你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel(预览版)的基于高级安全信息模型 (ASIM) 的域解决方案
Microsoft 基本解决方案是 Microsoft 为 Microsoft Sentinel 发布的域解决方案。 这些解决方案具有开箱即用的内容,可以跨特定类别(如网络)的多个产品运行。 其中一些基本解决方案使用规范化技术高级安全信息模型 (ASIM) 在查询时或摄取时规范化数据。
重要
Microsoft 基本解决方案和网络会话概要解决方案目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
为什么使用基于 ASIM 的 Microsoft 基本解决方案?
当一个域类别中的多个解决方案共享相似的检测模式时,在像 ASIM 这样的规范化模式下捕获数据是有意义的。 基本解决方案利用此 ASIM 架构来大规模检测威胁。
在内容中心,有针对不同领域类别的多种产品解决方案,例如“安全性 - 网络”。 例如,Azure 防火墙、Palo Alto 防火墙和 Corelight 具有“安全性 - 网络”域类别的产品解决方案。
- 根据设计,这些解决方案具有不同的数据引入组件。 但是,同一领域类别中的分析、搜索、工作簿和其他内容有一定的模式。
- 大多数主要网络产品都有一组常见的基本防火墙警报,其中包括来自异常 IP 地址的恶意威胁。 通常,对于每个“安全性 - 网络”类别的产品解决方案,分析规则模板都是重复的。 如果你正在运行多个网络产品,则需要分别检查和配置多个解析规则,这样做效率低下。 你还会收到针对配置的每个规则的警报,并可能最终导致警报疲劳。
- 如果你有重复的搜寻查询,则可能会在运行所有搜寻模式时获得性能较低的搜寻体验。 这些重复搜寻查询还会导致威胁搜寻者选择和运行类似查询时效率低下。
你可能会出于以下原因考虑 Microsoft 基本解决方案:
- 使用规范化架构可以更轻松地查询事件详细信息。 对于类似的日志属性,无需记住不同的供应商语法。
- 如果不必管理多个解决方案的内容,那么用例部署和事件处理更加容易。
- 合并的工作簿视图通过高性能的 ASIM 分析程序提供更好的环境可见性和可能的查询时间分析。
支持 ASIM 架构
基本解决方案目前跨越 Sentinel 支持的以下不同 ASIM 架构:
- 审核事件
- 身份验证事件
- DNS 活动
- 文件活动
- 网络会话
- 进程事件
- Web 会话
有关详细信息,请参阅高级安全信息模型 (ASIM) 架构。
引入时间规范化
引入时间规范化结果可以引入到以下规范化表中:
- ASimDnsActivityLogs,适用于 DNS 架构。
- ASimNetworkSessionLogs,适用于网络会话架构
有关详细信息,请参阅引入时间规范化。
基于 ASIM 的域基本解决方案提供的内容
下表描述了每个基本解决方案可用的内容类型。 对于某些特定用例,你可能还希望使用 Microsoft Sentinel 产品解决方案中提供的内容。
| 内容类型 | description |
|---|---|
| 分析规则 | 基于 ASIM 的基本解决方案中可用的分析规则是通用的,非常适合该域的任何相关 Microsoft Sentinel 产品解决方案。 Microsoft Sentinel 产品解决方案可能包含作为分析规则一部分的源特定用例。 根据环境需要启用 Microsoft Sentinel 产品解决方案规则。 |
| 搜寻查询 | 基于 ASIM 的基本解决方案中可用的搜寻查询是通用的,非常适合从域的任何相关 Microsoft Sentinel 产品解决方案中搜寻威胁。 Microsoft Sentinel 产品解决方案可能具有现成可用的源特定搜寻查询。 根据需要使用 Microsoft Sentinel 产品解决方案中的搜寻查询。 |
| 演练手册 | 基于 ASIM 的基本解决方案需要以较高的事件/秒速率处理数据。 当你有使用该数据量的内容时,可能会对性能产生一些影响,这可能会导致工作簿或查询结果加载缓慢。 为了解决此问题,摘要操作手册概括了源日志,并将信息存储在预定义的表中。 启用摘要操作手册以允许基本解决方案查询此表。 由于 Microsoft Sentinel 中的 playbook 基于 Azure 逻辑应用中内置的工作流,而且这些工作流可创建单独的资源,因此可能会产生其他费用。 有关详细信息,请访问 Azure 逻辑应用定价页面。 存储汇总数据也可能会产生额外的费用。 |
| Watchlist | 基于 ASIM 的基本解决方案使用监视列表,其中包含多组用于分析规则检测和搜寻查询的条件。 使用监视列表可以执行以下任务: - 使用数据筛选执行重点监视。 - 在每个列表项的搜寻和检测之间切换。 - 将“阈值类型”设置为”静态”以利用基于阈值的警报,同时,基于异常的警报将从过去几天的数据(最多 14 天)中学习得到。 - 使用此监视列表来修改单个列表项的警报名称、说明、策略和严重性。 - 通过将“严重性”设置为“禁用”来禁用检测。 |
| 工作簿 | 与基于 ASIM 的基本解决方案一起提供的工作簿提供了在相关域中发生的不同事件和活动的综合视图。 由于此工作簿从大量数据中提取结果,因此可能存在一些性能延迟。 如果遇到性能问题,请使用摘要操作手册。 |
这些基本解决方案(如其他 Microsoft Sentinel 域解决方案)没有自己的连接器。 它们依赖 Microsoft Sentinel 产品解决方案中特定于源的连接器来拉取日志。 若要了解域解决方案支持的产品,请参阅每个 ASIM 域基本解决方案列表的产品解决方案先决条件列表。 安装一个或多个产品解决方案。 配置数据连接器以满足基础产品依赖项需求,并更好地使用此域解决方案内容。
相关文章
- 查找基于 ASIM 的域基本解决方案,例如 Microsoft Sentinel 的网络会话基本解决方案和 DNS 基本解决方案
- 使用高级安全信息模型 (ASIM)