Inzicht in gegevensnormalisatie
Microsoft Sentinel neemt gegevens op uit veel bronnen. Als u met verschillende gegevenstypen en tabellen samen werkt, moet u deze begrijpen en unieke gegevenssets schrijven en gebruiken voor analyseregels, werkmappen en opsporingsquery's voor elk type of schema.
Soms hebt u afzonderlijke regels, werkmappen en query's nodig, zelfs wanneer gegevenstypen algemene elementen delen, zoals firewallapparaten. Het kan ook lastig zijn om te correleren tussen verschillende typen gegevens tijdens een onderzoek en opsporing.
Het Advanced Security Information Model (ASIM) is een laag die zich bevindt tussen deze verschillende bronnen en de gebruiker. ASIM volgt het robuustheidsprincipe: "Wees strikt in wat u verzendt, wees flexibel in wat u accepteert". Wanneer het robuustheidsprincipe wordt gebruikt als een ontwerppatroon, transformeert ASIM de inconsistente gegevens van Microsoft Sentinel en is het moeilijk om brontelemetrie te gebruiken voor gebruiksvriendelijke gegevens.
Algemeen ASIM-gebruik
ASIM biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven door de volgende functionaliteit te bieden:
Detectie van kruisbronnen. Genormaliseerde analyseregels werken tussen bronnen, on-premises en cloud en detecteren aanvallen zoals brute force of onmogelijke reizen tussen systemen, waaronder Okta, AWS en Azure.
Bronagnostische inhoud. De dekking van zowel ingebouwde als aangepaste inhoud met behulp van ASIM wordt automatisch uitgebreid naar elke bron die ASIM ondersteunt, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Procesanalyse ondersteunt bijvoorbeeld alle bronnen die een klant kan gebruiken om de gegevens in te voeren, zoals Microsoft Defender voor Eindpunt, Windows-gebeurtenissen en Sysmon.
Ondersteuning voor uw aangepaste bronnen, in ingebouwde analyses
Gebruiksgemak. Nadat een analist ASIM heeft geleerd, is het schrijven van query's eenvoudiger omdat de veldnamen altijd hetzelfde zijn.
Metagegevens van ASIM en opensourcebeveiligingsevenementen
ASIM is afgestemd op het algemene informatiemodel van OSSEM (Open Source Security Events Metadata), waardoor voorspelbare entiteiten correlatie mogelijk is tussen genormaliseerde tabellen.
OSSEM is een door de community geleid project dat zich voornamelijk richt op de documentatie en standaardisatie van beveiligingsgebeurtenislogboeken uit diverse gegevensbronnen en besturingssystemen. Het project biedt ook een Common Information Model (CIM) die kan worden gebruikt voor data engineers tijdens de procedures voor gegevensnormalisatie, zodat beveiligingsanalisten gegevens kunnen opvragen en analyseren in verschillende gegevensbronnen.
ASIM-onderdelen
In de volgende afbeelding ziet u hoe niet-genormaliseerde gegevens kunnen worden omgezet in genormaliseerde inhoud en kunnen worden gebruikt in Microsoft Sentinel. U kunt bijvoorbeeld beginnen met een aangepaste, productspecifieke, niet-genormaliseerde tabel en een parser en een normalisatieschema gebruiken om die tabel te converteren naar genormaliseerde gegevens. Gebruik uw genormaliseerde gegevens in zowel Microsoft als aangepaste analyses, regels, werkmappen, query's en meer.
ASIM bevat de volgende onderdelen:
| Onderdeel | Beschrijving |
|---|---|
| Genormaliseerde schema's | Bedek standaardsets met voorspelbare gebeurtenistypen die u kunt gebruiken bij het bouwen van geïntegreerde mogelijkheden. Elk schema definieert de velden die een gebeurtenis vertegenwoordigen, een genormaliseerde naamconventie voor kolommen en een standaardindeling voor de veldwaarden. |
| Parsers | Wijs bestaande gegevens toe aan de genormaliseerde schema's met behulp van KQL-functies. Veel ASIM-parsers zijn standaard beschikbaar met Microsoft Sentinel. Meer parsers en versies van de ingebouwde parsers die kunnen worden gewijzigd, kunnen worden geïmplementeerd vanuit de GitHub-opslagplaats van Microsoft Sentinel. |
| Inhoud voor elk genormaliseerd schema | Bevat analyseregels, werkmappen, opsporingsquery's en meer. Inhoud voor elk genormaliseerd schema werkt op genormaliseerde gegevens zonder dat u bronspecifieke inhoud hoeft te maken. |
ASIM-terminologie
ASIM gebruikt de volgende termen:
| Termijn | Omschrijving |
|---|---|
| Rapportageapparaat | Het systeem dat de records naar Microsoft Sentinel verzendt. Dit systeem is mogelijk niet het onderwerpsysteem voor de record die wordt verzonden. |
| Opnemen | Een eenheid met gegevens die worden verzonden vanaf het rapportageapparaat. Een record wordt vaak logboek, gebeurtenis of waarschuwing genoemd, maar kan ook andere typen gegevens zijn. |
| Inhoud of inhoudsitem | De verschillende, aanpasbare of door de gebruiker gemaakte artefacten kunnen worden gebruikt met Microsoft Sentinel. Deze artefacten omvatten bijvoorbeeld analyseregels, opsporingsquery's en werkmappen. Een inhoudsitem is een dergelijk artefact. |
ASIM-parsers weergeven
ASIM-functies weergeven in uw Microsoft Sentinel-omgeving.
- Navigeer naar uw Microsoft Sentinel-werkruimte in Azure Portal
- Logboeken selecteren in het linkernavigatievenster
- Vouw het schema en filtervenster aan de linkerkant uit (gebruik indien nodig het beletselteken om alle hulpprogramma's weer te geven)
- Functies selecteren
- Microsoft Sentinel uitvouwen
U ziet functies die beginnen met ASim en Im.