Normalisering och ASIM (Advanced Security Information Model) (offentlig förhandsversion)

  • Artikel

Microsoft Sentinel matar in data från många källor. När du arbetar med olika datatyper och tabeller tillsammans måste du förstå var och en av dem och skriva och använda unika datauppsättningar för analysregler, arbetsböcker och jaktfrågor för varje typ eller schema.

Ibland behöver du separata regler, arbetsböcker och frågor, även när datatyper delar gemensamma element, till exempel brandväggsenheter. Det kan också vara svårt att korrelera mellan olika typer av data under en undersökning och jakt.

Asim (Advanced Security Information Model) är ett lager som finns mellan dessa olika källor och användaren. ASIM följer robusthetsprincipen: "Var strikt i det du skickar, var flexibel i det du accepterar". Med robusthetsprincipen som designmönster omvandlar ASIM den proprietära källtelemetri som samlas in av Microsoft Sentinel till användarvänliga data för att underlätta utbyte och integrering.

Den här artikeln innehåller en översikt över ASIM (Advanced Security Information Model), dess användningsfall och viktiga komponenter.

Dricks

Titta också på ASIM-webbseminariet eller granska webbseminarier.

Viktigt!

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Vanlig ASIM-användning

ASIM ger en sömlös upplevelse för hantering av olika källor i enhetliga, normaliserade vyer genom att tillhandahålla följande funktioner:

  • Identifiering mellan källor. Normaliserade analysregler fungerar mellan källor, lokalt och i molnet och identifierar attacker som råstyrkeattacker eller omöjliga resor mellan system, inklusive Okta, AWS och Azure.

  • Källagnostiskt innehåll. Täckningen för både inbyggt och anpassat innehåll med ASIM expanderas automatiskt till alla källor som stöder ASIM, även om källan lades till efter att innehållet skapades. Till exempel stöder processhändelseanalys alla källor som en kund kan använda för att hämta data, till exempel Microsoft Defender för Endpoint, Windows-händelser och Sysmon.

  • Stöd för dina anpassade källor, i inbyggd analys

  • Användarvänlighet. När en analytiker har lärt sig ASIM är det mycket enklare att skriva frågor eftersom fältnamnen alltid är desamma.

ASIM och metadata för säkerhetshändelser med öppen källkod

ASIM överensstämmer med ossEM-modellen (Open Source Security Events Metadata), vilket möjliggör förutsägbar entitetskorrelation mellan normaliserade tabeller.

OSSEM är ett community-lett projekt som främst fokuserar på dokumentation och standardisering av säkerhetshändelseloggar från olika datakällor och operativsystem. Projektet innehåller också en CIM (Common Information Model) som kan användas för datatekniker under procedurer för datanormalisering så att säkerhetsanalytiker kan fråga och analysera data över olika datakällor.

Mer information finns i OSSEM-referensdokumentationen.

ASIM-komponenter

Följande bild visar hur icke-normaliserade data kan översättas till normaliserat innehåll och användas i Microsoft Sentinel. Du kan till exempel börja med en anpassad, produktspecifik, icke-normaliserad tabell och använda en parser och ett normaliseringsschema för att konvertera tabellen till normaliserade data. Använd dina normaliserade data i både Microsoft och anpassad analys, regler, arbetsböcker, frågor med mera.

Diagram som visar ett icke-normaliserat datakonverteringsflöde och användning i Microsoft Sentinel.

ASIM innehåller följande komponenter:

Normaliserade scheman

Normaliserade scheman omfattar standarduppsättningar med förutsägbara händelsetyper som du kan använda när du skapar enhetliga funktioner. Varje schema definierar de fält som representerar en händelse, en normaliserad kolumnnamngivningskonvention och ett standardformat för fältvärdena.

ASIM definierar för närvarande följande scheman:

Mer information finns i ASIM-scheman.

Parsers för frågetid

ASIM använder parsers för frågetid till att mappa befintliga data till normaliserade scheman med hjälp av KQL-funktioner. Många ASIM-parsers är tillgängliga direkt i Microsoft Sentinel. Fler parsers och versioner av de inbyggda parsarna som kan ändras kan distribueras från Microsoft Sentinel GitHub-lagringsplatsen.

Mer information finns i ASIM-parsers.

Mata in tidsnormalisering

Frågetidsparsers har många fördelar:

  • De kräver inte att data ändras, vilket bevarar källformatet.
  • Eftersom de inte ändrar data, utan snarare visar en vy över data, är de lätta att utveckla. Du kan utveckla, testa och åtgärda en parser på befintliga data. Dessutom kan parsers åtgärdas när ett problem identifieras och korrigeringen gäller för befintliga data.

Å andra sidan, medan ASIM-parsare är optimerade, kan frågetidsparsning göra frågor långsammare, särskilt på stora datamängder. För att lösa detta kompletterar Microsoft Sentinel frågetidens parsning med inmatningstidsparsning. Med inmatningstransformeringen normaliseras händelserna till normaliserad tabell, vilket påskyndar frågor som använder normaliserade data.

För närvarande stöder ASIM följande inbyggda normaliserade tabeller som mål för inmatningstidsnormalisering:

Mer information finns i Inmatningstidsnormalisering.

Innehåll för varje normaliserat schema

Innehåll som använder ASIM innehåller lösningar, analysregler, arbetsböcker, jaktfrågor med mera. Innehåll för varje normaliserat schema fungerar på normaliserade data utan att behöva skapa källspecifikt innehåll.

Mer information finns i ASIM-innehåll.

Komma igång med ASIM

Så här börjar du använda ASIM:

Relaterat innehåll

Den här artikeln innehåller en översikt över normalisering i Microsoft Sentinel och ASIM.

Mer information finns i: