Normalisasi dan Model Informasi Keamanan Tingkat Lanjut (ASIM)

Microsoft Sentinel menyerap data dari berbagai sumber. Bekerja dengan berbagai jenis data dan tabel mengharuskan Anda memahami masing-masing serta menulis dan menggunakan kumpulan data yang berbeda untuk aturan analitik, buku kerja, dan kueri perburuan bagi setiap jenis atau skema.

Terkadang, Anda memerlukan aturan, buku kerja, dan kueri terpisah, bahkan ketika tipe data berbagi elemen umum, seperti perangkat firewall. Menghubungkan antara berbagai jenis data selama penyelidikan dan perburuan juga bisa menjadi tantangan.

Model Informasi Keamanan Tingkat Lanjut (ASIM) adalah lapisan yang terletak di antara sumber-sumber yang beragam dan pengguna. ASIM mengikuti prinsipal ketahanan: "Ketatlah terkait apa yang Anda kirim, tetapi fleksibel terkait apa yang Anda terima". Menggunakan prinsip ketahanan sebagai pola desain, ASIM mengubah telemetri sumber kepemilikan yang dikumpulkan oleh Microsoft Sentinel ke data ramah pengguna untuk memfasilitasi pertukaran dan integrasi.

Artikel ini memberikan gambaran umum tentang Model Informasi Keamanan Tingkat Lanjut (ASIM), kasus penggunaannya, dan komponen utama.

Tip

Tonton juga Webinar ASIM atau tinjau slide webinar.

Penggunaan ASIM umum

ASIM memberikan pengalaman tanpa batas untuk menangani berbagai sumber dalam tampilan yang seragam dan dinormalisasi, dengan menyediakan fungsi berikut:

  • Deteksi lintas sumber. Aturan analitik yang dinormalisasi berfungsi di berbagai sumber, on-premises dan cloud, serta mendeteksi serangan seperti brute force atau perjalanan tidak wajar di seluruh sistem, termasuk Okta, AWS, dan Azure.

  • Konten yang agnostik terhadap sumber. Cakupan konten bawaan dan kustom menggunakan ASIM secara otomatis meluas ke sumber apa pun yang mendukung ASIM, bahkan jika sumber ditambahkan setelah konten dibuat. Misalnya, analitik peristiwa proses mendukung sumber apa pun yang digunakan pelanggan untuk memasukkan data, seperti Microsoft Defender untuk Titik Akhir, Peristiwa Windows, dan Sysmon.

  • Dukungan untuk sumber kustom Anda, dalam analitik bawaan

  • Kemudahan penggunaan. Setelah seorang analis belajar ASIM, menulis pertanyaan jauh lebih sederhana karena nama bidang selalu sama.

ASIM dan Metadata Peristiwa Keamanan Sumber Terbuka

ASIM selaras dengan model informasi umum Metadata Peristiwa Keamanan Sumber Terbuka (OSSEM), yang memungkinkan korelasi entitas yang dapat diprediksi di seluruh tabel yang dinormalkan.

OSSEM adalah proyek besutan komunitas yang utamanya berfokus pada dokumentasi dan standardisasi log peristiwa keamanan dari sumber data dan sistem operasi yang beragam. Proyek tersebut juga menyediakan Model Informasi Umum (CIM) yang dapat digunakan untuk rekayasa data selama prosedur normalisasi data untuk memungkinkan analis keamanan mengkueri dan menganalisis data di berbagai sumber data.

Untuk mengetahui informasi selengkapnya, lihat Dokumentasi referensi OSSEM.

Komponen ASIM

Gambar berikut menunjukkan bagaimana data yang tidak dinormalisasi dapat diterjemahkan ke dalam konten yang dinormalisasi dan digunakan di Microsoft Azure Sentinel. Misalnya, Anda dapat mulai dengan tabel kustom, spesifik produk, yang tidak dinormalisasi, dan menggunakan pengurai dan skema normalisasi untuk mengonversi tabel tersebut ke data yang dinormalisasi. Gunakan data yang telah dinormalisasi dalam analitik Microsoft maupun kustom, aturan, buku kerja, kueri, dan lainnya.

