Op ASIM (Advanced Security Information Model) gebaseerde domeinoplossingen voor Microsoft Sentinel (preview)

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Essentiële microsoft-oplossingen zijn domeinoplossingen die zijn gepubliceerd door Microsoft voor Microsoft Sentinel. Deze oplossingen hebben out-of-the-box inhoud die kan worden gebruikt voor meerdere producten voor specifieke categorieën, zoals netwerken. Sommige van deze essentiële oplossingen maken gebruik van de normalisatietechniek Advanced Security Information Model (ASIM) om de gegevens op het moment van query of opname te normaliseren.

Belangrijk

Essentiële oplossingen van Microsoft en de oplossing Network Session Essentials zijn momenteel beschikbaar als PREVIEW. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Waarom essentiële oplossingen van Microsoft op basis van ASIM gebruiken?

Wanneer meerdere oplossingen in een domeincategorie vergelijkbare detectiepatronen delen, is het zinvol om de gegevens te laten vastleggen onder een genormaliseerd schema zoals ASIM. Essentiële oplossingen maken gebruik van dit ASIM-schema om bedreigingen op schaal te detecteren.

In de inhoudshub zijn er meerdere productoplossingen voor verschillende domeincategorieën, zoals 'Beveiliging - netwerk'. Azure Firewall, Palo Alto Firewall en Corelight hebben bijvoorbeeld productoplossingen voor de domeincategorie Security - Network.

  • Deze oplossingen hebben per ontwerp verschillende onderdelen voor gegevensopname. Maar er is een bepaald patroon voor de analyse, opsporing, werkmappen en andere inhoud binnen dezelfde domeincategorie.
  • De meeste van de belangrijkste netwerkproducten hebben een algemene basisset firewallwaarschuwingen die schadelijke bedreigingen bevatten die afkomstig zijn van ongebruikelijke IP-adressen. De sjabloon voor analytische regels wordt over het algemeen gedupliceerd voor elk van de categorie 'Beveiliging - netwerk' van productoplossingen. Als u meerdere netwerkproducten uitvoert, moet u meerdere analyseregels afzonderlijk controleren en configureren, wat inefficiënt is. U krijgt ook waarschuwingen voor elke regel die is geconfigureerd en kan eindigen met waarschuwingsmoeheid.
  • Als u dubbele opsporingsquery's hebt, hebt u mogelijk minder goede opsporingservaringen met de run-all-modus van opsporing. Deze duplicerende opsporingsquery's introduceren ook inefficiënties voor bedreigingsjagers om vergelijkbare query's te selecteren en uit te voeren.

U kunt essentiële oplossingen van Microsoft overwegen om de volgende redenen:

  • Met een genormaliseerd schema kunt u eenvoudiger query's uitvoeren op incidentdetails. U hoeft geen verschillende syntaxis van de leverancier te onthouden voor vergelijkbare logboekkenmerken.
  • Als u geen inhoud voor meerdere oplossingen hoeft te beheren, is de implementatie van use-case en incidentafhandeling eenvoudiger.
  • Een geconsolideerde werkmapweergave biedt u betere zichtbaarheid van de omgeving en mogelijke parsering van querytijd met hoog presterende ASIM-parsers.

Ondersteunde ASIM-schema's

De essentiële oplossingen zijn momenteel verspreid over de volgende verschillende ASIM-schema's die Sentinel ondersteunt:

  • Controlegebeurtenis
  • Verificatie-gebeurtenis
  • DNS-activiteit
  • Bestandsactiviteit
  • Netwerksessie
  • Proces-gebeurtenis
  • Websessie

Zie ASIM-schema's (Advanced Security Information Model) voor meer informatie.

Normalisatie van opnametijd

De normalisatieresultaten voor opnametijd kunnen worden opgenomen in de volgende genormaliseerde tabel:

Zie Normalisatie van opnametijd voor meer informatie.

Inhoud beschikbaar met essentiële ASIM-oplossingen voor domeinen

In de volgende tabel wordt het type inhoud beschreven dat beschikbaar is voor elke essentiële oplossing. Voor sommige specifieke gebruiksvoorbeelden wilt u mogelijk ook de inhoud gebruiken die beschikbaar is in de Microsoft Sentinel-productoplossing.

