Normalleştirme ve Gelişmiş Güvenlik Bilgileri Modeli (ASIM) (Genel önizleme)
Microsoft Sentinel birçok kaynaktan veri alır. Çeşitli veri türleri ve tablolarla birlikte çalışmak için bunların her birini anlamanız ve her tür veya şema için analiz kuralları, çalışma kitapları ve tehdit avcılığı sorguları için benzersiz veri kümeleri yazmanız ve kullanmanız gerekir.
Bazen, veri türleri güvenlik duvarı cihazları gibi ortak öğeleri paylaştığında bile ayrı kurallara, çalışma kitaplarına ve sorgulara ihtiyacınız olur. Araştırma ve tehdit avcılığı sırasında farklı veri türleri arasında bağıntı oluşturma da zor olabilir.
Gelişmiş Güvenlik Bilgileri Modeli (ASIM), bu farklı kaynaklar ile kullanıcı arasında yer alan bir katmandır. ASIM, sağlamlık ilkesini izler: "Gönderdiğiniz şeyde katı olun, kabul ettiğiniz şeyde esnek olun". Tasarım deseni olarak sağlamlık ilkesini kullanan ASIM, Microsoft Sentinel tarafından toplanan özel kaynak telemetri verilerini, değişim ve tümleştirmeyi kolaylaştırmak için kullanıcı dostu verilere dönüştürür.
Bu makalede Gelişmiş Güvenlik Bilgileri Modeli 'ne (ASIM), kullanım örneklerine ve ana bileşenlere genel bir bakış sağlanmaktadır.
İpucu
Ayrıca ASIM Web Semineri'ni izleyin veya web semineri slaytlarını gözden geçirin.
Önemli
ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Yaygın ASIM kullanımı
ASIM, aşağıdaki işlevleri sağlayarak çeşitli kaynakları tekdüzen, normalleştirilmiş görünümlerde işlemek için sorunsuz bir deneyim sağlar:
Çapraz kaynak algılama. Normalleştirilmiş analiz kuralları kaynaklar, şirket içi ve bulut genelinde çalışır ve Okta, AWS ve Azure gibi sistemler arasında deneme yanılma veya imkansız seyahat gibi saldırıları algılar.
Kaynak belirsiz içerik. ASIM kullanan hem yerleşik hem de özel içeriğin kapsamı, içerik oluşturulduktan sonra eklenmiş olsa bile ASIM'i destekleyen herhangi bir kaynağa otomatik olarak genişletir. Örneğin, işlem olay analizi müşterinin verileri getirmek için kullanabileceği Uç Nokta için Microsoft Defender, Windows Olayları ve Sysmon gibi kaynakları destekler.
Yerleşik analizde özel kaynaklarınız için destek
Kullanım kolaylığı. Bir analist ASIM'i öğrendikte, alan adları her zaman aynı olduğundan sorgu yazmak çok daha basittir.
ASIM ve Açık Kaynak Güvenlik Olayları Meta Verileri
ASIM, Açık Kaynak Güvenlik Olayları Meta Verileri (OSSEM) ortak bilgi modeliyle uyumlu hale gelir ve normalleştirilmiş tablolar arasında tahmin edilebilir varlıklar bağıntısına olanak tanır.
OSSEM, öncelikle çeşitli veri kaynaklarından ve işletim sistemlerinden gelen güvenlik olay günlüklerinin belgelerine ve standartlaştırılmasına odaklanan topluluk liderliğinde bir projedir. Proje ayrıca, güvenlik analistlerinin farklı veri kaynaklarındaki verileri sorgulamasına ve çözümlemesine olanak sağlamak üzere veri normalleştirme yordamları sırasında veri mühendisleri için kullanılabilecek bir Ortak Bilgi Modeli (CIM) sağlar.
Daha fazla bilgi için OSSEM başvuru belgelerine bakın.
ASIM bileşenleri
Aşağıdaki görüntüde normalleştirilmemiş verilerin normalleştirilmiş içeriğe nasıl çevrilebileceği ve Microsoft Sentinel'de nasıl kullanılacağı gösterilmektedir. Örneğin, özel, ürüne özgü, normalleştirilmemiş bir tabloyla başlayabilir ve bu tabloyu normalleştirilmiş verilere dönüştürmek için ayrıştırıcı ve normalleştirme şeması kullanabilirsiniz. Normalleştirilmiş verilerinizi hem Microsoft'ta hem de özel analizlerde, kurallarda, çalışma kitaplarında, sorgularda ve daha fazlasında kullanın.
