Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Viktige løsninger for Microsoft er domeneløsninger publisert av Microsoft for Microsoft Sentinel. Disse løsningene har forhåndsdefinert innhold som kan fungere på tvers av flere produkter for bestemte kategorier som nettverk. Noen av disse viktige løsningene bruker normaliseringsteknikken Advanced Security Information Model (ASIM) til å normalisere dataene ved spørringstidspunkt eller inntakstidspunkt.
Viktig
Microsoft essensielle løsninger og Network Session Essentials-løsningen er for øyeblikket i PREVIEW. Tilleggsvilkårene for Azure Preview inkluderer ytterligere juridiske vilkår som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke er utgitt i generell tilgjengelighet.
Hvorfor bruke ASIM-baserte microsoft essensielle løsninger?
Når flere løsninger i en domenekategori deler lignende gjenkjenningsmønstre, er det fornuftig å registrere dataene under et normalisert skjema som ASIM. Essensielle løsninger bruker dette ASIM-skjemaet til å oppdage trusler i stor skala.
I innholdshuben finnes det flere produktløsninger for ulike domenekategorier som «Sikkerhet – nettverk». For eksempel har Azure Firewall Palo Alto Firewall og Corelight produktløsninger for domenekategorien «Sikkerhet – nettverk».
- Disse løsningene har ulike datainntakskomponenter etter utforming. Det finnes imidlertid et bestemt mønster for analyse, jakt, arbeidsbøker og annet innhold i samme domenekategori.
- De fleste av de største nettverksproduktene har et vanlig grunnleggende sett med brannmurvarsler som inkluderer skadelige trusler som kommer fra uvanlige IP-adresser. Malen for analytiske regler er generelt duplisert for hver av kategoriene «Sikkerhet – nettverk» for produktløsninger. Hvis du kjører flere nettverksprodukter, må du kontrollere og konfigurere flere analytiske regler individuelt, noe som er ineffektivt. Du vil også få varsler for hver konfigurert regel og kan ende opp med varslingstretthet.
- Hvis du har duplicative jaktspørringer, kan det hende du har mindre utførlige jaktopplevelser med hele jaktmodusen. Disse duplicative jaktspørringene introduserer også ineffektivitet for trusseljegere for å velge og kjøre lignende spørringer.
Du kan vurdere Microsofts viktige løsninger av følgende årsaker:
- Et normalisert skjema gjør det enklere for deg å spørre etter hendelsesdetaljer. Du trenger ikke å huske annen leverandørsyntaks for lignende loggattributter.
- Hvis du ikke trenger å administrere innhold for flere løsninger, er brukstilfelledistribusjon og hendelseshåndtering enklere.
- En konsolidert arbeidsbokvisning gir deg bedre synlighet for miljøet og mulig spørringstidsanalyse med ASIM-parsere med høy ytelse.
ASIM-skjemaer støttes
De essensielle løsningene strakte seg for øyeblikket over følgende ulike ASIM-skjemaer som Sentinel støtter:
- Overvåkingshendelse
- Godkjenningshendelse
- DNS-aktivitet
- Filaktivitet
- Nettverksøkt
- Prosesshendelse
- Nettøkt
Hvis du vil ha mer informasjon, kan du se ASIM-skjemaer (Advanced Security Information Model).
Normalisering av inntakstid
Normaliseringsresultatene for inntakstid kan tas inn i følgende normaliserte tabell:
- ASimDnsActivityLogs for DNS-skjemaet.
- ASimNetworkSessionLogs for nettverksøktskjemaet
Hvis du vil ha mer informasjon, kan du se Inntakstidsnormalisering.