Diagram memperlihatkan alur dan penggunaan konversi data yang tidak dinormalisasi ke yang dinormalisasi di Microsoft Azure Sentinel.

ASIM mencakup komponen berikut:

Skema dinormalisasi

Skema yang dinormalisasi mencakup set standar jenis peristiwa yang dapat diprediksi yang dapat Anda gunakan saat membangun kemampuan terpadu. Setiap skema mendefinisikan bidang yang mewakili suatu peristiwa, konvensi penamaan kolom yang dinormalisasi, dan format standar untuk nilai bidang.

ASIM saat ini mendefinisikan skema berikut:

Untuk informasi selengkapnya, lihat Skema ASIM.

Pengurai waktu kueri

ASIM menggunakan pengurai waktu kueri untuk memetakan data yang ada ke skema yang dinormalisasi menggunakan fungsi KQL. Banyak parser ASIM tersedia secara bawaan di Microsoft Sentinel. Lebih banyak pengurai dan versi pengurai bawaan yang dapat dimodifikasi dapat disebarkan dari repositori GitHub Microsoft Sentinel.

Untuk informasi selengkapnya, lihat pengurai ASIM.

Normalisasi waktu penyerapan

Pengurai waktu kueri memiliki banyak keuntungan:

  • Mereka tidak mengharuskan data dimodifikasi, sehingga mempertahankan format sumber.
  • Karena mereka tidak memodifikasi data, melainkan menyajikan tampilan data, data tersebut mudah dikembangkan. Mengembangkan, menguji, dan memperbaiki pengurai semuanya dapat dilakukan pada data yang ada. Selain itu, pengurai dapat diperbaiki ketika masalah ditemukan dan perbaikan akan berlaku untuk data yang ada.

Di sisi lain, meskipun parser ASIM telah dioptimalkan, penguraian saat kueri dijalankan dapat memperlambat kueri, terutama pada set data besar. Untuk mengatasinya, Microsoft Sentinel melengkapi penguraian waktu kueri dengan penguraian waktu penyerapan. Melalui transformasi ingesti, event dinormalisasi ke tabel ternormalisasi, sehingga mempercepat kueri yang menggunakan data ternormalisasi.

Saat ini, ASIM mendukung tabel dinormalisasi berikut sebagai tujuan untuk normalisasi waktu pemasukan:

Untuk informasi selengkapnya, lihat Normalisasi Waktu Ingest.

Konten untuk setiap skema yang dinormalisasi

Konten yang menggunakan ASIM mencakup solusi, aturan analitik, buku kerja, kueri perburuan, dan lain-lain. Konten untuk setiap skema yang dinormalisasi bekerja pada data apa pun yang dinormalisasi tanpa perlu membuat konten khusus sumber.

Untuk informasi selengkapnya, lihat konten ASIM.

Mulai menggunakan ASIM

Untuk mulai menggunakan ASIM:

  • Terapkan solusi domain berbasis ASIM seperti solusi domain Network Threat Protection Essentials.

  • Aktifkan templat aturan analitik yang menggunakan ASIM. Untuk informasi selengkapnya, lihat daftar konten ASIM.

  • Gunakan kueri perburuan ASIM dari repositori GitHub Microsoft Sentinel saat membuat kueri log dengan KQL di halaman Logs Microsoft Sentinel. Untuk informasi selengkapnya, lihat daftar konten ASIM.

  • Tulis aturan analitik Anda sendiri menggunakan ASIM atau konversi yang sudah ada.

  • Aktifkan data kustom Anda untuk menggunakan analitik bawaan dengan menulis pengurai untuk sumber kustom Anda dan menambahkannya ke parser agnostik sumber yang relevan.