了解数据规范化
Microsoft Sentinel 从多种源引入数据。 将各种数据类型和表一起处理时,需要了解每种数据类型和表,并为每种类型或架构编写并使用唯一的分析规则、工作簿和搜寻查询数据集。
有时,即使数据类型共享通用元素(例如防火墙设备),也需要单独的规则、工作簿和查询。 在调查和搜寻期间,在不同类型的数据之间进行关联也可能有难度。
高级安全信息模型 (ASIM) 是位于这些不同源和用户之间的一层。 ASIM 遵循稳健性原则:“严格管理发送的内容,灵活处理接受的内容”。 当可靠性原则用作设计模式时,ASIM 将 Microsoft Sentinel 不一致和难以使用的源遥测转换为用户友好的数据。
常见 ASIM 使用情况
ASIM 通过提供以下功能,提供一种无缝的体验以用于在统一的规范化视图中处理各种源:
跨源检测。 规范化分析规则可跨源、在本地和云端工作,并检测攻击,如暴力攻击或不可能穿越系统(包括 Okta、AWS 和 Azure)。
源不可知内容。 使用 ASIM 的内置内容和自定义内容的覆盖范围会自动扩展到支持 ASIM 的任何源,即使源是在创建内容后添加的,也是如此。 例如,进程事件分析支持客户可能用于引入数据的任何源,如 Microsoft Defender for Endpoint、Windows 事件和 Sysmon。
内置分析中对自定义源的支持
易用性。 分析师学习 ASIM 后,编写查询会更简单,因为字段名称始终相同。
ASIM 和开放源代码安全事件元数据
ASIM 与开源安全事件元数据 (OSSEM) 通用信息模型相一致,可以在规范化表之间实现可预测的实体关联。
OSSEM 是社区导向型项目,主要注重于记录和标准化来自不同数据源与操作系统的安全事件日志。 该项目还提供一个通用信息模型 (CIM),可供数据工程师在数据建模过程中使用,从而使安全分析师可以查询和分析不同数据源中的数据。
ASIM 组件
下图显示了如何将非规范化数据转换为规范化内容以及如何在 Microsoft Sentinel 中使用这些数据。 例如,可以从一个自定义的、特定于产品的非规范化表开始,使用分析器和规范化架构将该表转换为规范化数据。 将你的规范化数据用于 Microsoft 和自定义分析、规则、工作簿、查询等等。
ASIM 包括以下组件:
| 组件 | 说明 |
|---|---|
| 规范化架构 | 涵盖构建统一功能时可用的标准可预测事件类型集。 每个架构定义了表示事件的字段、规范化列命名约定,以及字段值的标准格式。 |
| 分析器 | 使用 KQL 函数将现有数据映射到规范化架构。 Microsoft Sentinel 提供许多现成的 ASIM 分析程序。 可以从 Microsoft Sentinel GitHub 存储库部署更多分析程序和可修改的内置分析程序版本。 |
| 每个规范化架构的内容 | 包括分析规则、工作簿、搜寻查询等。 每个规范化架构的内容适用于任何规范化数据,无需创建特定于源的内容。 |
ASIM 术语
ASIM 使用以下术语:
| 术语 | 说明 |
|---|---|
| 报告设备 | 向 Microsoft Sentinel 发送记录的系统。 此系统可能不是要为其发送记录的主题系统。 |
| 记录 | 从报告设备发送的数据单位。 记录通常称为日志、事件或警报,但也可以是其他类型的数据。 |
| 内容或内容项 | 可以在 Microsoft Sentinel 中使用的不同的、可自定义的或用户创建的项目。 例如,这些项目包括分析规则、搜寻查询和工作簿。 内容项就是这样的一个项目。 |
查看 ASIM 分析程序
在 Microsoft Sentinel 环境中查看 ASIM 函数。
- 在 Azure 门户中导航到 Microsoft Sentinel 工作区
- 从左侧导航栏选择日志
- 展开左侧的架构和筛选器窗格(必要时使用省略号显示所有工具)
- 选择函数
- 展开 Microsoft Sentinel
你将看到以 ASim 和 Im 开头的函数。