Normalleştirme ve gelişmiş SıEM bilgi modeli (ASıM) (Genel Önizleme)
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Microsoft, birçok kaynaktan veri verilerini de geçersiz kılar. Çeşitli veri türleri ve tablolarla birlikte çalışmak, bunların her birini anlamanızı ve analiz kuralları, çalışma kitapları ve her tür ya da şema için arama sorguları için benzersiz veri kümelerini yazmanızı ve kullanmanızı gerektirir.
Bazen, veri türleri güvenlik duvarı cihazları gibi ortak öğeleri paylaştığında bile ayrı kurallar, çalışma kitapları ve sorgular gerekir. Araştırma sırasında farklı veri türleri arasında bağıntılandırılması zor olabilir.
Bu makalede, birden fazla veri türünü işleme sorunları için bir çözüm sağlayan gelişmiş güvenlik bilgileri ve olay yönetimi (SıEM) bilgi modeli (ASıM) hakkında genel bir bakış sunulmaktadır.
İpucu
Ayrıca, asim Web seminerini izleyin veya Web seminerinin slaytlarınıgözden geçirin. Daha fazla bilgi için bkz. Sonraki adımlar.
Önemli
ASıM Şu anda ÖNIZLEME aşamasındadır. Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.
Ortak ASıM kullanımı
Gelişmiş SıEM bilgi modeli (ASıM), aşağıdaki işlevleri sunarak, çeşitli kaynakları Tekdüzen, normalleştirilmiş görünümlerde işlemek için sorunsuz bir deneyim sağlar:
Çapraz kaynak algılama. Normalleştirilmiş analiz kuralları, kaynaklar, şirket içi ve bulut arasında çalışır ve okta, AWS ve Azure dahil olmak üzere sistemler arasında deneme yanılma veya imkansız bir seyahat gibi saldırıları tespit ediyor.
Kaynak belirsiz içerik. ASıM kullanarak hem yerleşik hem de özel içeriğin kapsamı, kaynak, içerik oluşturulduktan sonra eklense bile, ASıM 'yi destekleyen herhangi bir kaynağa otomatik olarak genişletilir. örneğin, işlem olay analizi, bir müşterinin, uç nokta için Microsoft Defender, Windows olayları ve Sysmon gibi verileri getirmek için kullanabileceği tüm kaynakları destekler.
Yerleşik Analize özel kaynaklarınız Için destek
Kullanım kolaylığı. Bir analistin ASıM öğrenmesinden sonra, alan adları her zaman aynı olduğundan sorgu yazma çok daha basittir.
ASıM ve açık kaynaklı güvenlik olayları meta verileri
Gelişmiş SıEM bilgi modeli, açık kaynak güvenliği olayları meta verileri (OSSEM) ortak bilgi modeliyle hizalanır ve bu da normalleştirilmiş varlıkların normalleştirilme tablolarında bağıntı sağlar.
OSSEM, birincil olarak farklı veri kaynaklarından ve işletim sistemlerinden gelen güvenlik olay günlüklerinin belgelerine ve standartına odaklanan topluluk temelli bir projem. Proje ayrıca, Güvenlik analistlerinin farklı veri kaynakları genelinde verileri sorgulamasına ve çözümlemesine izin vermek için veri normalleştirme yordamları sırasında veri mühendisleri için kullanılabilecek bir Genel Bilgi Modeli (CıM) sağlar.
Daha fazla bilgi için bkz. Ossem başvuru belgeleri.
ASIM bileşenleri
Aşağıdaki görüntüde, Normalleştirilmemiş verilerin normalleştirilmiş içeriğe nasıl çevrilebilen ve Microsoft Sentinel 'de nasıl kullanıldığı gösterilmektedir. Örneğin, özel, ürüne özgü, Normalleştirilmemiş bir tabloyla başlayabilir ve bu tabloyu normalleştirilmiş verilere dönüştürmek için bir Ayrıştırıcı ve bir normalleştirme şeması kullanabilirsiniz. Normalleştirilmiş verilerinizi hem Microsoft hem de özel analizler, kurallar, çalışma kitaplarında, sorgularda ve daha birçok konuda kullanın.
