共用方式為


修改內容以使用進階安全性資訊模型 (ASIM) (公開預覽)

Microsoft Sentinel 中的正規化安全性內容包括分析規則、搜捕查詢,以及搭配統一正規化剖析器使用的活頁簿。

您可以在 Microsoft Sentinel 資源庫和解決方案中找到正規化的現成內容,建立您自己的正規化內容,或是修改現有的自訂內容以使用正規化資料。

本文說明如何轉換現有的 Microsoft Sentinel 分析規則,以使用正規化資料搭配進階安全性資訊模型 (ASIM)。

若要了解正規化內容如何放入 ASIM 架構,請參閱 ASIM 架構圖

重要

ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

修改自訂內容以利用正規化

若要讓您的自訂 Microsoft Sentinel 內容能夠利用正規化:

  • 修改查詢,以使用與查詢相關的任何統一剖析器

  • 修改查詢中的功能變數名稱,以使用正規化結構描述欄位名稱。

  • 適時變更條件,以在查詢中使用欄位的正規化值。

分析規則的正規化範例

例如,請設想觀察到具有高反向 DNS 對應計數的罕見用戶端 DNS 分析規則,此規則適用於由 Infoblox DNS 伺服器傳送的 DNS 事件:

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

下列程式碼是來源無從驗證的版本,此程式碼利用正規化對提供 DNS 查詢事件的任何來源提供相同的偵測。 下列範例使用內建 ASIM 剖析器:

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

若要使用工作區部署的 ASIM 剖析器,請將第一行取代成下列程式碼:

imDns(responsecodename='NXDOMAIN')

內建剖析器和工作區部署剖析器之間的差異

上述範例中的兩個選項功能相同。 正規化、來源無從驗證的版本有下列差異:

  • 使用 _Im_DnsimDns 正規化剖析器,而不使用 Infoblox 剖析器。

  • 標準化剖析器只會擷取 DNS 查詢事件,因此不需要像 Infoblox 版本中 where ProcessName =~ "named" and Log_Type =~ "client" 所執行的一樣,檢查事件種類。

  • 使用 SrcIpAddr 欄位,而不使用 Client_IP

  • ResponseCodeName 使用剖析器參數篩選,免除必須使用明確的 where 子句。

注意

除了支援任何正規化 DNS 來源之外,正規化版本也較短且更容易了解。

如果結構描述或剖析器不支援篩選參數,則除了篩選條件會與原始查詢分開保留之外,變更很類似。 例如:

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

下一步

本文討論進階安全性資訊模型 (ASIM) 內容。

如需詳細資訊,請參閱