Normalisering och ASIM (Advanced SIEM Information Model) (allmänt tillgänglig förhandsversion)
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Microsoft Sentinel matar in data från många källor. När du arbetar med olika datatyper och tabeller tillsammans måste du förstå var och en av dem och skriva och använda unika datauppsättningar för analysregler, arbetsböcker och jaktfrågor för varje typ eller schema.
Ibland behöver du separata regler, arbetsböcker och frågor, även när datatyper delar gemensamma element, till exempel brandväggsenheter. Det kan också vara svårt att korrelera mellan olika typer av data under en undersökning och jakt.
Den här artikeln innehåller en översikt över ASIM -informationsmodellen (Advanced Security Information and Event Management), som ger en lösning för utmaningarna med att hantera flera typer av data.
Tips
Titta även på ASIM-webbseminor eller granska webbseminorbilderna. Mer information finns under Nästa steg.
Viktigt
ASIM är för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure-förhandsversionen innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.
Vanlig ASIM-användning
Den avancerade SIEM-informationsmodellen (ASIM) ger en sömlös upplevelse för hantering av olika källor i enhetliga, normaliserade vyer genom att tillhandahålla följande funktioner:
Identifiering av flera källor. Normaliserade analysregler fungerar mellan källor, lokalt och i molnet och identifierar attacker som råstyrkkraft eller omöjlig resa mellan system, inklusive Okta, AWS och Azure.
Källoberoende innehåll. Täckningen för både inbyggt och anpassat innehåll med ASIM utökas automatiskt till alla källor som stöder ASIM, även om källan lades till efter att innehållet har skapats. Processhändelseanalys stöder till exempel alla källor som en kund kan använda för att hämta data, till exempel Microsoft Defender för slutpunkt, Windows-händelser och Sysmon.
Stöd för dina anpassade källor , i inbyggd analys
Användarvänlighet. När en analytiker har lärt sig ASIM är det mycket enklare att skriva frågor eftersom fältnamnen alltid är desamma.
ASIM och metadata för säkerhetshändelser med öppen källkod
Den avancerade SIEM-informationsmodellen överensstämmer med den gemensamma informationsmodellen för säkerhetshändelser med öppen källkod (OSSEM), vilket möjliggör förutsägbar entitetskorrelation mellan normaliserade tabeller.
OSSEM är ett community-baserat projekt som främst fokuserar på dokumentation och standardisering av säkerhetshändelseloggar från olika datakällor och operativsystem. Projektet tillhandahåller också en Common Information Model (CIM) som kan användas för datatekniker under procedurer för data normalisering så att säkerhetsanalytiker kan köra frågor mot och analysera data i olika datakällor.
Mer information finns i OSSEM-referensdokumentationen.
ASIM-komponenter
Följande bild visar hur icke-normaliserade data kan översättas till normaliserat innehåll och användas i Microsoft Sentinel. Du kan till exempel börja med en anpassad, produktspecifik, icke-normaliserad tabell och använda en parser och ett normaliseringsschema för att konvertera tabellen till normaliserade data. Använd dina normaliserade data i både Microsoft- och anpassade analyser, regler, arbetsböcker, frågor med mera.
Avancerad SIEM-informationsmodell innehåller följande komponenter:
| Komponent | Beskrivning |
|---|---|
| Normaliserade scheman | Omfattar standarduppsättningar med förutsägbara händelsetyper som du kan använda när du skapar enhetliga funktioner. Varje schema definierar de fält som representerar en händelse, en normaliserad namngivningskonvention för kolumner och ett standardformat för fältvärdena. ASIM definierar för närvarande följande scheman: - Autentiseringshändelse - DHCP-aktivitet - DNS-aktivitet - Filaktivitet - Nätverkssession - Processhändelse - Registerhändelse - Webbsession Mer information finns i Avancerade SIEM-informationsmodellscheman. |
| Tolkar | Mappa befintliga data till normaliserade scheman med hjälp av KQL-funktioner. Distribuera Microsoft-utvecklade normaliseringsparser från mappen Parsers i Microsoft Sentinel GitHub lagringsplatsen. Mer information finns i Advanced SIEM Information Model parsers. |
| Innehåll för varje normaliserat schema | Innehåller analysregler, arbetsböcker, jaktfrågor med mera. Innehåll för varje normaliserat schema fungerar på normaliserade data utan att du behöver skapa källspecifikt innehåll. Mer information finns i Avancerat innehåll för SIEM-informationsmodellen. |
ASIM-terminologi
Avancerad SIEM-informationsmodell använder följande termer:
| Period | Beskrivning |
|---|---|
| Rapportera enhet | Det system som skickar posterna till Microsoft Sentinel. Det här systemet kanske inte är ämnessystemet för den post som skickas. |
| Post | En dataenhet som skickas från rapportenheten. En post kallas ofta log , eller , men kan även vara andra typer av event alert data. |
| Innehåll eller innehållsobjekt | De olika, anpassningsbara eller användarskapade artefakterna som kan användas med Microsoft Sentinel. Dessa artefakter omfattar till exempel analysregler, jaktfrågor och arbetsböcker. Ett innehållsobjekt är en sådan artefakt. |
Komma igång med ASIM
Så här börjar du använda ASIM:
Distribuera snabbt alla ASIM-parsers från Microsoft Sentinel GitHub lagringsplatsen.
Aktivera analysregelmallar som använder ASIM. Mer information finns i innehållslistan Advanced SIEM Information Model (ASIM).
Använd ASIM på din arbetsyta med hjälp av följande metoder:
Använd ASIM-jaktfrågor från Microsoft Sentinel GitHub databasen när du frågar loggar i KQL på sidan Microsoft Sentinel-loggar. Mer information finns i innehållslistan Advanced SIEM Information Model (ASIM).
Skriv dina egna analysregler med ASIM eller konvertera befintliga.
Gör det möjligt för dina anpassade data att använda inbyggd analys genom att skriva parsare för dina anpassade källor och lägga till dem i relevant källoberoende parser.
Nästa steg
Den här artikeln innehåller en översikt över normalisering i Microsoft Sentinel och avancerad SIEM-informationsmodell.
Mer information finns i: