Förstå datanormalisering
Microsoft Sentinel matar in data från många källor. När du arbetar med olika datatyper och tabeller tillsammans måste du förstå var och en av dem och skriva och använda unika datauppsättningar för analysregler, arbetsböcker och jaktfrågor för varje typ eller schema.
Ibland behöver du separata regler, arbetsböcker och frågor, även när datatyper delar gemensamma element, till exempel brandväggsenheter. Det kan också vara svårt att korrelera mellan olika typer av data under en undersökning och jakt.
Asim (Advanced Security Information Model) är ett lager som finns mellan dessa olika källor och användaren. ASIM följer robusthetsprincipen: "Var strikt i det du skickar, var flexibel i det du accepterar". När robusthetsprincipen används som ett designmönster omvandlar ASIM Microsoft Sentinels inkonsekventa och svåra att använda källtelemetri till användarvänliga data.
Vanlig ASIM-användning
ASIM ger en sömlös upplevelse för hantering av olika källor i enhetliga, normaliserade vyer genom att tillhandahålla följande funktioner:
Identifiering mellan källor. Normaliserade analysregler fungerar mellan källor, lokalt och i molnet och identifierar attacker som råstyrkeattacker eller omöjliga resor mellan system, inklusive Okta, AWS och Azure.
Källagnostiskt innehåll. Täckningen för både inbyggt och anpassat innehåll med ASIM expanderas automatiskt till alla källor som stöder ASIM, även om källan lades till efter att innehållet skapades. Till exempel stöder processhändelseanalys alla källor som en kund kan använda för att hämta data, till exempel Microsoft Defender för Endpoint, Windows-händelser och Sysmon.
Stöd för dina anpassade källor, i inbyggd analys
Användarvänlighet. När en analytiker har lärt sig ASIM är det enklare att skriva frågor eftersom fältnamnen alltid är desamma.
ASIM och metadata för säkerhetshändelser med öppen källkod
ASIM överensstämmer med ossEM-modellen (Open Source Security Events Metadata), vilket möjliggör förutsägbar entitetskorrelation mellan normaliserade tabeller.
OSSEM är ett community-lett projekt som främst fokuserar på dokumentation och standardisering av säkerhetshändelseloggar från olika datakällor och operativsystem. Projektet innehåller också en CIM (Common Information Model) som kan användas för datatekniker under procedurer för datanormalisering så att säkerhetsanalytiker kan fråga och analysera data över olika datakällor.
ASIM-komponenter
Följande bild visar hur icke-normaliserade data kan översättas till normaliserat innehåll och användas i Microsoft Sentinel. Du kan till exempel börja med en anpassad, produktspecifik, icke-normaliserad tabell och använda en parser och ett normaliseringsschema för att konvertera tabellen till normaliserade data. Använd dina normaliserade data i både Microsoft och anpassad analys, regler, arbetsböcker, frågor med mera.
ASIM innehåller följande komponenter:
| Komponent | beskrivning |
|---|---|
| Normaliserade scheman | Omfattar standarduppsättningar med förutsägbara händelsetyper som du kan använda när du skapar enhetliga funktioner. Varje schema definierar de fält som representerar en händelse, en normaliserad kolumnnamngivningskonvention och ett standardformat för fältvärdena. |
| Tolkar | Mappa befintliga data till normaliserade scheman med hjälp av KQL-funktioner. Många ASIM-parsers är tillgängliga direkt i Microsoft Sentinel. Fler parsers och versioner av de inbyggda parsarna som kan ändras kan distribueras från Microsoft Sentinel GitHub-lagringsplatsen. |
| Innehåll för varje normaliserat schema | Innehåller analysregler, arbetsböcker, jaktfrågor med mera. Innehåll för varje normaliserat schema fungerar på normaliserade data utan att behöva skapa källspecifikt innehåll. |
ASIM-terminologi
ASIM använder följande termer:
| Period | beskrivning |
|---|---|
| Rapporteringsenhet | Systemet som skickar posterna till Microsoft Sentinel. Det här systemet kanske inte är ämnessystemet för den post som skickas. |
| Post | En enhet med data som skickas från rapporteringsenheten. En post kallas ofta logg, händelse eller avisering, men kan också vara andra typer av data. |
| Innehåll eller innehållsobjekt | De olika, anpassningsbara eller användarskapade artefakterna än vad som kan användas med Microsoft Sentinel. Dessa artefakter omfattar till exempel analysregler, jaktfrågor och arbetsböcker. Ett innehållsobjekt är en sådan artefakt. |
Visa ASIM-parsers
Så här visar du ASIM-funktioner i din Microsoft Sentinel-miljö.
- Navigera till din Microsoft Sentinel-arbetsyta i Azure-portalen
- Välj Loggar i det vänstra navigeringsfältet
- Expandera schemat och filterfönstret till vänster (om det behövs använder du ellipsen för att visa alla verktyg)
- Välj funktioner
- Expandera Microsoft Sentinel
Du ser funktioner som börjar med ASim och Im.