Inhoudstype beschrijving
Analytische regel De analytische regels die beschikbaar zijn in de essentiële oplossingen op basis van ASIM zijn algemeen en geschikt voor elk van de afhankelijke Microsoft Sentinel productoplossingen voor dat domein. De Microsoft Sentinel productoplossing kan een bronspecifieke use-case hebben die deel uitmaakt van de analytische regel. Schakel Microsoft Sentinel productoplossingsregels in als dat nodig is voor uw omgeving.
Opsporingsquery De opsporingsquery's die beschikbaar zijn in de op ASIM gebaseerde essentiële oplossingen zijn algemeen en geschikt voor het opsporen van bedreigingen van een van de afhankelijke Microsoft Sentinel productoplossingen voor dat domein. De Microsoft Sentinel productoplossing heeft mogelijk een bronspecifieke opsporingsquery die out-of-the-box beschikbaar is. Gebruik de opsporingsquery's van de Microsoft Sentinel productoplossing indien nodig voor uw omgeving.
Playbook De essentiële oplossingen op basis van ASIM moeten gegevens met hoge gebeurtenissen per seconden verwerken. Wanneer u inhoud hebt die gebruikmaakt van dat gegevensvolume, kan dit gevolgen hebben voor de prestaties, waardoor werkmappen of queryresultaten langzaam kunnen worden geladen. Om dit probleem op te lossen, vat het playbook voor samenvatting de bronlogboeken samen en slaat de informatie op in een vooraf gedefinieerde tabel. Schakel het samenvattingsplaybook in, zodat de essentiële oplossingen een query op deze tabel kunnen uitvoeren.

Omdat playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn ingebouwd in Azure Logic Apps waarmee afzonderlijke resources worden gemaakt, kunnen er andere kosten in rekening worden gebracht. Zie de pagina met prijzen voor Azure Logic Apps voor meer informatie. Er kunnen ook andere kosten in rekening worden gebracht voor de opslag van de samengevatte gegevens.
Watchlist De essentiële oplossingen op basis van ASIM maken gebruik van een volglijst met meerdere sets voorwaarden voor detectie van analytische regels en opsporingsquery's. Met de volglijst kunt u de volgende taken uitvoeren:

- Gerichte controle uitvoeren met gegevensfiltratie.
- Schakelen tussen opsporing en detectie voor elk lijstitem.
- Houd drempelwaardetype ingesteld op Statisch om gebruik te maken van waarschuwingen op basis van drempelwaarden, terwijl waarschuwingen op basis van afwijkingen zouden leren van de laatste paar dagen aan gegevens (maximaal 14 dagen).
- Wijzig de waarschuwingsnaam, beschrijving, tactiek en ernst met behulp van deze volglijst voor afzonderlijke lijstitems.
- Schakel detectie uit door Ernst in te stellen op Uitgeschakeld.
Werkmap De werkmap die beschikbaar is met de op ASIM gebaseerde essentiële oplossingen biedt een geconsolideerde weergave van verschillende gebeurtenissen en activiteiten die plaatsvinden in het afhankelijke domein. Omdat in deze werkmap resultaten worden opgehaald van een zeer grote hoeveelheid gegevens, kan er sprake zijn van een vertraging in de prestaties. Als u prestatieproblemen ondervindt, gebruikt u het playbook voor samenvatting.

Deze essentiële oplossingen, zoals andere Microsoft Sentinel domeinoplossingen, hebben geen eigen connector. Ze zijn afhankelijk van de bronspecifieke connectors in Microsoft Sentinel productoplossingen om de logboeken op te halen. Voor meer informatie over de producten die de domeinoplossing ondersteunt, raadpleegt u de lijst met vereiste productoplossingen die elk van de lijsten met essentiële oplossingen voor ASIM-domeinen bevat. Installeer een of meer van de productoplossingen. Configureer de gegevensconnectors om te voldoen aan de onderliggende productafhankelijkheidsbehoeften en om een beter gebruik van de inhoud van deze domeinoplossing mogelijk te maken.

  • Last updated on