Compreender a normalização de dados
O Microsoft Azure Sentinel ingere dados de várias fontes. Para trabalhar com vários tipos de dados e tabelas juntos, você precisa entender cada um deles, gravar e usar conjuntos exclusivos de dados para regras de análise, pastas de trabalho e consultas de busca para cada tipo ou esquema.
Às vezes, você precisará de regras, pastas de trabalho e consultas separadas, mesmo quando os tipos de dados compartilharem elementos comuns, como dispositivos de firewall. Correlacionar diferentes tipos de dados durante um processo de investigação e busca também pode ser complicado.
O ASIM (Modelo de Informações de Segurança Avançado) é uma camada localizada entre essas diversas fontes e o usuário. O ASIM segue o princípio da robustez: "Seja estrito quanto ao que você envia, seja flexível quanto ao que aceita". Quando o princípio da robustez é usado como padrão de design, o ASIM transforma a telemetria de origem inconsistente e difícil de usar do Microsoft Sentinel em dados amigáveis para o usuário.
Uso comum do ASIM
O ASIM proporciona uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas oferecendo a funcionalidade a seguir:
Detecção entre fontes. As regras de análise normalizadas funcionam entre fontes, no local e na nuvem, além de detectar ataques como força bruta ou viagem impossível entre sistemas, incluindo Okta, AWS e Azure.
Conteúdo independente da fonte. A cobertura do conteúdo interno e personalizado usando o ASIM é expandida automaticamente para as fontes compatíveis com o ASIM, mesmo se a fonte foi adicionada depois da criação do conteúdo. Por exemplo, a análise de eventos do processo é compatível com qualquer fonte que um cliente possa usar para trazer os dados, como Microsoft Defender para Ponto de Extremidade, Eventos do Windows e Sysmon.
Suporte para as fontes personalizadas, na análise interna
Facilidade de uso. Depois que um analista aprende ASIM, escrever consultas fica mais simples, pois os nomes de campo são sempre os mesmos.
ASIM e os Metadados de Eventos de Segurança de Software Livre
O ASIM alinha-se ao modelo de informações comuns dos OSSEM (Metadados de eventos de segurança de software livre Aberto), permitindo correlação de entidades previsíveis entre tabelas normalizadas.
OSSEM é um projeto realizado pela comunidade que se concentra principalmente na documentação e na padronização dos logs de eventos de segurança de diferentes fontes de dados e sistemas operacionais. O projeto também fornece um modelo CIM (modelo de informações comuns) que pode ser usado por engenheiros de dados durante procedimentos de normalização de dados para permitir que analistas de segurança consultem e analisem dados em várias fontes de dados.
Componentes do ASIM
A imagem a seguir mostra como os dados não normalizados podem ser convertidos em conteúdo normalizado e usados no Microsoft Azure Sentinel. Por exemplo, você pode começar com uma tabela personalizada, específica do produto e não normalizada e usar um analisador e um esquema de normalização para converter essa tabela em dados normalizados. Use os dados normalizados em vários locais, como regras, pastas de trabalho, consultas e análises personalizadas e da Microsoft.
O ASIM inclui os seguintes componentes:
| Componente | Descrição |
|---|---|
| Esquemas normalizados | Abranger conjuntos padrão de tipos de eventos previsíveis que você pode usar ao criar funcionalidades unificadas. Cada esquema define os campos que representam um evento, uma convenção de nomenclatura de coluna normalizada e um formato padrão para os valores de campo. |
| Analisadores | Associar os dados existentes aos esquemas normalizados usado Funções KQL. Muitos analisadores ASIM estão disponíveis imediatamente com o Microsoft Sentinel. Mais analisadores e versões dos analisadores integrados que podem ser modificados e implantados no repositório GitHub do Microsoft Sentinel. |
| Conteúdo de cada esquema normalizado | Inclui regras de análise, pastas de trabalho, consultas de busca e muito mais. O conteúdo de cada esquema normalizado funciona em todos os dados normalizados sem a necessidade de criar conteúdo específico da origem. |
Terminologia do ASIM
O ASIM usa os seguintes termos:
| Termo | Descrição |
|---|---|
| Dispositivo de relatório | O sistema que envia os registros ao Microsoft Azure Sentinel. Esse sistema pode não ser o sistema sujeito ao registro que está sendo enviado. |
| Record | Uma unidade de dados enviada pelo dispositivo de relatório. Um registro costuma ser chamado de log, evento ou alerta, mas também pode representar outros tipos de dados. |
| Conteúdo ou Item de conteúdo | Os artefatos diferentes, personalizáveis ou criados pelo usuário que podem ser usados com o Microsoft Azure Sentinel. Esses artefatos incluem, por exemplo, regras de análise, consultas de busca e pastas de trabalho. O item de conteúdo é um desses artefatos. |
Exibir analisadores do ASIM
Para exibir as funções do ASIM no seu ambiente do Microsoft Sentinel.
- Navegue até o seu espaço de trabalho do Microsoft Sentinel no portal do Azure
- Selecione Logs no painel de navegação à esquerda
- Expanda o esquema e o painel de filtro no lado esquerdo (se necessário, use as reticências para revelar todas as ferramentas)
- Selecione Funções
- Expanda Microsoft Sentinel
Você verá funções que começam com ASim e Im.