Sdílet prostřednictvím

Normalizace a rozšířený informační model zabezpečení (ASIM) (Public Preview)

  • Článek

Microsoft Sentinel ingestuje data z mnoha zdrojů. Práce s různými datovými typy a tabulkami vyžaduje, abyste každou z nich pochopili a mohli psát a používat jedinečné sady dat pro analytická pravidla, sešity a dotazy proaktivního vyhledávání pro každý typ nebo schéma.

Někdy budete potřebovat samostatná pravidla, sešity a dotazy, i když datové typy sdílejí společné prvky, jako jsou zařízení brány firewall. Korelace mezi různými typy dat během vyšetřování a proaktivním vyhledáváním může být také náročná.

Advanced Security Information Model (ASIM) je vrstva, která se nachází mezi těmito různorodými zdroji a uživatelem. ASIM se řídí principem robustnosti: "Buďte striktní v tom, co odesíláte, buďte flexibilní v tom, co přijímáte". Pomocí principu robustnosti jako vzoru návrhu asim transformuje proprietární zdrojovou telemetrii shromážděnou službou Microsoft Sentinel na uživatelsky přívětivá data pro usnadnění výměny a integrace.

Tento článek obsahuje přehled modelu ASIM (Advanced Security Information Model), jeho případů použití a hlavních komponent.

Tip

Podívejte se také na webinář ASIM nebo si prohlédněte snímky webináře.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Běžné využití ASIM

ASIM poskytuje bezproblémové prostředí pro zpracování různých zdrojů v jednotných normalizovaných zobrazeních tím, že poskytuje následující funkce:

  • Detekce křížového zdroje Normalizovaná analytická pravidla fungují napříč zdroji, místním prostředím a cloudem a detekují útoky, jako je hrubá síla nebo nemožné cestování mezi systémy, včetně Okta, AWS a Azure.

  • Zdrojový obsah nezávislý na zdroji Pokrytí integrovaného i vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoli zdroj, který podporuje ASIM, i když byl zdroj přidán po vytvoření obsahu. Zpracování analýzy událostí například podporuje jakýkoli zdroj, který může zákazník použít k přenesení dat, jako je Microsoft Defender for Endpoint, Události Systému Windows a Sysmon.

  • Podpora vlastních zdrojů v integrovaných analytických funkcích

  • Snadné použití. Jakmile analytik zjistí ASIM, psaní dotazů je mnohem jednodušší, protože názvy polí jsou vždy stejné.

Metadata událostí zabezpečení ASIM a open source

ASIM je v souladu s běžným informačním modelem OSSEM (Open Source Security Events Metadata) a umožňuje předvídatelné entity korelace mezi normalizovanými tabulkami.

OSSEM je komunitní projekt, který se zaměřuje především na dokumentaci a standardizaci protokolů událostí zabezpečení z různých zdrojů dat a operačních systémů. Projekt také poskytuje model CIM (Common Information Model), který lze použít pro datové inženýry během postupů normalizace dat, aby analytici zabezpečení mohli dotazovat a analyzovat data napříč různými zdroji dat.

Další informace najdete v referenční dokumentaci k OSSEM.

Komponenty ASIM

Následující obrázek ukazuje, jak se nenormalizované data dají přeložit do normalizovaného obsahu a používat je v Microsoft Sentinelu. Můžete například začít s vlastní tabulkou specifickou, nenormalizovanou tabulkou a pomocí analyzátoru a schématu normalizace převést tuto tabulku na normalizovaná data. Normalizovaná data můžete používat jak v Microsoftu, tak ve vlastních analytických možnostech, pravidlech, sešitech, dotazech a dalších možnostech.

Diagram znázorňující nenormalizovaný tok a využití převodu dat v Microsoft Sentinelu

ASIM zahrnuje následující komponenty:

Normalizovaná schémata

Normalizovaná schémata pokrývají standardní sady předvídatelných typů událostí, které můžete použít při vytváření jednotných funkcí. Každé schéma definuje pole, která představují událost, normalizované zásady vytváření názvů sloupců a standardní formát hodnot polí.

ASIM v současné době definuje následující schémata:

Další informace najdete v tématu Schémata ASIM.

Analyzátory času dotazů

ASIM využívá analyzátory času dotazů k mapování existujících dat na normalizovaná schémata pomocí funkcí KQL. Řada předem připravených analyzátorů ASIM je k dispozici jako součást produktu Microsoft Sentinel. Další analyzátory a verze předdefinovaných analyzátorů, které je možné upravit, je možné nasadit z úložiště GitHub pro Microsoft Sentinel.

Další informace najdete v tématu Analyzátory ASIM.

Normalizace doby ingestování

Analyzátory času dotazů mají mnoho výhod:

  • Nevyžadují úpravu dat, a proto zachovávají zdrojový formát.
  • Vzhledem k tomu, že data neupravují, ale spíše představují zobrazení dat, jsou snadno vyvíjeny. Vývoj, testování a oprava analyzátoru je možné provádět u existujících dat. Analyzátory je navíc možné opravit, když se zjistí problém, a oprava se použije pro existující data.

Zatímco analyzátory ASIM jsou optimalizované, analýza času dotazu může zpomalovat dotazy, zejména u velkých datových sad. K vyřešení tohoto problému Microsoft Sentinel doplňuje analýzu času dotazů pomocí analýzy ingestujícího času. Při použití transformace ingestace se události normalizují na normalizovanou tabulku a urychlují dotazy, které používají normalizovaná data.

V současné době ASIM podporuje následující nativní normalizované tabulky jako cíl pro normalizaci ingestování času:

Další informace naleznete v tématu Ingestování normalizace času.

Obsah pro každé normalizované schéma

Obsah, který používá ASIM, zahrnuje řešení, analytická pravidla, sešity, dotazy proaktivního vyhledávání a další. Obsah pro každé normalizované schéma funguje na všech normalizovaných datech bez nutnosti vytvářet zdrojový obsah.

Další informace najdete v tématu Obsah ASIM.

Začínáme s ASIM

Jak začít používat ASIM:

Související obsah

Tento článek obsahuje přehled normalizace v Microsoft Sentinelu a ASIM.

Další informace naleznete v tématu: