Normalisatie en het Geavanceerde SIEM-informatiemodel (ASIM) (openbare preview)
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Met Microsoft Sentinel worden gegevens uit veel bronnen opgenomen. Voor het werken met verschillende gegevenstypen en tabellen moet u elk van deze typen begrijpen en unieke gegevenssets schrijven en gebruiken voor analyseregels, werkmappen en hunting-query's voor elk type of schema.
Soms hebt u afzonderlijke regels, werkmappen en query's nodig, zelfs wanneer gegevenstypen gemeenschappelijke elementen delen, zoals firewallapparaten. Het correeren van verschillende typen gegevens tijdens een onderzoek en opsporing kan ook lastig zijn.
In dit artikel vindt u een overzicht van het SIEM-informatiemodel (Advanced Security Information and Event Management) dat een oplossing biedt voor de uitdagingen bij het verwerken van meerdere typen gegevens.
Tip
Bekijk ook de ASIM-webinar of bekijk de webinardia's. Zie voor meer informatie Volgende stappen.
Belangrijk
ASIM is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Algemeen ASIM-gebruik
Het Advanced SIEM Information Model (ASIM) biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven door de volgende functionaliteit te bieden:
Kruisbrondetectie. Genormaliseerde analyseregels werken op verschillende bronnen, on-premises en in de cloud, en detecteren aanvallen zoals brute kracht of onmogelijke reis tussen systemen, waaronder Okta, AWS en Azure.
Bronagnostische inhoud. De dekking van zowel ingebouwde als aangepaste inhoud met behulp van ASIM wordt automatisch uitgebreid naar elke bron die ondersteuning biedt voor ASIM, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Procesgebeurtenisanalyse ondersteunt bijvoorbeeld elke bron die een klant kan gebruiken om de gegevens op te halen, zoals Microsoft Defender for Endpoint, Windows Events en Sysmon.
Ondersteuning voor uw aangepaste bronnen, in ingebouwde analyses
Gebruiksgemak. Nadat een analist ASIM heeft geleerd, is het schrijven van query's veel eenvoudiger omdat de veldnamen altijd hetzelfde zijn.
AsIM en de metagegevens van open source-beveiligingsgebeurtenissen
Het Advanced SIEM Information Model is afgestemd op het Algemene informatiemodel van OSSEM (Open Source Security Events Metadata), waardoor voorspelbare correlatie tussen genormaliseerde tabellen mogelijk is.
OSSEM is een door de community geleid project dat zich voornamelijk richt op de documentatie en standaardisatie van beveiligingsgebeurtenislogboeken van diverse gegevensbronnen en besturingssystemen. Het project biedt ook een Common Information Model (CIM) die voor data engineers kan worden gebruikt tijdens procedures voor gegevensnormalisatie, zodat beveiligingsanalisten gegevens kunnen opvragen en analyseren in verschillende gegevensbronnen.
Zie de OSSEM-referentiedocumentatie voor meer informatie.
ASIM-onderdelen
In de volgende afbeelding ziet u hoe niet-genormaliseerde gegevens kunnen worden omgezet in genormaliseerde inhoud en kunnen worden gebruikt in Microsoft Sentinel. U kunt bijvoorbeeld beginnen met een aangepaste, productspecifieke, niet-genormaliseerde tabel en een parser en een normaliseringsschema gebruiken om die tabel te converteren naar genormaliseerde gegevens. Gebruik uw genormaliseerde gegevens in zowel Microsoft als aangepaste analyses, regels, werkmappen, query's en meer.
Het Advanced SIEM Information Model bevat de volgende onderdelen:
| Onderdeel | Beschrijving |
|---|---|
| Genormaliseerde schema's | Bewerk standaardsets van voorspelbare gebeurtenistypen die u kunt gebruiken bij het bouwen van geïntegreerde mogelijkheden. Elk schema definieert de velden die een gebeurtenis vertegenwoordigen, een genormaliseerde naamconventie voor kolommen en een standaardindeling voor de veldwaarden. ASIM definieert momenteel de volgende schema's: - Verificatiegebeurtenis - DHCP-activiteit - DNS-activiteit - Bestandsactiviteit - Netwerksessie - Procesgebeurtenis - Registergebeurtenis - Websessie Zie Advanced SIEM Information Model schemas (Geavanceerde SIEM Information Model-schema's) voor meer informatie. |
| Parsers | Wijs bestaande gegevens toe aan de genormaliseerde schema's met behulp van KQL-functies. Implementeer de door Microsoft ontwikkelde normaliseringsparsers vanuit de map Parsers in de Opslagplaats GitHub Microsoft Sentinel. Zie Advanced SIEM Information Model parsers (Geavanceerde PARSERS voor SIEM-informatiemodellen) voor meer informatie. |
| Inhoud voor elk genormaliseerd schema | Bevat analyseregels, werkmappen, zoekquery's en meer. Inhoud voor elk genormaliseerd schema werkt op alle genormaliseerde gegevens zonder bronspecifieke inhoud te hoeven maken. Zie Advanced SIEM Information Model content (Geavanceerde SIEM Information Model-inhoud) voor meer informatie. |
ASIM-terminologie
Het Advanced SIEM Information Model gebruikt de volgende termen:
| Termijn | Beschrijving |
|---|---|
| Rapportageapparaat | Het systeem dat de records naar Microsoft Sentinel verzendt. Dit systeem is mogelijk niet het onderwerpsysteem voor de record die wordt verzonden. |
| Record | Een gegevenseenheid die vanaf het rapportageapparaat wordt verzonden. Een record wordt vaak aangeduid als log , of , maar kan ook andere typen gegevens event alert zijn. |
| Inhoud of inhoudsitem | De verschillende, aanpasbare of door de gebruiker gemaakte artefacten die kunnen worden gebruikt met Microsoft Sentinel. Deze artefacten omvatten bijvoorbeeld Analyseregels, Hunting-query's en werkmappen. Een inhouditem is een dergelijk artefact. |
Aan de slag met ASIM
Als u ASIM wilt gaan gebruiken:
Implementeer alle ASIM-parsers snel vanuit de Microsoft Sentinel-GitHub opslagplaats.
Activeer analyseregelsjablonen die gebruikmaken van ASIM. Zie de inhoudslijst Advanced SIEM Information Model (ASIM) voor meer informatie.
Gebruik ASIM in uw werkruimte met behulp van de volgende methoden:
Gebruik de ASIM-zoekquery's uit de Microsoft Sentinel GitHub-opslagplaats, bij het opvragen van logboeken in KQL op de pagina Microsoft Sentinel-logboeken. Zie de inhoudslijst Advanced SIEM Information Model (ASIM) voor meer informatie.
Schrijf uw eigen analyseregels met behulp van ASIM of converteert bestaande.
Ervoor zorgen dat uw aangepaste gegevens gebruik kunnen maken van ingebouwde analyses door parsers te schrijven voor uw aangepaste bronnen en deze toe te voegen aan de relevante bronagnostische parser.
Volgende stappen
In dit artikel vindt u een overzicht van normalisatie in Microsoft Sentinel en het geavanceerde SIEM-informatiemodel.
Zie voor meer informatie: