Modificar conteúdo para utilizar o Modelo de Informações de Segurança Avançadas (ASIM) (Pré-visualização pública)

O conteúdo de segurança normalizado no Microsoft Sentinel inclui regras de análise, consultas de investigação e livros que funcionam com analisadores de normalização unificadores.

Pode encontrar conteúdos normalizados e desatuais nas galerias e soluções do Microsoft Sentinel, criar o seu próprio conteúdo normalizado ou modificar conteúdos personalizados existentes para utilizar dados normalizados.

Este artigo explica como converter regras de análise existentes do Microsoft Sentinel para utilizar dados normalizados com o Modelo de Informações de Segurança Avançada (ASIM).

Para compreender como o conteúdo normalizado se encaixa na arquitetura ASIM, veja o diagrama de arquitetura ASIM.

Dica

Veja também o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Analisadores e Conteúdo Normalizado ) ou reveja os diapositivos. Para obter mais informações, veja Passos seguintes.

Importante

O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Modificar conteúdo personalizado para utilizar a normalização

Para ativar o conteúdo personalizado do Microsoft Sentinel para utilizar a normalização:

• Modifique as suas consultas para utilizar todos os analisadores unificadores relevantes para a consulta.

• Modifique os nomes dos campos na consulta para utilizar os nomes de campos de esquema normalizados .

• Quando aplicável, altere as condições para utilizar os valores normalizados dos campos na consulta.

Normalização de exemplo para regras de análise

Por exemplo, considere o cliente Raro observado com uma regra de análise DNS de contagem de pesquisa DNS inversa elevada , que funciona em eventos DNS enviados por servidores DNS do Infoblox:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

O código seguinte é a versão agnóstica de origem, que utiliza a normalização para fornecer a mesma deteção para qualquer origem que forneça eventos de consulta DNS. O exemplo seguinte utiliza analisadores ASIM incorporados:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Para utilizar parsers ASIM implementados na área de trabalho, substitua a primeira linha pelo seguinte código:

imDns(responsecodename='NXDOMAIN')

Diferenças entre os analisadores incorporados e implementados na área de trabalho

As duas opções no exemplo acima são funcionalmente idênticas. A versão normalizada e agnóstica de origem tem as seguintes diferenças:

• Os _Im_Dns analisadores normalizados ou são imDnsutilizados em vez do Analisador de Infoblox.

• Os analisadores normalizados obtêm apenas eventos de consulta DNS, pelo que não é necessário verificar o tipo de evento, conforme realizado pelo where ProcessName =~ "named" and Log_Type =~ "client" na versão do Infoblox.

• O SrcIpAddr campo é utilizado em vez de Client_IP.

• A filtragem de parâmetros parser é utilizada para ResponseCodeName, eliminando a necessidade de cláusulas explícitas where .

Nota

Para além de suportar qualquer origem de DNS normalizada, a versão normalizada é mais curta e fácil de compreender.

Se o esquema ou os analisadores não suportarem parâmetros de filtragem, as alterações são semelhantes, exceto que as condições de filtragem são mantidas da consulta original. Por exemplo:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

Passos seguintes

Este artigo aborda o conteúdo do Advanced Security Information Model (ASIM).

Para obter mais informações, consulte:

• Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
• Descrição geral do Advanced Security Information Model (ASIM)
• Analisadores do Advanced Security Information Model (ASIM)
• Esquemas do Advanced Security Information Model (ASIM)
• Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)