Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel indtager data fra mange kilder. Hvis du arbejder med forskellige datatyper og tabeller sammen, skal du forstå hver af dem og skrive og bruge entydige datasæt til analyseregler, projektmapper og jagtforespørgsler for hver type eller skema.
Nogle gange har du brug for separate regler, projektmapper og forespørgsler, selvom datatyper deler almindelige elementer, f.eks. firewallenheder. Det kan også være en udfordring at korrelere mellem forskellige typer data under en undersøgelse og jagt.
ASIM (Advanced Security Information Model) er et lag, der er placeret mellem disse forskellige kilder og brugeren. ASIM følger robusthedsprincippet: "Vær streng i det, du sender, vær fleksibel i det, du accepterer". Ved hjælp af robusthedsprincippet som designmønster transformerer ASIM den beskyttede kildetelemetri, der indsamles af Microsoft Sentinel, til brugervenlige data for at lette udveksling og integration.
Denne artikel indeholder en oversigt over ASIM (Advanced Security Information Model), dens use cases og overordnede komponenter.
Tip
Se også ASIM-webinaret , eller gennemse webinarslides.
Almindelig ASIM-brug
ASIM giver en problemfri oplevelse til håndtering af forskellige kilder i ensartede, normaliserede visninger ved at levere følgende funktionalitet:
Registrering på tværs af kilder. Normaliserede analyseregler fungerer på tværs af kilder, i det lokale miljø og cloudmiljøet og registrerer angreb, f.eks. rå kraft eller umulige rejser på tværs af systemer, herunder Okta, AWS og Azure.
Kildeagnostisk indhold. Dækningen af både indbygget og brugerdefineret indhold ved hjælp af ASIM udvides automatisk til alle kilder, der understøtter ASIM, selvom kilden blev tilføjet, efter at indholdet blev oprettet. Proceshændelsesanalyser understøtter f.eks. alle kilder, som en kunde kan bruge til at hente dataene, f.eks. Microsoft Defender for Endpoint, Windows-hændelser og Sysmon.
Understøttelse af dine brugerdefinerede kilder i indbygget analyse
Brugervenlighed. Når en analytiker har lært ASIM, er det meget enklere at skrive forespørgsler, da feltnavnene altid er de samme.
ASIM og metadata for sikkerhedshændelser i åben kildekode
ASIM justeres i overensstemmelse med den almindelige OSSEM-oplysningsmodel (Open Source Security Events Metadata), hvilket giver mulighed for forudsigelig korrelation mellem objekter på tværs af normaliserede tabeller.
OSSEM er et communityledet projekt, der primært fokuserer på dokumentation og standardisering af logfiler for sikkerhedshændelser fra forskellige datakilder og operativsystemer. Projektet indeholder også en CIM (Common Information Model), der kan bruges til datateknikere under procedurer for datanormalisering, så sikkerhedsanalytikere kan forespørge på og analysere data på tværs af forskellige datakilder.
Du kan finde flere oplysninger i dokumentationen til OSSEM-referencen.
ASIM-komponenter
På følgende billede kan du se, hvordan ikke-normaliserede data kan oversættes til normaliseret indhold og bruges i Microsoft Sentinel. Du kan f.eks. starte med en brugerdefineret, produktspecifik, ikke-normaliseret tabel og bruge en parser og et normaliseringsskema til at konvertere den pågældende tabel til normaliserede data. Brug dine normaliserede data i både Microsoft og brugerdefinerede analyser, regler, projektmapper, forespørgsler og meget mere.
ASIM indeholder følgende komponenter:
Normaliserede skemaer
Normaliserede skemaer dækker standardsæt af forudsigelige hændelsestyper, som du kan bruge, når du bygger samlede funktioner. Hvert skema definerer de felter, der repræsenterer en hændelse, en normaliseret navngivningskonvention for kolonner og et standardformat for feltværdierne.
