Microsoft Sentinel için Gelişmiş Güvenlik Bilgileri Modeli (ASIM) tabanlı etki alanı çözümleri (önizleme)

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft temel çözümleri, Microsoft Sentinel için Microsoft tarafından yayımlanan etki alanı çözümleridir. Bu çözümler, ağ gibi belirli kategoriler için birden çok üründe çalışabilen kullanıma hazır içeriğe sahiptir. Bu temel çözümlerden bazıları, verileri sorgu zamanında veya alım zamanında normalleştirmek için Gelişmiş Güvenlik Bilgileri Modeli (ASIM) normalleştirme tekniğini kullanır.

Önemli

Microsoft temel çözümleri ve Ağ Oturumu Temel Bileşenleri çözümü şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

ASIM tabanlı Microsoft temel çözümlerini neden kullanmalısınız?

Bir etki alanı kategorisindeki birden çok çözüm benzer algılama desenlerini paylaştığında, verilerin ASIM gibi normalleştirilmiş bir şema altında yakalanması mantıklıdır. Temel çözümler, büyük ölçekteki tehditleri algılamak için bu ASIM şemasını kullanır.

İçerik hub'ında, "Güvenlik - Ağ" gibi farklı etki alanı kategorileri için birden çok ürün çözümü vardır. Örneğin, Azure Güvenlik Duvarı, Palo Alto Güvenlik Duvarı ve Corelight'ta "Güvenlik - Ağ" etki alanı kategorisi için ürün çözümleri vardır.

• Bu çözümler, tasarım gereği farklı veri alma bileşenlerine sahiptir. Ancak analiz, avlanma, çalışma kitapları ve aynı etki alanı kategorisindeki diğer içeriklerde belirli bir desen vardır.
• Ana ağ ürünlerinin çoğu, olağan dışı IP adreslerinden gelen kötü amaçlı tehditleri içeren yaygın bir temel güvenlik duvarı uyarısı kümesine sahiptir. Analiz kuralı şablonu genel olarak ürün çözümlerinin "Güvenlik - Ağ" kategorilerinin her biri için yinelenmiştir. Birden çok ağ ürünü çalıştırıyorsanız, verimsiz olan birden çok analiz kuralını tek tek denetlemeniz ve yapılandırmanız gerekir. Ayrıca yapılandırılan her kural için uyarı alırsınız ve uyarı yorgunluğuyla sonuçlanabilirsiniz.
• Yinelenen avcılık sorgularınız varsa, her şeyi çalıştırma moduyla daha az performanslı avlanma deneyimleriniz olabilir. Bu yinelenen avcılık sorguları, tehdit avcılarının benzer sorguları seçmesi ve çalıştırması için verimsizlikler de sağlar.

Aşağıdaki nedenlerle Microsoft'un temel çözümlerini göz önünde bulundurabilirsiniz:

• Normalleştirilmiş şema, olay ayrıntılarını sorgulamanızı kolaylaştırır. Benzer günlük öznitelikleri için farklı satıcı söz dizimlerini hatırlamanız gerekmez.
• Birden çok çözüm için içeriği yönetmeniz gerekmiyorsa kullanım örneği dağıtımı ve olay işleme daha kolaydır.
• Birleştirilmiş çalışma kitabı görünümü, yüksek performanslı ASIM ayrıştırıcılarıyla daha iyi ortam görünürlüğü ve olası sorgu süresi ayrıştırma olanağı sağlar.

DESTEKLENEN ASIM şemaları

Temel çözümler şu anda Sentinel'in desteklediği aşağıdaki farklı ASIM şemalarına yayılmıştır:

• Denetim olayı
• Kimlik doğrulama olayı
• DNS etkinliği
• Dosya etkinliği
• Ağ oturumu
• olayı işleme
• Web oturumu

Daha fazla bilgi için bkz . Gelişmiş Güvenlik Bilgi Modeli (ASIM) şemaları.

Alma süresi normalleştirmesi

Alma süresi normalleştirme sonuçları aşağıdaki normalleştirilmiş tabloya alınabilir:

• DNS şeması için ASimDnsActivityLogs .
• Ağ Oturumu şeması için ASimNetworkSessionLogs

Daha fazla bilgi için bkz . Alma süresi normalleştirmesi.

ASIM tabanlı etki alanı temel çözümleriyle kullanılabilen içerik

Aşağıdaki tabloda, her temel çözümde kullanılabilen içerik türü açıklanmaktadır. Bazı belirli kullanım örnekleri için, Microsoft Sentinel ürün çözümüyle sağlanan içeriği de kullanmak isteyebilirsiniz.

