Soluções de domínio baseadas no Modelo de Informações de Segurança Avançado (ASIM) para o Microsoft Sentinel (prévia)

As soluções essenciais da Microsoft são soluções de domínio publicadas pela Microsoft para o Microsoft Sentinel. Estas soluções contam com conteúdos prontos para uso que podem operar em diversos produtos para categorias específicas, como redes. Algumas dessas soluções essenciais usam a técnica de normalização Modelo de Informações de Segurança Avançado (ASIM) para normalizar os dados no momento da consulta ou da ingestão.

Importante

As soluções essenciais da Microsoft e a solução Network Session Essentials estão atualmente na VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Por que usar as soluções essenciais da Microsoft baseadas no ASIM?

Quando várias soluções em uma categoria de domínio compartilham padrões de detecção semelhantes, faz sentido que os dados sejam capturados em um esquema normalizado como o ASIM. Soluções essenciais utilizam esse esquema ASIM para detectar ameaças em escala.

No hub de conteúdo, existem várias soluções de produtos para diferentes categorias de domínio, como "Segurança - Rede". Por exemplo, o Firewall do Azure, o Palo Alto Firewall e o Corelight têm soluções de produtos para a categoria de domínio "Segurança - Rede".

  • Essas soluções têm diferentes componentes de ingestão de dados por design. Mas há um certo padrão na análise, na busca, nas pastas de trabalho e em outros conteúdos dentro da mesma categoria de domínio.
  • A maioria dos principais produtos de rede tem um conjunto básico comum de alertas de firewall que inclui ameaças mal-intencionadas oriundas de endereços IP incomuns. O modelo de regra analítica é, em geral, duplicado em cada uma das categorias “Segurança - Rede” de soluções de produto. Se estiver executando vários produtos de rede, você precisará verificar e configurar várias regras analíticas individualmente, o que é ineficiente. Você também receberia alertas para cada regra configurada e poderia acabar com a fadiga dos alertas.
  • Se você tiver consultas de busca duplicadas, talvez tenha experiências de busca menos eficientes com o modo de busca executar tudo. Essas consultas de busca duplicadas também introduzem ineficiências para que os buscadores de ameaças selecionem e executem consultas semelhantes.

Você pode considerar as soluções essenciais da Microsoft pelos motivos a seguir:

  • Um esquema normalizado facilita a consulta dos detalhes do incidente. Você não precisa se lembrar de uma sintaxe de fornecedor diferente para atributos de log semelhantes.
  • Se você não precisar gerenciar conteúdos de diversas soluções, será mais fácil implantar casos de uso e lidar com incidentes.
  • Um modo de exibição de pasta de trabalho consolidado oferece melhor visibilidade do ambiente e possível análise de tempo de consulta com analisadores ASIM de alto desempenho.

Esquemas ASIM suportados

As soluções essenciais são atualmente abrangidas pelos seguintes esquemas ASIM diferentes suportados pelo Sentinel:

  • Auditoria do evento
  • Evento de autenticação
  • Atividade de DNS
  • Atividade de arquivo
  • Sessão de rede
  • Evento de processo
  • Sessão da Web

Para obter mais informações, confira Esquemas do Modelo de Informações de Segurança Avançada (ASIM).

Normalização do tempo de ingestão

Os resultados da normalização do tempo de ingestão podem ser ingeridos na seguinte tabela normalizada:

Para obter mais informações, confira Normalização do tempo de ingestão.

Conteúdo disponível com soluções essenciais de domínio baseadas no ASIM

A tabela a seguir descreve o tipo de conteúdo disponível em cada solução essencial. Para alguns casos de uso específicos, talvez você também queira usar o conteúdo disponível com a solução de produto do Microsoft Sentinel.

Tipo de conteúdo descrição
Regra analítica As regras analíticas disponíveis nas soluções essenciais baseadas no ASIM são genéricas e adequadas para qualquer uma das soluções dependentes de produtos do Microsoft Sentinel nesse domínio. A solução de produto do Microsoft Sentinel pode ter um caso de uso específico de origem abordado como parte da regra analítica. Habilite as regras da solução de produto do Microsoft Sentinel conforme necessário no seu ambiente.
Consulta de busca As consultas de busca disponíveis nas soluções essenciais baseadas no ASIM são genéricas e adequadas para buscar ameaças de qualquer uma das soluções dependentes de produtos do Microsoft Sentinel nesse domínio. A solução de produto do Microsoft Sentinel pode ter uma consulta de busca específica de origem disponível pronta para uso. Utilize as consultas de busca da solução de produto do Microsoft Sentinel conforme necessário para seu ambiente.
Manual Espera-se que as soluções essenciais baseadas em ASIM manipulem dados com valores altos de eventos por segundo. Quando você tem um conteúdo que está usando esse volume de dados, você pode experimentar algum impacto de desempenho que pode causar lentidão no carregamento de pastas de trabalho ou resultados de consultas. Para resolver o problema, o guia estratégico de sumarização resume os logs de origem e armazena as informações em uma tabela predefinida. Habilite o guia estratégico de sumarização para permitir que as soluções essenciais consultem esta tabela.

Como os guias estratégicos do Microsoft Sentinel se baseiam em fluxos de trabalho criados em Aplicativos Lógicos do Azure que criam recursos separados, outros encargos podem ser aplicados. Para obter mais informações, confira a página de preços dos Aplicativos Lógicos do Azure. Outros encargos também podem ser aplicados ao armazenamento dos dados resumidos.
Watchlist As soluções essenciais baseadas no ASIM usam uma watchlist que inclui vários conjuntos de condições para detecção de regras analíticas e consultas de busca. A watchlist permite que você faça as tarefas a seguir:

- Fazer o monitoramento focado com filtragem de dados.
- Alterne entre busca e detecção para cada item de lista.
- Mantenha o Tipo de limite definido como Estático para aproveitar os alertas baseados em limites, enquanto os alertas baseados em anomalias aprenderiam com os últimos dias de dados (máximo 14 dias).
- Modifique o Nome do alerta, a Descrição, a Tática e a Gravidade usando esta watchlist para itens de lista individuais.
- Desabilite a detecção definindo a Gravidade como Desabilitada.
Pasta de trabalho A pasta de trabalho disponível com as soluções essenciais baseadas no ASIM fornece uma visão consolidada dos diferentes eventos e atividades que acontecem no domínio dependente. Como essa pasta de trabalho busca resultados de um volume muito alto de dados, pode haver algum atraso no desempenho. Se você tiver problemas de desempenho, use o guia estratégico de sumarização.

Essas soluções essenciais, como outras soluções de domínio do Microsoft Sentinel, não possuem um conector próprio. Eles dependem dos conectores específicos da origem nas soluções de produtos do Microsoft Sentinel para efetuar pull nos logs. Para entender os produtos que a solução de domínio suporta, consulte a lista de pré-requisitos de soluções de produtos de cada uma das listas de soluções essenciais de domínio do ASIM. Instale uma ou mais das soluções do produto. Configure os conectores de dados para atender às necessidades de dependência do produto subjacentes e permitir um melhor uso do conteúdo dessa solução de domínio.