Rozwiązania domeny oparte na zaawansowanym modelu informacji o zabezpieczeniach (ASIM) dla usługi Microsoft Sentinel (wersja zapoznawcza)
Podstawowe rozwiązania firmy Microsoft to rozwiązania domen opublikowane przez firmę Microsoft dla usługi Microsoft Sentinel. Te rozwiązania zawierają wbudowaną zawartość, która może działać w wielu produktach dla określonych kategorii, takich jak sieć. Niektóre z tych podstawowych rozwiązań używają techniki normalizacji Advanced Security Information Model (ASIM), aby znormalizować dane w czasie zapytania lub czasie pozyskiwania.
Ważne
Podstawowe rozwiązania firmy Microsoft i rozwiązanie Network Session Essentials są obecnie dostępne w wersji ZAPOZNAWCZEJ. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Dlaczego warto używać podstawowych rozwiązań firmy Microsoft opartych na usłudze ASIM?
Jeśli wiele rozwiązań w kategorii domeny współużytkuje podobne wzorce wykrywania, warto przechwycić dane w znormalizowanym schemacie, takim jak ASIM. Podstawowe rozwiązania wykorzystują ten schemat ASIM do wykrywania zagrożeń na dużą skalę.
W centrum zawartości istnieje wiele rozwiązań produktów dla różnych kategorii domen, takich jak "Zabezpieczenia — sieć". Na przykład usługi Azure Firewall, Palo Alto Firewall i Corelight mają rozwiązania produktów dla kategorii domeny "Zabezpieczenia — sieć".
- Te rozwiązania mają różne składniki pozyskiwania danych zgodnie z projektem. Istnieje jednak pewien wzorzec analizy, wyszukiwania zagrożeń, skoroszytów i innej zawartości w tej samej kategorii domeny.
- Większość głównych produktów sieciowych ma wspólny podstawowy zestaw alertów zapory, który obejmuje złośliwe zagrożenia pochodzące z nietypowych adresów IP. Szablon reguły analitycznej jest ogólnie zduplikowany dla każdej kategorii "Zabezpieczenia — sieć" rozwiązań produktów. Jeśli korzystasz z wielu produktów sieciowych, musisz sprawdzić i skonfigurować pojedynczo wiele reguł analitycznych, co jest nieefektywne. Otrzymasz również alerty dla każdej skonfigurowanej reguły i może skończyć się zmęczeniem alertów.
- Jeśli masz duplikacyjne zapytania wyszukiwania zagrożeń, możesz mieć mniej wydajne środowiska wyszukiwania zagrożeń z trybem uruchamiania całego wyszukiwania. Te duplikacyjne zapytania wyszukiwania zagrożeń również wprowadzają nieefektywność dla myśliwych zagrożeń do wybierania i uruchamiania podobnych zapytań.
Możesz rozważyć podstawowe rozwiązania firmy Microsoft z następujących powodów:
- Znormalizowany schemat ułatwia wykonywanie zapytań dotyczących szczegółów zdarzenia. Nie musisz pamiętać innej składni dostawcy dla podobnych atrybutów dziennika.
- Jeśli nie musisz zarządzać zawartością dla wielu rozwiązań, wdrażanie przypadków użycia i obsługa zdarzeń jest łatwiejsze.
- Skonsolidowany widok skoroszytu zapewnia lepszą widoczność środowiska i możliwy czas analizowania zapytań przy użyciu analizatorów ASIM o wysokiej wydajności.
Obsługiwane schematy ASIM
Podstawowe rozwiązania są obecnie dostępne w następujących różnych schematach karty ASIM, które obsługuje usługa Sentinel:
- Zdarzenie inspekcji
- Zdarzenie uwierzytelniania
- Działanie DNS
- Aktywność pliku
- Sesja sieciowa
- Zdarzenie procesu
- Sesja sieci Web
Aby uzyskać więcej informacji, zobacz Zaawansowane schematy modelu informacji o zabezpieczeniach (ASIM).
Normalizacja czasu pozyskiwania
Wyniki normalizacji czasu pozyskiwania można pozyskać do następującej znormalizowanej tabeli:
- ASimDnsActivityLogs dla schematu DNS.
- ASimNetworkSessionLogs dla schematu sesji sieciowej
Aby uzyskać więcej informacji, zobacz Normalizacja czasu pozyskiwania.
