Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoftin olennaiset ratkaisut ovat Microsoftin Microsoft Sentinel julkaisemia toimialueratkaisuja. Näissä ratkaisuissa on käyttövalmiita sisältöjä, jotka voivat toimia useissa tuotteissa tietyissä luokissa, kuten verkkopalveluissa. Jotkin näistä olennaisista ratkaisuista käyttävät normalisointitekniikkaa Asim (Advanced Security Information Model) tietojen normalisointiin kyselyn aikana tai käsittelyaikana.
Tärkeää
Microsoftin olennaiset ratkaisut ja Network Session Essentials -ratkaisu ovat tällä hetkellä ESIKATSELU-tilassa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.
Miksi ASIM-pohjaisia Microsoftin olennaisia ratkaisuja käytetään?
Kun useat toimialueluokan ratkaisut jakavat samanlaiset tunnistusmallit, on järkevää, että tiedot tallennetaan ASIM:n kaltaiseen normalisoituun rakenteeseen. Olennaiset ratkaisut hyödyntävät tätä ASIM-rakennetta uhkien havaitsemiseksi mittakaavassa.
Sisältökeskuksessa on useita tuoteratkaisuja eri toimialueluokille, kuten "Suojaus – verkko". Esimerkiksi Azure-palomuuri, Palo Alton palomuurilla ja Corelightilla on tuoteratkaisuja "Suojaus – verkko" -toimialueluokkaan.
- Näillä ratkaisuilla on erilaiset tietojen käytön osat suunnittelun mukaan. Analytiikassa, metsästyksessä, työkirjoissa ja muussa samassa toimialueluokassa on kuitenkin tietty malli.
- Useimmilla suurimmilla verkkotuotteilla on yleinen palomuurihälytysten perusjoukko, joka sisältää epätavallisista IP-osoitteista tulevia haitallisia uhkia. Analytiikkasääntömalli kopioidaan yleisesti tuoteratkaisujen kullekin Suojaus – verkko -luokalle. Jos käytössäsi on useita verkkotuotteita, sinun on tarkistettava ja määritettävä useita analyysisääntöjä yksitellen, mikä on tehotonta. Saat myös hälytyksiä jokaisesta määritetystä säännöstä, ja saatat päätyä hälytysväsymykseen.
- Jos sinulla on päällekkäisiä metsästyskyselyitä, sinulla voi olla vähemmän suorituskykyisiä metsästyskokemuksia metsästystavassa. Nämä kaksipuoliset metsästyskyselyt tuovat myös tehottomuutta uhkien metsästäjille samanlaisten kyselyjen valitsemiseksi ja suorittamiseksi.
Voit harkita Microsoftin olennaisia ratkaisuja seuraavista syistä:
- Normalisoitu rakenne helpottaa tapausten tietojen kyselemistä. Sinun ei tarvitse muistaa eri toimittajan syntaksia samankaltaisille lokimääritteille.
- Jos sinun ei tarvitse hallita useiden ratkaisujen sisältöä, palvelupyyntöjen käyttöönotto ja tapausten käsittely on helpompaa.
- Yhdistetty työkirjanäkymä tarjoaa paremman ympäristön näkyvyyden ja mahdollisen kyselyajan jäsentämisen hyvin toimivilla ASIM-jäsennyksillä.
ASIM-rakenteita tuetaan
Olennaiset ratkaisut on tällä hetkellä ulotettu seuraaviin ASIM-rakenteisiin, joita Sentinel tukevat:
- Valvontatapahtuma
- Todennustapahtuma
- DNS-toiminta
- Tiedoston toiminta
- Verkkoistunto
- Prosessitapahtuma
- VERKKO-istunto
Lisätietoja on ohjeaiheessa Asim-mallin (Advanced Security Information Model) rakenteet.
Tietojen käsittelyajan normalisointi
Käsittelyajan normalisoinnin tulokset voidaan käsitellä seuraavassa normalisoidussa taulukossa:
- ASimDnsActivityLogs DNS-rakenteelle .
- ASimNetworkSessionLogs verkkoistunnon rakenteelle
Lisätietoja on kohdassa Käyttöajan normalisointi.