Innhold tilgjengelig med ASIM-baserte domene essensielle løsninger
Tabellen nedenfor beskriver innholdstypen som er tilgjengelig for hver viktige løsning. For noen bestemte brukstilfeller vil du kanskje også bruke innholdet som er tilgjengelig med den Microsoft Sentinel produktløsningen.
| Innholdstype | Beskrivelse |
|---|---|
| Analytisk regel | De analytiske reglene som er tilgjengelige i ASIM-baserte essensielle løsninger, er generiske og passer godt til alle de avhengige Microsoft Sentinel produktløsningene for dette domenet. Den Microsoft Sentinel produktløsningen kan ha et kildespesifikk brukstilfelle dekket som en del av den analytiske regelen. Aktiver Microsoft Sentinel regler for produktløsninger etter behov for miljøet ditt. |
| Jaktspørring | Jaktspørringene som er tilgjengelige i ASIM-baserte essensielle løsninger, er generiske og passer godt til å lete etter trusler fra noen av de avhengige Microsoft Sentinel produktløsningene for dette domenet. Den Microsoft Sentinel produktløsningen kan ha en kildespesifikk jaktspørring tilgjengelig utenfor boksen. Bruk jaktspørringene fra Microsoft Sentinel produktløsning etter behov for miljøet. |
| Playbook | De ASIM-baserte essensielle løsningene forventes å håndtere data med høye hendelser per sekunder. Når du har innhold som bruker dette datavolumet, kan det hende du opplever noen ytelseseffekter som kan føre til langsom innlasting av arbeidsbøker eller spørringsresultater. For å løse dette problemet oppsummerer sammendragsplanen kildeloggene og lagrer informasjonen i en forhåndsdefinert tabell. Aktiver sammendragsplanen for å tillate de essensielle løsningene å spørre denne tabellen. Siden strategibøker i Microsoft Sentinel er basert på arbeidsflyter som er innebygd i Azure Logic Apps som oppretter separate ressurser, kan det påløpe andre belastninger. Hvis du vil ha mer informasjon, kan du se Azure prissiden for Logic Apps. Andre belastninger kan også påløpe for lagring av de summerte dataene. |
| Watchlist | De ASIM-baserte essensielle løsningene bruker en visningsliste som inneholder flere sett med betingelser for gjenkjenning av analytiske regler og jaktspørringer. Med visningslisten kan du gjøre følgende oppgaver: – Gjør fokusert overvåking med datafiltrering. – Bytt mellom jakt og oppdaging for hvert listeelement. – Hold terskeltypen satt til Static for å dra nytte av terskelbasert varsling, mens avviksbaserte varsler vil lære fra de siste dagene med data (maksimalt 14 dager). – Endre varselnavn, beskrivelse, taktikk og alvorlighetsgrad ved hjelp av denne visningslisten for individuelle listeelementer. – Deaktiver gjenkjenning ved å angi alvorsgraden som deaktivert. |
| Arbeidsboken | Arbeidsboken som er tilgjengelig med ASIM-baserte essensielle løsninger, gir en konsolidert visning av ulike hendelser og aktivitet som skjer i det avhengige domenet. Fordi denne arbeidsboken henter resultater fra et svært høyt datavolum, kan det være noe ytelsesforsinkelse. Hvis du opplever ytelsesproblemer, kan du bruke sammendragsplanen. |
Disse viktige løsningene, som andre Microsoft Sentinel domeneløsninger, har ikke en egen kobling. De er avhengige av de kildespesifikke koblingene i Microsoft Sentinel produktløsninger for å hente inn loggene. Hvis du vil forstå produktene som domeneløsningen støtter, kan du se den nødvendige listen over produktløsninger hver av løsningslistene for ASIM-domenets grunnleggende løsninger. Installer én eller flere av produktløsningene. Konfigurer datakoblingene slik at de oppfyller de underliggende behovene for produktavhengighet og for å muliggjøre bedre bruk av dette domeneløsningsinnholdet.
Relaterte artikler
- Finn ASIM-baserte domene essensielle løsninger som Network Session Essentials og DNS Essentials Solution for Microsoft Sentinel
- Bruke ASIM (Advanced Security Information Model)