Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As soluções essenciais da Microsoft são soluções de domínio publicadas pela Microsoft para Microsoft Sentinel. Estas soluções têm conteúdo inicial que pode funcionar em vários produtos para categorias específicas, como redes. Algumas destas soluções essenciais utilizam a técnica de normalização Advanced Security Information Model (ASIM) para normalizar os dados no momento da consulta ou no tempo de ingestão.
Importante
As soluções essenciais da Microsoft e a solução Network Session Essentials estão atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Porquê utilizar soluções essenciais da Microsoft baseadas em ASIM?
Quando várias soluções numa categoria de domínio partilham padrões de deteção semelhantes, faz sentido que os dados sejam capturados num esquema normalizado como o ASIM. As soluções essenciais utilizam este esquema ASIM para detetar ameaças em escala.
No hub de conteúdos, existem várias soluções de produtos para diferentes categorias de domínio, como "Segurança – Rede". Por exemplo, Firewall do Azure, a Palo Alto Firewall e o Corelight têm soluções de produto para a categoria de domínio "Segurança - Rede".
- Estas soluções têm diferentes componentes de ingestão de dados por predefinição. No entanto, existe um determinado padrão para a análise, investigação, livros e outros conteúdos na mesma categoria de domínio.
- A maioria dos principais produtos de rede tem um conjunto básico comum de alertas de firewall que inclui ameaças maliciosas provenientes de endereços IP invulgares. O modelo de regra analítica é, em geral, duplicado para cada uma das categorias "Segurança – Rede" das soluções de produtos. Se estiver a executar vários produtos de rede, tem de marcar e configurar várias regras de análise individualmente, o que é ineficiente. Também obteria alertas para cada regra configurada e poderia acabar com fadiga de alerta.
- Se tiver consultas de investigação duplicadas, poderá ter experiências de investigação menos eficazes com o modo run-all de investigação. Estas consultas de investigação duplicadas também introduzem ineficiências para os caçadores de ameaças selecionarem e executarem consultas semelhantes.
Pode considerar as soluções essenciais da Microsoft pelos seguintes motivos:
- Um esquema normalizado torna mais fácil consultar os detalhes do incidente. Não tem de se lembrar de diferentes sintaxes de fornecedor para atributos de registo semelhantes.
- Se não tiver de gerir conteúdos para várias soluções, é mais fácil utilizar a implementação de casos e o processamento de incidentes.
- Uma vista de livro consolidada dá-lhe uma melhor visibilidade do ambiente e possível análise do tempo de consulta com analisadores ASIM de alto desempenho.
Esquemas ASIM suportados
As soluções essenciais estão atualmente abrangidas pelos seguintes diferentes esquemas ASIM que Sentinel suporta:
- Evento de auditoria
- Evento de autenticação
- Atividade DNS
- Atividade do arquivo
- Sessão de rede
- Evento de processo
- Sessão Web
Para obter mais informações, veja Advanced Security Information Model (ASIM) schemas (Esquemas do Advanced Security Information Model [ASIM]).
Normalização do tempo de ingestão
Os resultados da normalização do tempo de ingestão podem ser ingeridos na seguinte tabela normalizada:
- ASimDnsActivityLogs para o esquema DNS.
- ASimNetworkSessionLogs para o esquema de Sessão de Rede
Para obter mais informações, veja Normalização do tempo de ingestão.
Conteúdo disponível com soluções essenciais de domínio baseadas em ASIM
A tabela seguinte descreve o tipo de conteúdo disponível com cada solução essencial. Para alguns casos de utilização específicos, poderá também utilizar o conteúdo disponível com a solução de produto Microsoft Sentinel.
| Tipo de conteúdo | description |
|---|---|
| Regra Analítica | As regras analíticas disponíveis nas soluções essenciais baseadas em ASIM são genéricas e são adequadas para qualquer uma das soluções de produtos Microsoft Sentinel dependentes para esse domínio. A solução de produto Microsoft Sentinel pode ter um caso de utilização específico de origem abrangido como parte da regra analítica. Ative Microsoft Sentinel regras de solução de produto conforme necessário para o seu ambiente. |
| Consulta de investigação | As consultas de investigação disponíveis nas soluções essenciais baseadas em ASIM são genéricas e uma boa opção para investigar ameaças de qualquer uma das soluções de produtos Microsoft Sentinel dependentes para esse domínio. A solução de produto Microsoft Sentinel pode ter uma consulta de investigação específica de origem disponível. Utilize as consultas de investigação da solução de produto Microsoft Sentinel conforme necessário para o seu ambiente. |
| Manual de procedimentos | Espera-se que as soluções essenciais baseadas em ASIM processem dados com eventos elevados por segundos. Quando tiver conteúdos que utilizem esse volume de dados, poderá ter algum impacto no desempenho que pode causar um carregamento lento de livros ou resultados de consultas. Para resolver este problema, o manual de procedimentos de resumo resume os registos de origem e armazena as informações numa tabela predefinida. Ative o manual de procedimentos de resumo para permitir que as soluções essenciais consultem esta tabela. Uma vez que os manuais de procedimentos no Microsoft Sentinel se baseiam em fluxos de trabalho incorporados Azure Logic Apps que criam recursos separados, podem aplicar-se outros custos. Para obter mais informações, veja a página de preços do Azure Logic Apps. Também podem ser aplicados outros custos ao armazenamento dos dados resumidos. |
| Lista de observação | As soluções essenciais baseadas em ASIM utilizam uma lista de observação que inclui vários conjuntos de condições para deteção de regras analíticas e consultas de investigação. A lista de observação permite-lhe realizar as seguintes tarefas: - Efetue a monitorização focada com filtragem de dados. - Alternar entre investigação e deteção para cada item de lista. - Mantenha o Tipo de limiar definido como Estático para tirar partido dos alertas baseados em limiares, enquanto os alertas baseados em anomalias aprenderiam com os últimos dias de dados (máximo de 14 dias). - Modifique o Nome do Alerta, a Descrição, a Tática e a Gravidade com esta lista de observação para itens de lista individuais. - Desative a deteção definindo Gravidade como Desativada. |
| Pasta de Trabalho | O livro disponível com as soluções essenciais baseadas em ASIM fornece uma vista consolidada de diferentes eventos e atividades que ocorrem no domínio dependente. Uma vez que este livro obtém resultados de um volume muito elevado de dados, pode haver algum atraso de desempenho. Se tiver problemas de desempenho, utilize o manual de procedimentos de resumo. |
Estas soluções essenciais, como outras Microsoft Sentinel soluções de domínio, não têm um conector próprio. Dependem dos conectores específicos de origem no Microsoft Sentinel soluções de produtos para extrair os registos. Para compreender os produtos suportados pela solução de domínio, veja a lista de pré-requisitos das soluções de produtos que cada uma das listas de soluções essenciais de domínio asIM suporta. Instale uma ou mais das soluções de produto. Configure os conectores de dados para satisfazer as necessidades de dependência do produto subjacente e para permitir uma melhor utilização deste conteúdo de solução de domínio.
Artigos relacionados
- Encontre soluções essenciais de domínio baseadas em ASIM, como o Network Session Essentials e o DNS Essentials Solution para Microsoft Sentinel
- Utilizar o Modelo de Informações de Segurança Avançada (ASIM)