ASIM definerer i øjeblikket følgende skemaer:
- Beskedhændelse
- Overvågningshændelse
- Godkendelseshændelse
- DHCP-aktivitet
- DNS-aktivitet
- Filaktivitet
- Netværkssession
- Proceshændelse
- Registreringsdatabasehændelse
- Brugeradministration
- Websession
Du kan få flere oplysninger under ASIM-skemaer.
Fortolkning af forespørgselstid
ASIM bruger fortolkning af forespørgselstid til at knytte eksisterende data til de normaliserede skemaer ved hjælp af KQL-funktioner. Mange ASIM-fortolkninger er tilgængelige fra kassen med Microsoft Sentinel. Du kan udrulle flere fortolkninger og versioner af de indbyggede fortolkere, der kan ændres, fra Microsoft Sentinel GitHub-lageret.
Du kan finde flere oplysninger under ASIM-fortolkninger.
Normalisering af indfødningstid
Fortolkninger af forespørgselstid har mange fordele:
- De kræver ikke, at dataene ændres, så kildeformatet bevares.
- Da de ikke ændrer dataene, men i stedet viser en visning af dataene, er de nemme at udvikle. Udvikling, test og rettelse af en parser kan alt sammen udføres på eksisterende data. Desuden kan fortolkere løses, når der registreres et problem, og rettelsen gælder for eksisterende data.
Mens ASIM-fortolkninger er optimeret, kan fortolkning af forespørgselstid på den anden side gøre forespørgsler langsommere, især på store datasæt. For at løse dette problem komplementerer Microsoft Sentinel fortolkning af forespørgselstid med fortolkning af indfødningstid. Ved hjælp af transformation af indfødning normaliseres hændelserne til en normaliseret tabel, så forespørgsler, der bruger normaliserede data, accelereres.
ASIM understøtter i øjeblikket følgende oprindelige normaliserede tabeller som en destination for normalisering af indfødningstid:
- ASimAuditEventLogs for skemaet for overvågningshændelsen .
- ASimAuthenticationEventLogs for godkendelsesskemaet.
- ASimDhcpEventLogs for DHCP-hændelsesskemaet .
- ASimDnsActivityLogs for DNS-skemaet .
- ASimFileEventLogs for filhændelsesskemaet .
- ASimNetworkSessionLogs for netværkssessionsskemaet .
- ASimProcessEventLogs for skemaet for proceshændelsen .
- ASimRegistryEventLogs for skemaet for registreringsdatabasehændelsen .
- ASimUserManagementActivityLogs for brugeradministrationsskemaet .
- ASimWebSessionLogs til websessionsskemaet .
Du kan få flere oplysninger under Normalisering af indfødningstid.
Indhold for hvert normaliseret skema
Indhold, der bruger ASIM, omfatter løsninger, analyseregler, projektmapper, jagtforespørgsler med mere. Indhold for hvert normaliseret skema fungerer på alle normaliserede data, uden at det er nødvendigt at oprette kildespecifikt indhold.
Du kan få flere oplysninger under ASIM-indhold.
Introduktion til ASIM
Sådan begynder du at bruge ASIM:
Udrul en ASIM-baseret domæneløsning, f.eks . Network Threat Protection Essentials-domæneløsningen .
Aktivér skabeloner til analyseregel, der bruger ASIM. Du kan få flere oplysninger på ASIM-indholdslisten.
Brug ASIM-jagtforespørgslerne fra Microsoft Sentinel GitHub-lageret, når du forespørger om logge i KQL på siden Microsoft Sentinel Logs. Du kan få flere oplysninger på ASIM-indholdslisten.
Skriv dine egne analyseregler ved hjælp af ASIM, eller konvertér eksisterende.
Gør det muligt for dine brugerdefinerede data at bruge indbyggede analyser ved at skrive fortolkere til dine brugerdefinerede kilder og føje dem til den relevante kildeagnostiske parser.
Relateret indhold
Denne artikel indeholder en oversigt over normalisering i Microsoft Sentinel og ASIM.
Du kan finde flere oplysninger under: