Soluciones de dominio basadas en modelo de información de seguridad avanzada (ASIM) para Microsoft Sentinel (versión preliminar)

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Las soluciones esenciales de Microsoft son soluciones de dominio publicadas por Microsoft para Microsoft Sentinel. Estas soluciones tienen contenido integrado que puede funcionar en varios productos para categorías específicas, como redes. Algunas de estas soluciones esenciales usan la técnica de normalización Modelo de información de seguridad avanzada (ASIM) para normalizar los datos en tiempo de consulta o de ingesta.

Importante

Las soluciones esenciales de Microsoft y la solución Network Session Essentials están actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

¿Por qué usar soluciones esenciales de Microsoft basadas en ASIM?

Cuando varias soluciones de una categoría de dominio comparten patrones de detección similares, tiene sentido que los datos se capturen en un esquema normalizado como ASIM. Las soluciones esenciales usan este esquema de ASIM para detectar amenazas a escala.

En el centro de contenido, hay varias soluciones de productos para diferentes categorías de dominio, como "Seguridad - Red". Por ejemplo, Azure Firewall, Palo Alto Firewall y Corelight tienen soluciones de producto para la categoría de dominio "Seguridad - Red".

  • Estas soluciones tienen componentes de ingesta de datos diferentes por diseño. Pero hay un patrón determinado para el análisis, la búsqueda, los libros y otro contenido dentro de la misma categoría de dominio.
  • La mayoría de los principales productos de red tienen un conjunto básico común de alertas de firewall que incluye amenazas malintencionadas procedentes de direcciones IP inusuales. La plantilla de regla analítica se duplica, en general, para cada una de las soluciones de producto de la categoría "Seguridad - Red". Si ejecuta varios productos de red, debe comprobar y configurar varias reglas de análisis individualmente, lo que resulta ineficaz. También obtendría alertas para cada regla configurada y podría acabar con fatiga de alertas.
  • Si tiene consultas de búsqueda duplicativas, es posible que tenga experiencias de búsqueda menos eficaces con el modo de búsqueda de ejecución completa. Estas consultas de búsqueda duplicativas también introducen ineficiencias para que los cazadores de amenazas seleccionen y ejecuten consultas similares.

Puede considerar las soluciones esenciales de Microsoft por los siguientes motivos:

  • Un esquema normalizado facilita la consulta de los detalles del incidente. No es necesario recordar la sintaxis de proveedor diferente para atributos de registro similares.
  • Si no tiene que administrar contenido para varias soluciones, la implementación de casos de uso y el control de incidentes son más fáciles.
  • Una vista de libro consolidada proporciona una mejor visibilidad del entorno y un posible análisis del tiempo de consulta con analizadores de ASIM de alto rendimiento.

Esquemas de ASIM admitidos

Las soluciones esenciales se abarcan actualmente en los siguientes esquemas de ASIM diferentes que Sentinel admiten:

  • Evento de auditoría
  • Evento de autenticación
  • Actividad de DNS
  • Actividad de archivo
  • Sesión de red
  • Evento Process
  • Sesión web

Para obtener más información, vea Esquemas del modelo de información de seguridad avanzada (ASIM).

Normalización del tiempo de ingesta

Los resultados de normalización del tiempo de ingesta se pueden ingerir en la siguiente tabla normalizada:

Para obtener más información, consulte Normalización del tiempo de ingesta.

Contenido disponible con soluciones esenciales de dominio basadas en ASIM

En la tabla siguiente se describe el tipo de contenido disponible con cada solución esencial. En algunos casos de uso específicos, es posible que también quiera usar el contenido disponible con la solución de producto Microsoft Sentinel.

Tipo de contenido description
Regla analítica Las reglas analíticas disponibles en las soluciones esenciales basadas en ASIM son genéricas y una buena opción para cualquiera de las soluciones de producto Microsoft Sentinel dependientes para ese dominio. La solución de producto Microsoft Sentinel podría tener un caso de uso específico de origen cubierto como parte de la regla analítica. Habilite Microsoft Sentinel reglas de solución de productos según sea necesario para su entorno.
Consulta de búsqueda Las consultas de búsqueda disponibles en las soluciones esenciales basadas en ASIM son genéricas y una buena opción para buscar amenazas de cualquiera de las soluciones de producto Microsoft Sentinel dependientes para ese dominio. La solución de producto Microsoft Sentinel podría tener una consulta de búsqueda específica de origen disponible de forma inmediata. Use las consultas de búsqueda de la solución de producto Microsoft Sentinel según sea necesario para su entorno.
Cuaderno de estrategias Se espera que las soluciones esenciales basadas en ASIM controlen los datos con eventos elevados por segundo. Cuando tiene contenido que usa ese volumen de datos, puede experimentar algún impacto en el rendimiento que puede provocar una carga lenta de libros o resultados de consulta. Para solucionar este problema, el cuaderno de estrategias de resumen resume los registros de origen y almacena la información en una tabla predefinida. Habilite el cuaderno de estrategias de resumen para permitir que las soluciones esenciales consulten esta tabla.

Dado que los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps que crean recursos independientes, es posible que se apliquen otros cargos. Para obtener más información, consulte la página de precios Azure Logic Apps. También pueden aplicarse otros cargos por el almacenamiento de los datos resumidos.
Lista de reproducción Las soluciones esenciales basadas en ASIM usan una lista de seguimiento que incluye varios conjuntos de condiciones para la detección de reglas analíticas y las consultas de búsqueda. La lista de reproducción le permite realizar las siguientes tareas:

- Realizar una supervisión centrada con la filtración de datos.
- Cambiar entre la búsqueda y la detección de cada elemento de lista.
- Mantenga el tipo de umbral establecido en Estático para aprovechar las alertas basadas en umbrales, mientras que las alertas basadas en anomalías aprenderían de los últimos días de datos (máximo 14 días).
- Modifique el nombre de alerta, la descripción, la táctica y la gravedad mediante esta lista de reproducción para los elementos de lista individuales.
- Deshabilite la detección estableciendo Gravedad como Deshabilitada.
Libro de trabajo El libro disponible con las soluciones esenciales basadas en ASIM proporciona una vista consolidada de los diferentes eventos y actividades que se producen en el dominio dependiente. Dado que este libro captura los resultados de un volumen muy alto de datos, puede haber algún retraso de rendimiento. Si experimenta problemas de rendimiento, use el cuaderno de estrategias de resumen.

Estas soluciones esenciales, como otras soluciones de dominio Microsoft Sentinel, no tienen un conector propio. Dependen de los conectores específicos de origen de Microsoft Sentinel soluciones de producto para extraer los registros. Para comprender los productos que admite la solución de dominio, consulte la lista de requisitos previos de las soluciones de productos de cada una de las listas de soluciones esenciales del dominio de ASIM. Instale una o varias de las soluciones del producto. Configure los conectores de datos para satisfacer las necesidades de dependencia del producto subyacentes y para permitir un mejor uso del contenido de la solución de dominio.

  • Last updated on