Gelişmiş SıEM bilgi modeli aşağıdaki bileşenleri içerir:
| Bileşen | Açıklama |
|---|---|
| Normalleştirilmiş şemalar | Birleşik özellikleri oluştururken kullanabileceğiniz, öngörülebilir olay türlerinin standart kümelerini kapsar. Her şema, bir olayı temsil eden alanları, normalleştirilmiş bir sütun adlandırma kuralını ve alan değerleri için standart bir biçimi tanımlar. ASıM Şu anda aşağıdaki şemaları tanımlıyor: - Kimlik doğrulama olayı - DHCP etkinliği - DNS etkinliği - Dosya etkinliği - Ağ oturumu - İşlem olayı - Kayıt defteri olayı - Web oturumu Daha fazla bilgi için bkz. Advanced SIEM Information model şemaları. |
| Icılar | Varolan verileri KQL işlevlerinikullanarak normalleştirilmiş şemalarla eşleyin. microsoft Parsers Sentinel GitHub deposundaki klasördenmicrosoft tarafından geliştirilen normalleştirici ayrıştırıcılarını dağıtın. Daha fazla bilgi için bkz. Advanced SIEM Information model Çözümleyicileri. |
| Her normalleştirilmiş şema için içerik | Analiz kuralları, çalışma kitapları, sorguları yönetme ve daha fazlasını içerir. Her normalleştirilmiş şema için içerik, kaynağa özgü içerik oluşturmaya gerek kalmadan Normalleştirilmemiş veriler üzerinde çalışmaktadır. Daha fazla bilgi için bkz. Advanced SIEM Information model içeriği. |
ASıM terminolojisi
Gelişmiş SıEM bilgi modeli aşağıdaki terimleri kullanır:
| Süre | Açıklama |
|---|---|
| Raporlama cihazı | Kayıtları Microsoft Sentinel 'e gönderen sistem. Bu sistem, gönderilen kaydın Konu sistemi olmayabilir. |
| Kayıt | Raporlama aygıtından gönderilen veri birimi. Kayıt, genellikle, veya olarak adlandırılır log , event alert ancak diğer veri türleri de olabilir. |
| İçerik veya içerik öğesi | Microsoft Sentinel ile kullanılabilecek farklı, özelleştirilebilir veya Kullanıcı tarafından oluşturulan yapılar. Bu yapıtlar, örneğin analiz kuralları, sorguları ve çalışma kitaplarını ele alır. Bir içerik öğesi, bu yapıtın bir öğesidir. |
ASıM ile çalışmaya başlama
ASIM kullanmaya başlamak için:
tüm asim ayrıştırıcılarını hızla Microsoft Sentinel GitHub deposundandağıtın.
ASıM kullanan analiz kuralı şablonlarını etkinleştirin. Daha fazla bilgi için bkz. Advanced SIEM Information model (ASıM) içerik listesi.
Aşağıdaki yöntemleri kullanarak çalışma alanınızda ASıM kullanın:
microsoft sentinel logs sayfasında kql içindeki günlükleri sorgularken microsoft sentinel GitHub deposundaki asım arama sorgularını kullanın. Daha fazla bilgi için bkz. Advanced SIEM Information model (ASıM) içerik listesi.
ASıM kullanarak kendi analiz kurallarınızı yazın veya var olanları dönüştürün.
Özel verilerinize yönelik Çözümleyicileri yazarak ve bunları ilgili kaynak belirsiz ayrıştırıcıya ekleyerek , yerleşik analizleri kullanmak için özel verilerinizi etkinleştirin.
Sonraki adımlar
Bu makalede, Microsoft Sentinel ve Advanced SıEM Information modelinin normalleştirilmesi hakkında bir genel bakış sunulmaktadır.
Daha fazla bilgi için bkz.