Partilhar via

Soluções de domínio baseadas em ASIM (Advanced Security Information Model) para Microsoft Sentinel (visualização)

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

As soluções essenciais da Microsoft são soluções de domínio publicadas pela Microsoft para o Microsoft Sentinel. Essas soluções têm conteúdo pronto para uso que pode operar em vários produtos para categorias específicas, como rede. Algumas dessas soluções essenciais usam a técnica de normalização Advanced Security Information Model (ASIM) para normalizar os dados no momento da consulta ou no momento da ingestão.

Importante

As soluções essenciais da Microsoft e a solução Network Session Essentials estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Por que usar soluções essenciais da Microsoft baseadas em ASIM?

Quando várias soluções em uma categoria de domínio compartilham padrões de deteção semelhantes, faz sentido ter os dados capturados sob um esquema normalizado como ASIM. Soluções essenciais fazem uso deste esquema ASIM para detetar ameaças em escala.

No hub de conteúdo, há várias soluções de produtos para diferentes categorias de domínio, como "Segurança - Rede". Por exemplo, o Firewall do Azure, o Firewall Palo Alto e o Corelight têm soluções de produto para a categoria de domínio "Segurança - Rede".

  • Essas soluções têm diferentes componentes de ingestão de dados por design. Mas há um certo padrão para as análises, caça, pastas de trabalho e outros conteúdos dentro da mesma categoria de domínio.
  • A maioria dos principais produtos de rede tem um conjunto básico comum de alertas de firewall que inclui ameaças maliciosas provenientes de endereços IP incomuns. O modelo de regra analítica é, em geral, duplicado para cada uma das soluções de produto da categoria "Segurança - Rede". Se você estiver executando vários produtos de rede, precisará verificar e configurar várias regras analíticas individualmente, o que é ineficiente. Você também receberia alertas para cada regra configurada e poderia acabar com fadiga de alerta.
  • Se você tiver consultas de caça duplicadas, poderá ter experiências de caça com menor desempenho com o modo run-all de caça. Essas consultas de caça duplicadas também introduzem ineficiências para os caçadores de ameaças selecionarem e executarem consultas semelhantes.

Você pode considerar soluções essenciais da Microsoft pelos seguintes motivos:

  • Um esquema normalizado facilita a consulta aos detalhes do incidente. Você não precisa se lembrar de sintaxe de fornecedor diferente para atributos de log semelhantes.
  • Se você não precisa gerenciar conteúdo para várias soluções, a implantação de casos de uso e o tratamento de incidentes são mais fáceis.
  • Uma exibição de pasta de trabalho consolidada oferece melhor visibilidade do ambiente e possível análise de tempo de consulta com analisadores ASIM de alto desempenho.

Esquemas ASIM suportados

Atualmente, as soluções essenciais abrangem os seguintes esquemas ASIM diferentes suportados pelo Sentinel:

  • Evento de auditoria
  • Evento de autenticação
  • Atividade de DNS
  • Atividade do arquivo
  • Sessão de rede
  • Evento do processo
  • Sessão Web

Para obter mais informações, consulte Esquemas ASIM (Advanced Security Information Model).

Normalização do tempo de ingestão

Os resultados da normalização do tempo de ingestão podem ser ingeridos na seguinte tabela normalizada:

Para obter mais informações, consulte Normalização do tempo de ingestão.

Conteúdo disponível com soluções essenciais de domínio baseadas em ASIM

A tabela a seguir descreve o tipo de conteúdo disponível com cada solução essencial. Para alguns casos de uso específicos, convém usar também o conteúdo disponível com a solução do produto Microsoft Sentinel.

Tipo do conteúdo descrição
Regra analítica As regras analíticas disponíveis nas soluções essenciais baseadas em ASIM são genéricas e adequadas para qualquer uma das soluções dependentes do produto Microsoft Sentinel para esse domínio. A solução do produto Microsoft Sentinel pode ter um caso de uso específico da fonte coberto como parte da regra analítica. Habilite as regras de solução do produto Microsoft Sentinel conforme necessário para seu ambiente.
Consulta de caça As consultas de caça disponíveis nas soluções essenciais baseadas em ASIM são genéricas e uma boa opção para caçar ameaças de qualquer uma das soluções dependentes do produto Microsoft Sentinel para esse domínio. A solução do produto Microsoft Sentinel pode ter uma consulta de caça específica de origem disponível pronta. Use as consultas de busca da solução de produto Microsoft Sentinel conforme necessário para seu ambiente.
Playbook Espera-se que as soluções essenciais baseadas em ASIM lidem com dados com eventos elevados por segundo. Quando você tem conteúdo que está usando esse volume de dados, você pode enfrentar algum impacto no desempenho que pode causar carregamento lento de pastas de trabalho ou resultados de consulta. Para resolver esse problema, o manual de resumo resume os logs de origem e armazena as informações em uma tabela predefinida. Habilite o manual de sumarização para permitir que as soluções essenciais consultem esta tabela.

Como os playbooks no Microsoft Sentinel são baseados em fluxos de trabalho criados nos Aplicativos Lógicos do Azure que criam recursos separados, outras cobranças podem ser aplicadas. Para obter mais informações, consulte a página de preços dos Aplicativos Lógicos do Azure. Outras taxas também podem ser aplicadas para o armazenamento dos dados resumidos.
Lista de observação As soluções essenciais baseadas em ASIM usam uma lista de observação que inclui vários conjuntos de condições para deteção de regras analíticas e consultas de caça. A lista de observação permite que você faça as seguintes tarefas:

- Fazer monitoramento focado com filtragem de dados.
- Alternar entre caça e deteção para cada item da lista.
- Mantenha o tipo de limite definido como estático para aproveitar os alertas baseados em limites, enquanto os alertas baseados em anomalias aprenderiam com os últimos dias de dados (máximo de 14 dias).
- Modifique o nome, a descrição, a tática e a gravidade do alerta usando esta lista de observação para itens de lista individuais.
- Desative a deteção definindo Severidade como Desativado.
Livro A pasta de trabalho disponível com as soluções essenciais baseadas em ASIM fornece uma visão consolidada de diferentes eventos e atividades que acontecem no domínio dependente. Como essa pasta de trabalho busca resultados de um volume muito alto de dados, pode haver algum atraso de desempenho. Se você tiver problemas de desempenho, use o manual de sumarização.

Essas soluções essenciais, como outras soluções de domínio do Microsoft Sentinel, não têm um conector próprio. Eles dependem dos conectores específicos de origem nas soluções de produto Microsoft Sentinel para obter os logs. Para entender os produtos suportados pela solução de domínio, consulte a lista de pré-requisitos de soluções de produtos de cada uma das listas de soluções essenciais de domínio do ASIM. Instale uma ou mais das soluções do produto. Configure os conectores de dados para atender às necessidades de dependência do produto subjacente e permitir um melhor uso do conteúdo dessa solução de domínio.