İçerik türü	açıklama
Analitik Kural	ASIM tabanlı temel çözümlerde kullanılabilen analiz kuralları geneldir ve bu etki alanı için bağımlı Microsoft Sentinel ürün çözümlerinden herhangi birine uygundur. Microsoft Sentinel ürün çözümünde analiz kuralının bir parçası olarak ele alınan kaynağa özgü bir kullanım örneği olabilir. Ortamınız için gerektiğinde Microsoft Sentinel ürün çözümü kurallarını etkinleştirin.
Tehdit avcılığı sorgusu	ASIM tabanlı temel çözümlerde sağlanan tehdit avcılığı sorguları geneldir ve bu etki alanı için bağımlı Microsoft Sentinel ürün çözümlerinden herhangi birinden gelen tehditleri avlamak için uygundur. Microsoft Sentinel ürün çözümünde kullanıma hazır bir kaynağa özgü tehdit avcılığı sorgusu bulunabilir. Ortamınız için gerektiğinde Microsoft Sentinel ürün çözümünden gelen tehdit avcılığı sorgularını kullanın.
Playbook	ASIM tabanlı temel çözümlerin saniye başına yüksek olay içeren verileri işlemesi beklenir. Bu veri hacmini kullanan içeriğiniz olduğunda, çalışma kitaplarının veya sorgu sonuçlarının yavaş yüklenmesine neden olabilecek bazı performans etkileriyle karşılaşabilirsiniz. Bu sorunu çözmek için özetleme playbook'u kaynak günlükleri özetler ve bilgileri önceden tanımlanmış bir tabloda depolar. Temel çözümlerin bu tabloyu sorgulamasına izin vermek için özetleme playbook'unu etkinleştirin. Microsoft Sentinel'deki playbook'lar ayrı kaynaklar oluşturan Azure Logic Apps'te yerleşik iş akışlarına dayandığından, başka ücretler uygulanabilir. Daha fazla bilgi için Bkz . Azure Logic Apps fiyatlandırma sayfası. Özetlenen verilerin depolanması için başka ücretler de uygulanabilir.
İzleme Listesi	ASIM tabanlı temel çözümler analiz kuralı algılama ve tehdit avcılığı sorguları için birden çok koşul kümesi içeren bir izleme listesi kullanır. İzleme listesi aşağıdaki görevleri gerçekleştirmenizi sağlar: - Veri filtreleme ile odaklanmış izleme yapın. - Her liste öğesi için avlanma ve algılama arasında geçiş yapın. - Eşik tabanlı uyarılardan yararlanmak için Eşik türünü Statik olarak ayarlayın; anomali tabanlı uyarılar ise son birkaç günlük verilerden (en fazla 14 gün) ders alabilir. - Tek tek liste öğeleri için bu izleme listesini kullanarak Uyarı Adı, Açıklama, Taktik ve Önem Derecesini değiştirin. - Önem Derecesi'nin Devre Dışı olarak ayarlanmasıyla algılamayı devre dışı bırakın.
Çalışma Kitabı	ASIM tabanlı temel çözümlerle kullanılabilen çalışma kitabı, bağımlı etki alanında gerçekleşen farklı olayların ve etkinliklerin birleştirilmiş bir görünümünü sağlar. Bu çalışma kitabı çok yüksek miktarda veriden sonuç aldığından bazı performans gecikmeleri olabilir. Performans sorunlarıyla karşılaşıyorsanız özetleme playbook'unu kullanın.

Diğer Microsoft Sentinel etki alanı çözümleri gibi bu temel çözümlerin kendi bağlayıcısı yoktur. Günlükleri çekmek için Microsoft Sentinel ürün çözümlerindeki kaynağa özgü bağlayıcılara bağlıdır. Etki alanı çözümünün desteklediği ürünleri anlamak için ASIM etki alanı temel çözümleri listelerinin her birinin ürün çözümlerinin önkoşul listesine bakın. Bir veya daha fazla ürün çözümü yükleyin. Veri bağlayıcılarını, temel alınan ürün bağımlılığı gereksinimlerini karşılayacak ve bu etki alanı çözümü içeriğinin daha iyi kullanımını sağlayacak şekilde yapılandırın.

İlgili makaleler

• Microsoft Sentinel için Ağ Oturumu Temel Bileşenleri ve DNS Temel Bileşenleri Çözümü gibi ASIM tabanlı etki alanı temel çözümlerini bulma
• Gelişmiş Güvenlik Bilgi Modeli'ni (ASIM) kullanma