Normalisation et modèle ASIM (Advanced Security Information Model)

Microsoft Sentinel ingère des données provenant de nombreuses sources. L’utilisation de différents types de données et tables nécessite de comprendre chacun d’eux, d’écrire et d’utiliser des jeux de données uniques pour les règles d’analyse, les classeurs et les requêtes de chasse pour chaque type ou schéma.

Parfois, vous aurez besoin de règles, de classeurs et de requêtes distincts, même lorsque les types de données partagent des éléments communs, tels que des appareils de pare-feu. La corrélation entre différents types de données au cours d’une enquête et d’une chasse peut également être difficile.

Le modèle ASIM (Advanced Security Information Model) est une couche qui se trouve entre ces diverses sources et l’utilisateur. ASIM suit le principe de robustesse : « Soyez strict dans ce que vous envoyez, soyez flexible dans ce que vous acceptez ». En utilisant le principe de robustesse comme modèle de conception, ASIM transforme la télémétrie source propriétaire collectée par Microsoft Sentinel en données conviviales pour faciliter l’échange et l’intégration.

Cet article fournit une vue d’ensemble du modèle ASIM (Advanced Security Information Model), de ses cas d’usage et de ses principaux composants.

Utilisation courante d’ASIM

ASIM offre une expérience transparente pour la gestion de diverses sources dans des vues uniformes et normalisées, en fournissant les fonctionnalités suivantes :

• Détection de sources croisées. Les règles d’analyse normalisées fonctionnent sur les sources, locales et cloud, et détectent les attaques telles que la force brute ou les déplacements impossibles entre les systèmes, notamment Okta, AWS et Azure.

• Contenu agnostique source. La couverture du contenu intégré et personnalisé à l’aide d’ASIM s’étend automatiquement à toute source prenant en charge ASIM, même si la source a été ajoutée après la création du contenu. Par exemple, l’analytique des événements de processus prend en charge toute source qu’un client peut utiliser pour importer les données, comme Microsoft Defender pour point de terminaison, les événements Windows et Sysmon.

• Prise en charge de vos sources personnalisées, dans l’analytique intégrée

• Facilité d’utilisation. Une fois qu’un analyste a appris ASIM, l’écriture de requêtes est beaucoup plus simple, car les noms de champs sont toujours les mêmes.

ASIM et métadonnées des événements de sécurité Open Source

ASIM s’aligne sur le modèle d’informations communes OSSEM (Open Source Security Events Metadata), ce qui permet une corrélation d’entités prévisible entre les tables normalisées.

OSSEM est un projet dirigé par la communauté qui se concentre principalement sur la documentation et la normalisation des journaux d’événements de sécurité provenant de diverses sources de données et systèmes d’exploitation. Le projet fournit également un modèle CIM (Common Information Model) qui peut être utilisé pour les ingénieurs données pendant les procédures de normalisation des données afin de permettre aux analystes de sécurité d’interroger et d’analyser des données dans diverses sources de données.

Pour plus d’informations, consultez la documentation de référence OSSEM.

Composants ASIM

L’image suivante montre comment les données non normalisées peuvent être traduites en contenu normalisé et utilisées dans Microsoft Sentinel. Par exemple, vous pouvez commencer avec une table personnalisée, propre au produit et non normalisée, et utiliser un analyseur et un schéma de normalisation pour convertir cette table en données normalisées. Utilisez vos données normalisées dans Microsoft et l’analytique personnalisée, les règles, les classeurs, les requêtes et bien plus encore.

ASIM comprend les composants suivants :

Schémas normalisés

Les schémas normalisés couvrent des ensembles standard de types d’événements prédictibles que vous pouvez utiliser lors de la création de fonctionnalités unifiées. Chaque schéma définit les champs qui représentent un événement, une convention de nommage de colonne normalisée et un format standard pour les valeurs de champ.

ASIM définit actuellement les schémas suivants :

• Événement d’alerte
• Événement d’audit
• Événement d’authentification
• Activité DHCP
• Activité DNS
• Activité de fichier
• Session réseau
• Événement de processus
• Événement de registre
• Gestion des utilisateurs
• Web Session

Pour plus d’informations, consultez Schémas ASIM.

