Grundlegendes zur Datennormalisierung
Microsoft Sentinel erfasst Daten aus zahlreichen Quellen. Die gemeinsame Verwendung verschiedener Datentypen und -tabellen macht es notwendig, dass Sie mit den einzelnen Typen und Tabellen vertraut sind und eindeutige Datensätze für Analyseregeln, Arbeitsmappen und Huntingаbfragen für jeden Typ und jedes Schema schreiben und verwenden.
Manchmal benötigen Sie separate Regeln, Arbeitsmappen und Abfragen, selbst bei in den Datentypen gemeinsam verwendeten Elementen, z. B. Firewallgeräten. Das Korrelieren zwischen verschiedenen Datentypen während der Untersuchung und der Suche nach Cyberbedrohungen kann auch eine Herausforderung darstellen.
Das Advanced Security Information Model (ASIM) ist eine Ebene, die sich zwischen diesen verschiedenen Quellen und der benutzenden Person befindet. ASIM folgt dem Robustitätsprinzip: "Seien Sie streng in dem, was Sie senden, flexibel in dem, was Sie akzeptieren". Wenn das Robustheitsprinzip als Entwurfsmuster verwendet wird, transformiert ASIM die inkonsistente und schwer zu verwendende Quelltelemetrie von Microsoft Sentinel in benutzerfreundliche Daten.
Allgemeine ASIM-Verwendung
Das Advanced SIEM Information Model (ASIM) ermöglicht eine nahtlose Handhabung verschiedener Quellen in einheitlichen, normalisierten Ansichten, indem es die folgenden Funktionen bereitstellt:
Quellübergreifende Erkennung. Normalisierte Analyseregeln funktionieren quellenübergreifend, lokal und in der Cloud und erkennen Angriffe wie Brute-Force-Angriffe oder unmögliche Ortswechsel auf verschiedenen Systemen, einschließlich Okta, AWS und Azure.
Quellagnostischer Inhalt. Die Abdeckung sowohl vorgefertigter als auch benutzerdefinierter Inhalte mithilfe von ASIM wird automatisch auf alle Quellen erweitert, die ASIM unterstützen. Dies gilt selbst dann, wenn die Quelle erst nach dem Erstellen des Inhalts hinzugefügt wurde. Die Prozessereignisanalyse unterstützt beispielsweise alle Quellen, die die Kundschaft zum Importieren der Daten verwenden kann, z. B. Microsoft Defender for Endpoint, Windows-Ereignisse und Sysmon.
Unterstützung für Ihre benutzerdefinierten Quellen in integrierten Analysen
Benutzerfreundlichkeit. Nachdem ein Analyst ASIM gelernt hat, ist das Schreiben von Abfragen einfacher, da die Feldnamen immer gleich sind.
ASIM und die Metadaten von Open-Source-Sicherheitsereignissen
ASIM stimmt mit dem einheitlichen Informationsmodell für Open Source-Sicherheitsereignisse (OSSEM) überein, wodurch vorhersehbare Entitätenkorrelationen in normalisierten Tabellen möglich sind.
OSSEM ist ein von der Community betriebenes Projekt, das hauptsächlich auf die Dokumentation und Standardisierung von Sicherheitsereignisprotokollen aus unterschiedlichen Datenquellen und Betriebssystemen ausgerichtet ist. Außerdem stellt das Projekt ein Common Information Model (CIM) bereit, das während der Datennormalisierungsprozeduren von Datentechnikern verwendet werden kann, damit Sicherheitsanalytiker Daten über verschiedene Datenquellen hinweg abfragen und analysieren können.
ASIM-Komponenten
Die folgende Abbildung zeigt, wie nicht normalisierte Daten in normalisierte Inhalte übersetzt und in Microsoft Sentinel verwendet werden können. Beispielsweise können Sie eine benutzerdefinierte, produktspezifische, nicht normalisierte Tabelle mithilfe eines Parsers und eines Normalisierungsschemas in normalisierte Daten konvertieren. Die normalisierten Daten können Sie in von Microsoft definierten sowie in benutzerdefinierten Analysen, Regeln, Arbeitsmappen, Abfragen usw. verwenden.
ASIM umfasst die folgenden Komponenten:
| Komponente | BESCHREIBUNG |
|---|---|
| Normalisierte Schemas | Decken Sie Standardsätze vorhersagbarer Ereignistypen ab, die Sie beim Erstellen einheitlicher Funktionen verwenden können. Jedes Schema definiert die Felder, die ein Ereignis, eine Namenskonvention für normalisierte Spalten und ein Standardformat für die Feldwerte darstellen. |
| Parser | Ordnen Sie vorhandene Daten den normalisierten Schemas mithilfe von KQL-Funktionen zu. Viele ASIM-Parser sind mit Microsoft Sentinel einsatzbereit. Weitere Parser und Versionen der integrierten Parser, die geändert werden können, können aus dem GitHub-Repository von Microsoft Sentinel bereitgestellt werden. |
| Inhalt für jedes normalisierte Schema | Umfasst Analyseregeln, Arbeitsmappen, Jagdabfragen und vieles mehr. Der Inhalt für jedes normalisierte Schema funktioniert für alle normalisierten Daten, ohne dass quellspezifische Inhalte erstellt werden müssen. |
ASIM-Terminologie
ASIM verwendet die folgenden Begriffe:
| Begriff | BESCHREIBUNG |
|---|---|
| Berichterstellungsgerät | Das System, das die Datensätze an Microsoft Sentinel sendet. Dieses System ist möglicherweise nicht das Zielsystem für die zu sendende Aufzeichnung. |
| Datensatz | Eine Dateneinheit, die vom meldenden Gerät gesendet wird. Ein Datensatz wird häufig als Protokoll, Ereignis oder Warnung bezeichnet, kann aber auch andere Datentypen sein. |
| Inhalt oder Inhaltselement | Die verschiedenen, anpassbaren oder vom Benutzer erstellten Artefakte, die mit Microsoft Sentinel verwendet werden können. Zu diesen Artefakten gehören beispielsweise Analytics-Regeln, Hunting-Abfragen und Arbeitsmappen. Ein Inhaltselement ist ein solches Artefakt. |
ASIM-Parser anzeigen
So zeigen Sie ASIM-Funktionen in Ihrer Microsoft Sentinel-Umgebung an.
- Navigieren Sie im Azure-Portal zu Ihrem Microsoft Sentinel-Arbeitsbereich
- Wählen Sie „Protokolle“ aus der linken Navigation aus.
- Erweitern Sie den Schema- und Filterbereich auf der linken Seite (bei Bedarf verwenden Sie die Dreipunkte, um alle Werkzeuge anzuzeigen)
- Funktionen auswählen
- Microsoft Sentinel erweitern
Sie werden Funktionen sehen, die mit ASim und Im beginnen.