Normalização e o modelo avançado de informações de segurança (ASIM) (visualização pública)

O Microsoft Sentinel ingere dados de várias fontes. Trabalhar com vários tipos de dados e tabelas juntos requer que você compreenda cada um deles e escreva e use conjuntos exclusivos de dados para regras de análise, pastas de trabalho e consultas de caça para cada tipo ou esquema.

Às vezes, você precisará de regras, pastas de trabalho e consultas separadas, mesmo quando os tipos de dados compartilham elementos comuns, como dispositivos de firewall. A correlação entre diferentes tipos de dados durante uma investigação e caça também pode ser um desafio.

O Advanced Security Information Model (ASIM) é uma camada localizada entre essas diversas fontes e o usuário. A ASIM segue o princípio da robustez: "Seja rigoroso no que envia, seja flexível no que aceita". Usando o princípio de robustez como padrão de design, o ASIM transforma a telemetria de origem proprietária coletada pelo Microsoft Sentinel em dados amigáveis para facilitar a troca e a integração.

Este artigo fornece uma visão geral do Advanced Security Information Model (ASIM), seus casos de uso e componentes principais.

Gorjeta

Assista também ao Webinar da ASIM ou reveja os slides do webinar.

Importante

ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Uso comum do ASIM

O ASIM fornece uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas, fornecendo a seguinte funcionalidade:

• Deteção de fontes cruzadas. As regras de análise normalizadas funcionam entre fontes, no local e na nuvem, e detetam ataques como força bruta ou viagens impossíveis entre sistemas, incluindo Okta, AWS e Azure.

• Fonte de conteúdo agnóstico. A cobertura de conteúdo interno e personalizado usando ASIM se expande automaticamente para qualquer fonte que suporte ASIM, mesmo que a fonte tenha sido adicionada depois que o conteúdo foi criado. Por exemplo, a análise de eventos de processo oferece suporte a qualquer fonte que um cliente possa usar para trazer os dados, como Microsoft Defender for Endpoint, Eventos do Windows e Sysmon.

• Suporte para suas fontes personalizadas, em análises integradas

• Facilidade de utilização. Depois que um analista aprende ASIM, escrever consultas é muito mais simples, pois os nomes dos campos são sempre os mesmos.

ASIM e os metadados de eventos de segurança de código aberto

O ASIM alinha-se com o modelo de informação comum OSSEM (Open Source Security Events Metadata), permitindo uma correlação previsível de entidades entre tabelas normalizadas.

OSSEM é um projeto liderado pela comunidade que se concentra principalmente na documentação e padronização de logs de eventos de segurança de diversas fontes de dados e sistemas operacionais. O projeto também fornece um Modelo Comum de Informações (CIM) que pode ser usado por engenheiros de dados durante os procedimentos de normalização de dados para permitir que os analistas de segurança consultem e analisem dados em diversas fontes de dados.

Para obter mais informações, consulte a documentação de referência do OSSEM.

Componentes ASIM

A imagem a seguir mostra como dados não normalizados podem ser traduzidos em conteúdo normalizado e usados no Microsoft Sentinel. Por exemplo, você pode começar com uma tabela personalizada, específica do produto, não normalizada, e usar um analisador e um esquema de normalização para converter essa tabela em dados normalizados. Use seus dados normalizados em análises, regras, pastas de trabalho, consultas e muito mais da Microsoft e personalizadas.

O ASIM inclui os seguintes componentes:

Esquemas normalizados

Os esquemas normalizados abrangem conjuntos padrão de tipos de eventos previsíveis que você pode usar ao criar recursos unificados. Cada esquema define os campos que representam um evento, uma convenção de nomenclatura de coluna normalizada e um formato padrão para os valores de campo.

Atualmente, o ASIM define os seguintes esquemas:

• Evento de Auditoria
• Evento de autenticação
• Atividade DHCP
• Atividade de DNS
• Atividade de arquivo
• Sessão de rede
• Evento do processo
• Evento de registo
• Gestão de Utilizadores
• Sessão Web

Para obter mais informações, consulte Esquemas ASIM.

Analisadores de tempo de consulta

O ASIM utiliza analisadores de tempo de consulta para mapear dados existentes para os esquemas normalizados mediante a utilização de funções KQL. Muitos analisadores do ASIM estão prontos a utilizar com o Microsoft Sentinel. Mais analisadores e versões dos analisadores internos que podem ser modificados podem ser implantados a partir do repositório GitHub do Microsoft Sentinel.

Para obter mais informações, veja Analisadores do ASIM.

Normalização do tempo de ingestão

Os analisadores de tempo de consulta têm muitas vantagens:

• Eles não exigem que os dados sejam modificados, preservando assim o formato de origem.
• Uma vez que não modificam os dados, mas apresentam uma visão dos dados, são fáceis de desenvolver. O desenvolvimento, o teste e a fixação de um analisador podem ser feitos com base nos dados existentes. Além disso, os analisadores podem ser corrigidos quando um problema é descoberto e a correção será aplicada aos dados existentes.

Por outro lado, enquanto os analisadores ASIM são otimizados, a análise de tempo de consulta pode tornar as consultas mais lentas, especialmente em grandes conjuntos de dados. Para resolver isso, o Microsoft Sentinel complementa a análise do tempo de consulta com a análise do tempo de ingestão. Usando a transformação de ingestão, os eventos são normalizados para tabela normalizada, acelerando consultas que usam dados normalizados.

Atualmente, o ASIM suporta as seguintes tabelas normalizadas nativas como destino para normalização do tempo de ingestão:

• ASimAuditEventLogs para o esquema de eventos de auditoria.
• ASimAuthenticationEventLogs para o esquema de autenticação .
• ASimDnsActivityLogs para o esquema DNS .
• ASimNetworkSessionLogs para o esquema de sessão de rede
• ASimWebSessionLogs para o esquema de sessão da Web.

Para obter mais informações, consulte Normalização do tempo de ingestão.

Conteúdo para cada esquema normalizado

O conteúdo que usa ASIM inclui soluções, regras de análise, pastas de trabalho, consultas de busca e muito mais. O conteúdo de cada esquema normalizado funciona em qualquer dado normalizado sem a necessidade de criar conteúdo específico da fonte.

Para obter mais informações, consulte Conteúdo do ASIM.

Introdução ao ASIM

Para começar a usar o ASIM:

• Implante uma solução de domínio baseada em ASIM, como a solução de domínio Network Threat Protection Essentials .

• Ative modelos de regras de análise que utilizem o ASIM. Para obter mais informações, veja a lista de conteúdos do ASIM.

• Use as consultas de caça ASIM do repositório GitHub do Microsoft Sentinel ao consultar logs no KQL na página Logs do Microsoft Sentinel. Para obter mais informações, veja a lista de conteúdos do ASIM.

• Escreva as suas próprias regras de análise com o ASIM ou converta as existentes.

• Permita que os seus dados personalizados utilizem análises incorporadas ao escrever analisadores para as suas origens personalizadas e adicioná-los ao analisador agnóstico de origem relevante.

Conteúdos relacionados

Este artigo fornece uma visão geral da normalização no Microsoft Sentinel e ASIM.

Para obter mais informações, consulte:

• Assista ao Webinar da ASIM ou revise os slides
• Esquemas ASIM (Advanced Security Information Model)
• Analisadores ASIM (Advanced Security Information Model)
• Conteúdo do modelo avançado de informações de segurança (ASIM)