Úprava obsahu pro použití modelu ASIM (Advanced Security Information Model) (Public Preview)

Normalizovaný obsah zabezpečení ve službě Microsoft Sentinel zahrnuje analytická pravidla, dotazy proaktivního vyhledávání a sešity, které pracují se sjednocujícími analyzátory normalizace.

V galeriích a řešeních služby Microsoft Sentinel můžete najít normalizovaný předefinovaný obsah, vytvořit si vlastní normalizovaný obsah nebo upravit existující vlastní obsah tak, aby používal normalizovaná data.

Tento článek vysvětluje, jak převést stávající analytická pravidla služby Microsoft Sentinel tak, aby používala normalizovaná data pomocí modelu ASIM (Advanced Security Information Model).

Informace o tom, jak normalizovaný obsah zapadá do architektury ASIM, najdete v diagramu architektury ASIM.

Tip

Podívejte se také na webinář s podrobnými informacemi o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky. Další informace najdete v části Další kroky.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.

Úprava vlastního obsahu tak, aby používal normalizaci

Povolení normalizace vlastního obsahu služby Microsoft Sentinel:

• Upravte dotazy tak, aby používaly všechny sjednocující analyzátory relevantní pro dotaz.

• Upravte názvy polí v dotazu tak, aby používaly normalizované názvy polí schématu .

• Pokud je to možné, změňte podmínky tak, aby používaly normalizované hodnoty polí v dotazu.

Ukázková normalizace pro analytická pravidla

Představte si například vzácného klienta pozorovaného u analytického pravidla DNS s vysokým počtem reverzních vyhledávání DNS , které funguje na událostech DNS odesílané servery DNS Infoblox:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

Následující kód je verze nezávislá na zdroji, která používá normalizaci k zajištění stejné detekce pro jakýkoli zdroj poskytující události dotazů DNS. Následující příklad používá integrované analyzátory ASIM:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Pokud chcete použít analyzátory ASIM nasazené v pracovním prostoru, nahraďte první řádek následujícím kódem:

imDns(responsecodename='NXDOMAIN')

Rozdíly mezi integrovanými analyzátory a analyzátory nasazenými v pracovním prostoru

Dvě možnosti ve výše uvedeném příkladu jsou funkčně identické. Normalizovaná verze nezávislá na zdroji má následující rozdíly:

• Místo _Im_Dns analyzátoru Infoblox se používají normalizované analyzátory nebo imDns.

• Normalizované analyzátory načítají pouze události dotazů DNS, takže není potřeba kontrolovat typ události, který provádí where ProcessName =~ "named" and Log_Type =~ "client" ve verzi Infoblox.

• Pole SrcIpAddr se použije místo Client_IP.

• Filtrování parametrů analyzátoru se používá pro ResponseCodeName, což eliminuje potřebu explicitních where klauzulí.

Poznámka

Kromě podpory všech normalizovaných zdrojů DNS je normalizovaná verze kratší a srozumitelnější.

Pokud schéma nebo analyzátory nepodporují parametry filtrování, jsou změny podobné s tím rozdílem, že podmínky filtrování jsou zachovány z původního dotazu. Příklad:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Další kroky

Tento článek popisuje obsah modelu ASIM (Advanced Security Information Model).

Další informace naleznete v tématu:

• Podívejte se na podrobný webinář o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky.
• Přehled advanced Security Information Model (ASIM)
• Analyzátory ASIM (Advanced Security Information Model)
• Schémata ASIM (Advanced Security Information Model)
• Obsah modelu ASIM (Advanced Security Information Model)