データの正規化について理解する
Microsoft Sentinel は、多くのソースからデータを取り込みます。 さまざまなデータ型とテーブルを組み合わせて使用するには、それらを理解し、各型またはスキーマの分析ルール、ブック、ハンティング クエリに対して一意のデータ セットを記述し、使用する必要があります。
データ型がファイアウォール デバイスなどの共通要素を共有している場合でも、個別のルール、ブック、クエリが必要な場合があります。 調査とハンティング中は、さまざまな種類のデータを関連付けるのも困難な場合があります。
Advanced Security Information Model (ASIM) は、こうしたさまざまなソースとユーザーとの間に位置するレイヤーです。 ASIM は、"自分が送信するものに関しては厳密に、他人から受け取るものに関しては寛容に" という堅牢性原則に従います。 堅牢性原則を設計パターンとして使用すると、ASIM によって、Microsoft Sentinel の一貫性がなく扱いにくいソース テレメトリがユーザー フレンドリなデータに変換されます。
一般的な ASIM の使用
ASIM では、次の機能に用意することで、さまざまなソースを統一された正規のビューで扱うためのシームレスなエクスペリエンスを提供します。
クロス ソース検出。 正規化された分析ルールが、ソース、オンプレミス、クラウドにわたって適用され、ブルート フォースや、Okta、AWS、Azure といったシステム間でのあり得ない移動などの攻撃が検出されます。
ソースに依存しないコンテンツ。 ASIM を使用した組み込みコンテンツとカスタム コンテンツの両方のカバレッジは、コンテンツの作成後にソースが追加された場合でも、ASIM をサポートする任意のソースに自動的に拡張されます。 たとえば、プロセス イベント分析では、Microsoft Defender for Endpoint、Windows イベント、Sysmon など、ユーザーがデータを取り込むために使用できるすべてのソースがサポートされます。
組み込み分析におけるカスタム ソースのサポート
使いやすさ。 アナリストが ASIM を学習すると、フィールド名は常に同じであるため、クエリの記述が簡単になります。
ASIM と Open Source Security Events Metadata
ASIM は、Open Source Security Events Metadata (OSSEM) Common Information Model と連携して、正規化されたテーブル間での予測可能なエンティティの相関関係を実現します。
OSSEM は、多様なデータ ソースとオペレーティング システムからのセキュリティ イベント ログのドキュメントと標準化に主に重点を置いたコミュニティ主導のプロジェクトです。 さらに、このプロジェクトでは、データ エンジニアがデータの正規化手順時に使用できる Common Information Model (CIM) を提供しているため、セキュリティ アナリストが多様なデータソースで、データをクエリし、分析できます。
ASIM コンポーネント
次の図は、正規化されていないデータを正規化されたコンテンツに変換し、Microsoft Sentinel で使用するようすを示しています。 たとえば、カスタムの製品固有の正規化されていないテーブルから始め、パーサーと正規化スキーマを使用して、そのテーブルを正規化されたデータに変換できます。 Microsoft とカスタム分析、ルール、ブック、クエリの両方で正規化されたデータを使用します。
ASIM に含まれるコンポーネントを次に示します。
| コンポーネント | 説明 |
|---|---|
| 正規化されたスキーマ | 統合機能を構築する際に使用できる予測可能なイベント種類の標準セットについて説明します。 各スキーマは、イベントを表すフィールド、正規化された列の名前付け規則と、フィールド値の標準形式を定義します。 |
| パーサー | KQL 関数を使用して、既存のデータを正規化されたスキーマにマップします。 Microsoft Sentinel では、多くの ASIM パーサーをすぐに使用できます。 さらに多くのパーサーと、変更できる組み込みパーサーのバージョンは、Microsoft Sentinel GitHub リポジトリからデプロイできます。 |
| 正規化されたスキーマごとのコンテンツ | これには、分析ルール、ブック、ハンティング クエリなどが含まれます。 正規化されたスキーマごとのコンテンツは、ソース固有のコンテンツを作成することなく、正規化されたデータに対して機能します。 |
ASIM の用語
ASIM では、次の用語を使用します。
| 用語 | 説明 |
|---|---|
| レポート デバイス | レコードを Microsoft Sentinel に送信するシステム。 このシステムは、送信されるレコードのサブジェクト システムではない可能性があります。 |
| Record | レポート デバイスから送信されるデータの単位。 レコードは、ログ、イベント、またはアラートと呼ばれることが多いですが、他の種類のデータの場合もあります。 |
| コンテンツ、またはコンテンツ項目 | Microsoft Sentinel で使用可能な、さまざまな、カスタマイズ可能な、またはユーザーが作成した成果物です。 これらの成果物には、分析ルール、ハンティング クエリ、ブックなどが含まれます。 コンテンツ項目は、そのような成果物の 1 つです。 |
ASIM パーサーを表示する
Microsoft Sentinel 環境で ASIM 関数を表示するには、以下を行います。
- Azure portal で Microsoft Sentinel ワークスペースに移動します
- 左側のナビゲーションから [ログ] を選択します
- 左側の [スキーマとフィルター] ペインを展開します (必要に応じて、すべてのツールを表示するための省略記号を使用します)
- [関数] を選択します
- Microsoft Azure Sentinel を展開します
ASim と Im で始まる関数が表示されます。