdezések kiválasztásához és futtatásához.
A Microsoft alapvető megoldásait az alábbi okokból érdemes megfontolnia:
- A normalizált sémák megkönnyítik az incidens részleteinek lekérdezését. Nem kell megjegyeznie a hasonló naplóattribútumok különböző szállítói szintaxisát.
- Ha nem kell több megoldás tartalmát kezelnie, egyszerűbben használhatja az esettelepítést és az incidenskezelést.
- Az összevont munkafüzetnézet jobb környezeti láthatóságot és a lekérdezési idő elemzését teszi lehetővé nagy teljesítményű ASIM-elemzőkkel.
Támogatott ASIM-sémák
Az alapvető megoldások jelenleg az alábbi ASIM-sémákra terjednek ki, amelyeket a Sentinel támogat:
- Naplózási esemény
- Hitelesítési esemény
- DNS-tevékenység
- Fájltevékenység
- Hálózati munkamenet
- Folyamatesemény
- Webes munkamenet
További információ: Advanced Security Information Model (ASIM) sémák.
Betöltési idő normalizálása
A betöltési idő normalizálási eredményei a következő normalizált táblázatba adhatók be:
- ASimDnsActivityLogs a DNS-sémához.
- ASimNetworkSessionLogs a hálózati munkamenet sémához
További információ: Betöltési idő normalizálása.
Az ASIM-alapú alapvető tartománymegoldásokkal elérhető tartalom
Az alábbi táblázat az egyes alapvető megoldásokhoz elérhető tartalom típusát ismerteti. Bizonyos használati esetekben érdemes lehet a Microsoft Sentinel termékmegoldással elérhető tartalmat is használni.
| Tartalomtípus | leírás |
|---|---|
| Elemzési szabály | Az ASIM-alapú alapvető megoldásokban elérhető elemzési szabályok általánosak, és megfelelőek az adott tartományhoz tartozó függő Microsoft Sentinel termékmegoldásokhoz. Előfordulhat, hogy a Microsoft Sentinel termékmegoldás az elemzési szabály részeként tartalmaz egy forrásspecifikus használati esetet. A Microsoft Sentinel termékmegoldási szabályainak engedélyezése a környezethez szükséges módon. |
| Keresési lekérdezés | Az ASIM-alapú alapvető megoldásokban elérhető keresési lekérdezések általánosak, és alkalmasak arra, hogy az adott tartományhoz tartozó függő Microsoft Sentinel termékmegoldások fenyegetéseit keresik. Előfordulhat, hogy a Microsoft Sentinel termékmegoldása beépített forrásspecifikus keresési lekérdezéssel rendelkezik. A Környezethez szükséges módon használja a Microsoft Sentinel termékmegoldásból származó keresési lekérdezéseket. |
| Forgatókönyv | Az ASIM-alapú alapvető megoldások várhatóan másodpercenként nagy eseményekkel kezelik az adatokat. Ha olyan tartalommal rendelkezik, amely ezt az adatmennyiséget használja, előfordulhat, hogy teljesítménybeli hatással van, ami a munkafüzetek vagy lekérdezési eredmények lassú betöltését okozhatja. A probléma megoldásához az összegzési forgatókönyv összegzi a forrásnaplókat, és egy előre definiált táblában tárolja az információkat. Engedélyezze az összegzési forgatókönyvet, hogy lehetővé tegye a tábla lekérdezéséhez szükséges alapvető megoldásokat. Mivel a Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, amelyek külön erőforrásokat hoznak létre, más díjak is vonatkozhatnak. További információkért tekintse meg az Azure Logic Apps díjszabási oldalát. Az összegzett adatok tárolásáért más díjak is vonatkozhatnak. |
| Listához | Az ASIM-alapú alapvető megoldások egy figyelőlistát használnak, amely több feltételkészletet tartalmaz az elemzési szabályok észleléséhez és a keresési lekérdezésekhez. Az figyelőlista a következő feladatokat teszi lehetővé: - Koncentrált monitorozás adatszűréssel. – Váltás az egyes listaelemek vadászata és észlelése között. - A küszöbérték-típus statikus értékre van állítva, hogy kihasználja a küszöbértékalapú riasztásokat, míg az anomálián alapuló riasztások az adatok utolsó néhány napjából tanulnak (legfeljebb 14 nap). - Módosítsa a riasztás nevét, leírását, taktikáját és súlyosságát az egyes listaelemek figyelőlistájának használatával. – Tiltsa le az észlelést a súlyosság letiltottként való beállításával. |
| Munkafüzet | Az ASIM-alapú alapvető megoldásokkal elérhető munkafüzet összesített képet ad a függő tartományban zajló különböző eseményekről és tevékenységekről. Mivel ez a munkafüzet nagyon nagy mennyiségű adatból olvassa be az eredményeket, előfordulhat, hogy teljesítménybeli késés tapasztalható. Ha teljesítményproblémákat tapasztal, használja az összefoglaló forgatókönyvet. |
Ezek az alapvető megoldások, például más Microsoft Sentinel tartományi megoldások, nem rendelkeznek saját összekötővel. Ezek a Microsoft Sentinel termékmegoldások forrásspecifikus összekötőitől függenek a naplók lekéréséhez. A tartományi megoldás által támogatott termékek megismeréséhez tekintse meg a termékmegoldások előfeltétel-listáját az ASIM domain essentials-megoldások listájában. Telepítsen egy vagy több termékmegoldást. Konfigurálja az adatösszekötőket a mögöttes termékfüggőség igényeinek megfelelően, és engedélyezze a tartományi megoldás tartalmának jobb használatát.
Kapcsolódó cikkek
- ASIM-alapú alapvető tartományi megoldások , például a Network Session Essentials és a Microsoft Sentinel DNS Essentials-megoldása
- Az Advanced Security Information Model (ASIM) használata