Zawartość dostępna z podstawowymi rozwiązaniami domeny opartymi na usłudze ASIM
W poniższej tabeli opisano typ zawartości dostępnej dla każdego podstawowego rozwiązania. W przypadku niektórych konkretnych przypadków użycia warto również użyć zawartości dostępnej w rozwiązaniu produktu Microsoft Sentinel.
| Typ zawartości | opis |
|---|---|
| Reguła analityczna | Reguły analityczne dostępne w podstawowych rozwiązaniach opartych na karcie ASIM są ogólne i nadają się do dowolnego z zależnych rozwiązań produktów Microsoft Sentinel dla tej domeny. Rozwiązanie produktu Microsoft Sentinel może mieć określony przypadek użycia określony w źródle w ramach reguły analitycznej. Włącz reguły rozwiązania produktów Microsoft Sentinel zgodnie z potrzebami dla danego środowiska. |
| Zapytanie dotyczące wyszukiwania zagrożeń | Zapytania wyszukiwania zagrożeń dostępne w podstawowych rozwiązaniach opartych na karcie ASIM są ogólne i dobrym rozwiązaniem do wyszukiwania zagrożeń z dowolnego zależnego rozwiązania produktu Microsoft Sentinel dla tej domeny. Rozwiązanie produktu Microsoft Sentinel może mieć dostępne gotowe zapytanie dotyczące wyszukiwania zagrożeń dla określonego źródła. Użyj zapytań wyszukiwania zagrożeń z rozwiązania produktu Microsoft Sentinel zgodnie z potrzebami dla danego środowiska. |
| Podręcznik | Podstawowe rozwiązania oparte na karcie ASIM powinny obsługiwać dane z wysokimi zdarzeniami na sekundy. Jeśli masz zawartość korzystającą z tej ilości danych, może wystąpić pewien wpływ na wydajność, który może spowodować powolne ładowanie skoroszytów lub wyników zapytań. Aby rozwiązać ten problem, podręcznik podsumowania podsumowuje dzienniki źródłowe i przechowuje informacje w wstępnie zdefiniowanej tabeli. Włącz podręcznik podsumowania, aby umożliwić wykonywanie zapytań dotyczących tej tabeli w podstawowych rozwiązaniach. Ponieważ podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, które tworzą oddzielne zasoby, mogą być naliczane inne opłaty. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Azure Logic Apps. Inne opłaty mogą również dotyczyć przechowywania podsumowanych danych. |
| Obserwowane | Podstawowe rozwiązania oparte na karcie ASIM korzystają z listy kontrolnej zawierającej wiele zestawów warunków wykrywania reguł analitycznych i zapytań wyszukiwania zagrożeń. Lista do obejrzenia umożliwia wykonywanie następujących zadań: - Wykonaj ukierunkowane monitorowanie przy użyciu filtrowania danych. - Przełączanie między wyszukiwaniem zagrożeń i wykrywaniem dla każdego elementu listy. — Zachowaj wartość Typ progu ustawiony na Statyczny , aby wykorzystać alerty oparte na progach, podczas gdy alerty oparte na anomalii będą uczyć się z ostatnich kilku dni danych (maksymalnie 14 dni). — Zmodyfikuj nazwę alertu, opis, taktykę i ważność , używając tej listy kontrolnej dla poszczególnych elementów listy. — Wyłącz wykrywanie, ustawiając ważność jako Wyłączone. |
| skoroszyt | Skoroszyt dostępny z podstawowymi rozwiązaniami opartymi na karcie ASIM zapewnia skonsolidowany widok różnych zdarzeń i działań w domenie zależnej. Ponieważ ten skoroszyt pobiera wyniki z bardzo dużej ilości danych, może wystąpić pewne opóźnienie wydajności. Jeśli wystąpią problemy z wydajnością, użyj podręcznika podsumowania. |
Te podstawowe rozwiązania, takie jak inne rozwiązania domeny usługi Microsoft Sentinel, nie mają własnego łącznika. Zależą one od łączników specyficznych dla źródła w rozwiązaniach produktów Microsoft Sentinel w celu ściągnięcia dzienników. Aby zrozumieć produkty obsługiwane przez rozwiązanie domeny, zapoznaj się z listą wymagań wstępnych rozwiązań produktów, które są dostępne na liście podstawowych rozwiązań domeny ASIM. Zainstaluj co najmniej jedno rozwiązanie produktu. Skonfiguruj łączniki danych, aby spełniały potrzeby zależności bazowego produktu i aby umożliwić lepsze użycie tej zawartości rozwiązania domeny.
Powiązane artykuły
- Znajdowanie podstawowych rozwiązań domeny opartych na karcie ASIM, takich jak podstawowe informacje o sesji sieciowej i rozwiązanie DNS Essentials dla usługi Microsoft Sentinel
- Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)