ASIM-pohjaisissa toimialueen olennaisissa ratkaisuissa käytettävissä oleva sisältö
Seuraavassa taulukossa kuvataan kunkin olennaisen ratkaisun käytettävissä olevan sisällön tyyppi. Joissakin tietyissä käyttötapauksissa haluat ehkä käyttää myös Microsoft Sentinel tuoteratkaisun kanssa saatavilla olevaa sisältöä.
| Sisältötyyppi | Kuvaus |
|---|---|
| Analyyttinen sääntö | ASIM-pohjaisissa olennaisissa ratkaisuissa käytettävissä olevat analyyttiset säännöt ovat yleisiä ja sopivat hyvin mille tahansa toimialueen riippuvaisille Microsoft Sentinel tuoteratkaisuille. Microsoft Sentinel tuoteratkaisulla voi olla lähdekohtainen käyttötapaus, jota käsitellään osana analyysisääntöä. Ota Microsoft Sentinel tuoteratkaisun säännöt käyttöön tarvittaessa ympäristössäsi. |
| Metsästyskysely | ASIM-pohjaisissa olennaisissa ratkaisuissa käytettävissä olevat metsästyskyselyt ovat yleisiä ja sopivat hyvin uhkien etsimiseen mistä tahansa riippuvaisesta Microsoft Sentinel tuoteratkaisuista kyseiselle toimialueelle. Microsoft Sentinel tuoteratkaisulla voi olla saatavilla lähdekohtainen metsästyskysely. Käytä Microsoft Sentinel tuoteratkaisun metsästyskyselyitä ympäristösi mukaan. |
| Playbook | ASIM-pohjaisten olennaisten ratkaisujen odotetaan käsittelevän tietoja, joissa on suuria tapahtumia sekunteja kohti. Kun sinulla on sisältöä, joka käyttää kyseistä tietomäärää, saatat kohdata suorituskyvyn vaikutuksen, joka voi hidastaa työkirjojen tai kyselytulosten lataamista. Tämän ongelman ratkaisemiseksi yhteenveto-toistokirja tekee yhteenvedon lähdelokeista ja tallentaa tiedot ennalta määritettyihin taulukkoihin. Ota yhteenveto-toistokirja käyttöön, jotta olennaiset ratkaisut voivat kysellä tätä taulukkoa. Koska Microsoft Sentinel pelikirjat perustuvat erillisiä resursseja luovan Azure Logic Appsin työnkulkuihin, saatetaan veloittaa muita maksuja. Lisätietoja on Azure Logic Appsin hinnoittelusivulla. Yhteenvetotietojen tallennuksesta saatetaan veloittaa myös muita maksuja. |
| Seurantalistaan | ASIM-pohjaiset olennaiset ratkaisut käyttävät katseluluetteloa, joka sisältää useita ehtojoukkoja analyyttisen säännöntunnistuksen ja metsästyksen kyselyille. Katseluluettelon avulla voit tehdä seuraavat tehtävät: - Valvo keskitetysti tietojen suodatusta. - Vaihtaa kunkin luettelokohteen metsästyksen ja tunnistamisen välillä. - Pidä raja-arvotyyppi asetettuna staattiseksi , jotta voit hyödyntää kynnysarvoon perustuvia hälytyksiä, kun taas poikkeamapohjaiset hälytykset oppivat tietojen viimeisiltä päiviltä (enintään 14 päivää). - Muokkaa ilmoituksen nimeä, kuvausta, taktiikkaa ja vakavuutta käyttämällä tätä katseluluetteloa yksittäisissä luettelokohteissa. - Poista tunnistaminen käytöstä määrittämällä Vakavuus-asetukseksiPoistettu käytöstä. |
| Työkirjan | ASIM-pohjaisten olennaisten ratkaisujen kanssa käytettävissä oleva työkirja antaa yhdistetyn näkymän riippuvaisen toimialueen eri tapahtumista ja toiminnoista. Koska tämä työkirja noutaa tuloksia erittäin suuresta tietomäärästä, saattaa ilmetä jonkin verran viiveitä suorituskyvyssä. Jos kohtaat suorituskykyongelmia, käytä yhteenvetojen toistokirjaa. |
Näillä olennaisilla ratkaisuilla, kuten muillakin Microsoft Sentinel toimialueratkaisuilla, ei ole omaa liitintä. Ne riippuvat Microsoft Sentinel tuoteratkaisujen lähdekohtaisista liittimista, jotka haetaan lokeista. Jos haluat tietää, mitä tuotteita toimialueratkaisu tukee, tutustu tuoteratkaisujen edellytysluetteloon, joka sisältää kunkin ASIM-toimialueen perusratkaisuluettelon. Asenna vähintään yksi tuoteratkaisu. Määritä tietoliittimet vastaamaan pohjana olevia tuoteriippuvuustarpeita ja mahdollistamaan tämän toimialueratkaisun sisällön parempi käyttö.
Aiheeseen liittyviä artikkeleita
- Etsi ASIM-pohjaisia toimialueen olennaisia ratkaisuja, kuten Network Session Essentials ja DNS Essentials Solution for Microsoft Sentinel
- Kehittyneen suojaustietomallin (ASIM) käyttäminen