ASIM aşağıdaki bileşenleri içerir:
Normalleştirilmiş şemalar
Normalleştirilmiş şemalar, birleşik özellikler oluştururken kullanabileceğiniz tahmin edilebilir olay türlerinin standart kümelerini kapsar. Her şema bir olayı temsil eden alanları, normalleştirilmiş bir sütun adlandırma kuralını ve alan değerleri için standart biçimi tanımlar.
ASIM şu anda aşağıdaki şemaları tanımlar:
- Denetim Olayı
- Kimlik Doğrulama Olayı
- DHCP Etkinliği
- DNS Etkinliği
- Dosya Etkinliği
- Ağ Oturumu
- İşlem Olayı
- Kayıt Defteri Olayı
- Kullanıcı Yönetimi
- Web Oturumu
Daha fazla bilgi için bkz . ASIM şemaları.
Sorgu süresi ayrıştırıcıları
ASIM, KQL işlevlerini kullanarak mevcut verileri normalleştirilmiş şemalarla eşlemek için sorgu süresi ayrıştırıcılarını kullanır. Microsoft Sentinel ile birçok ASIM ayrıştırıcısı kullanıma hazırdır. Daha fazla ayrıştırıcı ve değiştirilebilen yerleşik ayrıştırıcıların sürümleri Microsoft Sentinel GitHub deposundan dağıtılabilir.
Daha fazla bilgi için, bkz. ASIM ayrıştırıcıları.
Alma süresi normalleştirme
Sorgu süresi ayrıştırıcılarının birçok avantajı vardır:
- Verilerin değiştirilmesini gerektirmez, bu nedenle kaynak biçimi korur.
- Verileri değiştirmediklerinden, verilerin bir görünümünü sunduklarından, geliştirmeleri kolaydır. Ayrıştırıcı geliştirme, test etme ve düzeltme işlemleri mevcut veriler üzerinde gerçekleştirilebilir. Ayrıca, ayrıştırıcılar bir sorun bulunduğunda düzeltilebilir ve düzeltme mevcut verilere uygulanır.
Öte yandan ASIM ayrıştırıcıları iyileştirilmiş olsa da, sorgu süresi ayrıştırma, özellikle büyük veri kümelerinde sorguları yavaşlatabilir. Bu sorunu çözmek için Microsoft Sentinel, alma zamanı ayrıştırma ile sorgu süresi ayrıştırma işlemini tamamlar. Alma dönüştürmesi kullanıldığında olaylar normalleştirilmiş tabloya normalleştirilir ve normalleştirilmiş verileri kullanan sorgular hızlandırılır.
ASIM şu anda alma zamanı normalleştirmesi için hedef olarak aşağıdaki yerel normalleştirilmiş tabloları destekler:
- Denetim Olayı şeması için ASimAuditEventLogs.
- Kimlik Doğrulama şeması için ASimAuthenticationEventLogs.
- DNS şeması için ASimDnsActivityLogs.
- Ağ Oturumu şeması için ASimNetworkSessionLogs
- Web Oturumu şeması için ASimWebSessionLogs.
Daha fazla bilgi için bkz . Alma Süresi Normalleştirmesi.
Normalleştirilmiş her şema için içerik
ASIM kullanan içerik çözümler, analiz kuralları, çalışma kitapları, tehdit avcılığı sorguları ve daha fazlasını içerir. Her normalleştirilmiş şemanın içeriği, kaynağa özgü içerik oluşturmaya gerek kalmadan normalleştirilmiş veriler üzerinde çalışır.
Daha fazla bilgi için bkz . ASIM içeriği.
ASIM'i kullanmaya başlama
ASIM kullanmaya başlamak için:
Network Threat Protection Essentials etki alanı çözümü gibi ASIM tabanlı bir etki alanı çözümü dağıtın.
ASIM kullanan analiz kuralı şablonlarını etkinleştirin. Daha fazla bilgi için, bkz. asim içerik listesi.
Microsoft Sentinel Günlükleri sayfasındaki KQL'deki günlükleri sorgularken Microsoft Sentinel GitHub deposundaki ASIM tehdit avcılığı sorgularını kullanın. Daha fazla bilgi için, bkz. asim içerik listesi.
ASIM kullanarak kendi analiz kurallarınızı yazın veya mevcut kuralları dönüştürün.
Özel kaynaklarınız için ayrıştırıcılar yazarak, bunları ilgili kaynak belirsiz ayrıştırıcısına ekleyerek özel verilerinizin yerleşik analiz kullanmasını sağlayın.
İlgili içerik
Bu makalede, Microsoft Sentinel ve ASIM'de normalleştirmeye genel bir bakış sağlanır.
Daha fazla bilgi için bkz.
- ASIM Web seminerini izleyin veya slaytları gözden geçirin
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları
- Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği