Vysvětlení normalizace dat
Microsoft Sentinel ingestuje data z mnoha zdrojů. Práce s různými datovými typy a tabulkami vyžaduje, abyste každou z nich pochopili a mohli psát a používat jedinečné sady dat pro analytická pravidla, sešity a dotazy proaktivního vyhledávání pro každý typ nebo schéma.
Někdy budete potřebovat samostatná pravidla, sešity a dotazy, i když datové typy sdílejí společné prvky, jako jsou zařízení brány firewall. Korelace mezi různými typy dat během vyšetřování a proaktivním vyhledáváním může být také náročná.
Advanced Security Information Model (ASIM) je vrstva, která se nachází mezi těmito různorodými zdroji a uživatelem. ASIM se řídí principem robustnosti: "Buďte striktní v tom, co odesíláte, buďte flexibilní v tom, co přijímáte". Pokud se princip robustnosti používá jako vzor návrhu, ASIM transformuje nekonzistentní Microsoft Sentinel a obtížně používá zdrojovou telemetrii k uživatelsky přívětivým datům.
Běžné využití ASIM
ASIM poskytuje bezproblémové prostředí pro zpracování různých zdrojů v jednotných normalizovaných zobrazeních tím, že poskytuje následující funkce:
Detekce křížového zdroje Normalizovaná analytická pravidla fungují napříč zdroji, místním prostředím a cloudem a detekují útoky, jako je hrubá síla nebo nemožné cestování mezi systémy, včetně Okta, AWS a Azure.
Zdrojový obsah nezávislý na zdroji Pokrytí integrovaného i vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoli zdroj, který podporuje ASIM, i když byl zdroj přidán po vytvoření obsahu. Zpracování analýzy událostí například podporuje jakýkoli zdroj, který může zákazník použít k přenesení dat, jako je Microsoft Defender for Endpoint, Události Systému Windows a Sysmon.
Podpora vlastních zdrojů v integrovaných analytických funkcích
Snadné použití. Jakmile analytik zjistí ASIM, psaní dotazů je jednodušší, protože názvy polí jsou vždy stejné.
Metadata událostí zabezpečení ASIM a open source
ASIM je v souladu s běžným informačním modelem OSSEM (Open Source Security Events Metadata) a umožňuje předvídatelné entity korelace mezi normalizovanými tabulkami.
OSSEM je komunitní projekt, který se zaměřuje především na dokumentaci a standardizaci protokolů událostí zabezpečení z různých zdrojů dat a operačních systémů. Projekt také poskytuje model CIM (Common Information Model), který lze použít pro datové inženýry během postupů normalizace dat, aby analytici zabezpečení mohli dotazovat a analyzovat data napříč různými zdroji dat.
Komponenty ASIM
Následující obrázek ukazuje, jak se nenormalizované data dají přeložit do normalizovaného obsahu a používat je v Microsoft Sentinelu. Můžete například začít s vlastní tabulkou specifickou, nenormalizovanou tabulkou a pomocí analyzátoru a schématu normalizace převést tuto tabulku na normalizovaná data. Normalizovaná data můžete používat jak v Microsoftu, tak ve vlastních analytických možnostech, pravidlech, sešitech, dotazech a dalších možnostech.
ASIM zahrnuje následující komponenty:
| Komponenta | Popis |
|---|---|
| Normalizovaná schémata | Pokrývá standardní sady předvídatelných typů událostí, které můžete použít při vytváření jednotných funkcí. Každé schéma definuje pole, která představují událost, normalizované zásady vytváření názvů sloupců a standardní formát hodnot polí. |
| Analyzátory | Namapujte existující data na normalizovaná schémata pomocí funkcí KQL. Řada předem připravených analyzátorů ASIM je k dispozici jako součást produktu Microsoft Sentinel. Další analyzátory a verze předdefinovaných analyzátorů, které je možné upravit, je možné nasadit z úložiště GitHub pro Microsoft Sentinel. |
| Obsah pro každé normalizované schéma | Zahrnuje analytická pravidla, sešity, dotazy proaktivního vyhledávání a další. Obsah pro každé normalizované schéma funguje na všech normalizovaných datech bez nutnosti vytvářet zdrojový obsah. |
Terminologie ASIM
ASIM používá následující termíny:
| Období | Popis |
|---|---|
| Zařízení pro vytváření sestav | Systém, který odesílá záznamy do Služby Microsoft Sentinel. Tento systém nemusí být systémem předmětu pro odesílaný záznam. |
| Zaznamenat | Jednotka dat odesílaných ze zařízení pro generování sestav. Záznam se často označuje jako protokol, událost nebo výstraha, ale může to být i jiné typy dat. |
| Obsah nebo položka obsahu | Různé, přizpůsobitelné nebo uživatelem vytvořené artefakty, než je možné použít s Microsoft Sentinelem. Mezi tyto artefakty patří například analytická pravidla, dotazy proaktivního vyhledávání a sešity. Položka obsahu je jedním z takových artefaktů. |
Zobrazení analyzátorů ASIM
Zobrazení funkcí ASIM v prostředí Microsoft Sentinelu
- Na webu Azure Portal přejděte do svého pracovního prostoru Microsoft Sentinelu.
- Výběr protokolů z levé navigace
- Rozbalte podokno schématu a filtru na levé straně (v případě potřeby pomocí tří teček zobrazte všechny nástroje).
- Výběr funkcí
- Rozbalení služby Microsoft Sentinel
Uvidíte funkce začínající na ASim a Im.