Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsofts essentielle løsninger er domæneløsninger, der er publiceret af Microsoft til Microsoft Sentinel. Disse løsninger har køreklart indhold, der kan fungere på tværs af flere produkter til bestemte kategorier, f.eks. netværk. Nogle af disse essentielle løsninger bruger normaliseringsteknikken ASIM (Advanced Security Information Model) til at normalisere dataene på forespørgselstidspunktet eller indtagelsestidspunktet.
Vigtigt!
Microsofts essentielle løsninger og Network Session Essentials-løsningen findes i øjeblikket som PRØVEVERSION. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Hvorfor bruge ASIM-baserede Vigtige Microsoft-løsninger?
Når flere løsninger i en domænekategori deler lignende registreringsmønstre, giver det mening at få de data, der registreres under et normaliseret skema som ASIM, til at blive registreret. Essentielle løsninger bruger dette ASIM-skema til at registrere trusler i stor skala.
I indholdshubben er der flere produktløsninger til forskellige domænekategorier, f.eks. "Sikkerhed – netværk". Azure Firewall, Palo Alto Firewall og Corelight har f.eks. produktløsninger til domænekategorien "Sikkerhed – netværk".
- Disse løsninger har forskellige komponenter til datafødning efter design. Men der er et bestemt mønster i analyser, jagt, projektmapper og andet indhold inden for samme domænekategori.
- De fleste af de større netværksprodukter har et fælles grundlæggende sæt firewallbeskeder, der omfatter skadelige trusler, der kommer fra usædvanlige IP-adresser. Skabelonen til analyseregel duplikeres generelt for hver af kategorien "Sikkerhed – netværk" for produktløsninger. Hvis du kører flere netværksprodukter, skal du kontrollere og konfigurere flere analyseregler individuelt, hvilket er ineffektivt. Du får også beskeder for hver regel, der er konfigureret, og du kan ende med at være træt af advarsler.
- Hvis du har duplikative jagtforespørgsler, har du måske mindre performante jagtoplevelser med kørselstilstanden jagt. Disse duplikative jagtforespørgsler introducerer også ineffektivitet for trusselsjægere til at vælge og køre lignende forespørgsler.
Du kan overveje Microsofts vigtige løsninger af følgende årsager:
- Et normaliseret skema gør det nemmere for dig at forespørge på oplysninger om hændelser. Du behøver ikke at huske forskellige leverandørsyntaks for lignende logattributter.
- Hvis du ikke behøver at administrere indhold for flere løsninger, er udrulning af use case og håndtering af hændelser nemmere.
- En sammenflettet projektmappevisning giver dig bedre miljøsynlighed og mulig fortolkning af forespørgselstid med ASIM-fortolkere med høj ydeevne.
UNDERSTØTTEDE ASIM-skemaer
De essentielle løsninger spænder i øjeblikket over følgende forskellige ASIM-skemaer, som Sentinel understøtter:
- Overvågningshændelse
- Godkendelseshændelse
- DNS-aktivitet
- Filaktivitet
- Netværkssession
- Proceshændelse
- Websession
Du kan få flere oplysninger under ASIM-skemaer (Advanced Security Information Model).
Normalisering af indtagelsestid
Resultaterne af normalisering af indtagelsestiden kan indtages i følgende normaliserede tabel:
- ASimDnsActivityLogs for DNS-skemaet.
- ASimNetworkSessionLogs for skemaet for netværkssessionen
Du kan få flere oplysninger under Normalisering af indfødningstid.
Indhold, der er tilgængeligt med ASIM-baserede, essentielle domæneløsninger
I følgende tabel beskrives den indholdstype, der er tilgængelig for hver vigtig løsning. I nogle specifikke use cases kan det også være en god idé at bruge det indhold, der er tilgængeligt sammen med Microsoft Sentinel produktløsningen.
| Indholdstype | Beskrivelse |
|---|---|
| Analyseregel | De analyseregler, der findes i de ASIM-baserede essentielle løsninger, er generiske og passer godt til alle de afhængige Microsoft Sentinel produktløsninger for det pågældende domæne. Den Microsoft Sentinel produktløsning kan have en kildespecifik anvendelsessag, der er omfattet af analysereglen. Aktivér Microsoft Sentinel regler for produktløsning efter behov i dit miljø. |
| Jagtforespørgsel | De jagtforespørgsler, der er tilgængelige i de ASIM-baserede essentielle løsninger, er generiske og velegnede til at jage efter trusler fra enhver af de afhængige Microsoft Sentinel produktløsninger for det pågældende domæne. Den Microsoft Sentinel produktløsning kan have en kildespecifik jagtforespørgsel klar til brug. Brug jagtforespørgslerne fra Microsoft Sentinel produktløsning efter behov i dit miljø. |
| Playbook | De ASIM-baserede essentielle løsninger forventes at håndtere data med høje hændelser pr. sekund. Når du har indhold, der bruger denne mængde data, kan du opleve en påvirkning af ydeevnen, der kan medføre langsom indlæsning af projektmapper eller forespørgselsresultater. For at løse dette problem opsummeres kildelogfilerne i opsummeringsbogen, og oplysningerne gemmes i en foruddefineret tabel. Aktivér opsummerings playbook for at give de vigtige løsninger mulighed for at forespørge denne tabel. Da playbooks i Microsoft Sentinel er baseret på arbejdsprocesser, der er indbygget i Azure Logic Apps, der opretter separate ressourcer, kan der være andre gebyrer. Du kan finde flere oplysninger på siden med priser på Azure Logic Apps. Der kan også gælde andre gebyrer for lagring af de opsummerede data. |
| Overvågningsliste | De ASIM-baserede essentielle løsninger bruger en visningsliste, der indeholder flere sæt betingelser for registrering af analyseregel og jagtforespørgsler. Med visningslisten kan du udføre følgende opgaver: – Foretage fokuseret overvågning med datafiltrering. - Skift mellem jagt og registrering for hvert listeelement. – Sørg for, at Grænsetype er angivet til Statisk for at udnytte tærskelbaserede beskeder, mens uregelmæssighedsbaserede beskeder vil lære fra de sidste par dage med data (højst 14 dage). – Rediger beskednavn, beskrivelse, taktik og alvorsgrad ved hjælp af denne visningsliste for individuelle listeelementer. - Deaktiver registrering ved at angive Alvorsgrad som Deaktiveret. |
| Projektmappe | Den projektmappe, der er tilgængelig med de ASIM-baserede vigtige løsninger, giver et samlet overblik over forskellige hændelser og aktiviteter, der finder sted i det afhængige domæne. Da denne projektmappe henter resultater fra en meget stor mængde data, kan der være en vis forsinkelse i ydeevnen. Hvis du oplever problemer med ydeevnen, skal du bruge opsummerings legebogen. |
Disse essentielle løsninger som andre Microsoft Sentinel domæneløsninger har ikke deres egen connector. De afhænger af de kildespecifikke connectors i Microsoft Sentinel produktløsninger for at hente loggene ind. Hvis du vil vide mere om de produkter, som domæneløsningen understøtter, skal du se den påkrævede liste over produktløsninger på hver af listerne over essentielle ASIM-domæneløsninger. Installér en eller flere af produktløsningerne. Konfigurer dataconnectors, så de opfylder de underliggende produktafhængighedsbehov, og for at muliggøre bedre brug af dette domæneløsningsindhold.
Relaterede artikler
- Find ASIM-baserede domænebaserede løsninger, f.eks. Network Session Essentials- og DNS Essentials-løsningen til Microsoft Sentinel
- Brug af ASIM (Advanced Security Information Model)