Analyseurs de temps de requête

ASIM utilise des analyseurs de temps de requête pour mapper les données existantes aux schémas normalisés à l’aide de fonctions KQL. De nombreux analyseurs ASIM sont disponibles avec Microsoft Sentinel. Vous pouvez déployer d’autres analyseurs et des versions des analyseurs intégrés qui peuvent être modifiés à partir du dépôt GitHub Microsoft Sentinel.

Pour plus d’informations, consultez Analyseurs ASIM.

Normalisation du temps d’ingestion

Les analyseurs de temps de requête présentent de nombreux avantages :

• Elles ne nécessitent pas de modification des données, ce qui permet de préserver le format source.
• Comme ils ne modifient pas les données, mais présentent plutôt une vue des données, ils sont faciles à développer. Le développement, le test et la correction d’un analyseur peuvent tous être effectués sur des données existantes. En outre, les analyseurs peuvent être résolus lorsqu’un problème est détecté et le correctif s’applique aux données existantes.

En revanche, alors que les analyseurs ASIM sont optimisés, l’analyse du temps des requêtes peut ralentir les requêtes, en particulier sur les jeux de données volumineux. Pour résoudre ce problème, Microsoft Sentinel complète l’analyse du temps de requête avec l’analyse du temps d’ingestion. À l’aide de la transformation d’ingestion, les événements sont normalisés en table normalisée, ce qui accélère les requêtes qui utilisent des données normalisées.

Actuellement, ASIM prend en charge les tables normalisées natives suivantes comme destination pour la normalisation de l’heure d’ingestion :

• ASimAuditEventLogs pour le schéma d’événement d’audit .
• ASimAuthenticationEventLogs pour le schéma d’authentification .
• ASimDhcpEventLogs pour le schéma d’événement DHCP .
• ASimDnsActivityLogs pour le schéma DNS .
• ASimFileEventLogs pour le schéma d’événement de fichier .
• ASimNetworkSessionLogs pour le schéma de session réseau .
• ASimProcessEventLogs pour le schéma d’événement de processus .
• ASimRegistryEventLogs pour le schéma d’événement de registre .
• ASimUserManagementActivityLogs pour le schéma de gestion des utilisateurs .
• ASimWebSessionLogs pour le schéma de session web .

Pour plus d’informations, consultez Normalisation du temps d’ingérer.

Contenu de chaque schéma normalisé

Le contenu qui utilise ASIM comprend des solutions, des règles d’analyse, des classeurs, des requêtes de repérage, etc. Le contenu de chaque schéma normalisé fonctionne sur toutes les données normalisées sans qu’il soit nécessaire de créer du contenu spécifique à la source.

Pour plus d’informations, consultez Contenu ASIM.

Prise en main d’ASIM

Pour commencer à utiliser ASIM :

• Déployez une solution de domaine basée sur ASIM telle que la solution de domaine Network Threat Protection Essentials .

• Activer les modèles de règle d’analytique qui utilisent ASIM. Pour plus d’informations, consultez la liste de contenu ASIM.

• Utilisez les requêtes de repérage ASIM à partir du dépôt GitHub Microsoft Sentinel lors de l’interrogation des journaux dans KQL dans la page Journaux d’Microsoft Sentinel. Pour plus d’informations, consultez la liste de contenu ASIM.

• Écrivez vos propres règles d’analyse à l’aide d’ASIM ou convertissez des règles existantes.

• Autorisez vos données personnalisées à utiliser l’analytique intégrée en écrivant des analyseurs pour vos sources personnalisées et en les ajoutant à l’analyseur source agnostique approprié.

Contenu connexe

Cet article fournit une vue d’ensemble de la normalisation dans Microsoft Sentinel et ASIM.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Regardez le webinaire ASIM ou passez en revue les diapositives
• Schémas ASIM (Advanced Security Information Model)
• Analyseurs ASIM (Advanced Security Information Model)
• Contenu ASIM (Advanced Security Information Model)