Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel получает данные из многих источников. Совместная работа с различными типами данных и таблицами требует понимания каждого из них, а также записи и использования уникальных наборов данных для правил аналитики, книг и запросов охоты для каждого типа или схемы.
Иногда требуются отдельные правила, книги и запросы, даже если типы данных используют общие элементы, такие как устройства брандмауэра. Корреляция между различными типами данных во время исследования и охоты также может быть сложной задачей.
Расширенная информационная модель безопасности (ASIM) — это слой, расположенный между этими различными источниками и пользователем. ASIM следует принципу надежности: "Будьте строги в том, что вы отправляете, будьте гибкими в том, что вы принимаете". Используя принцип надежности в качестве шаблона проектирования, ASIM преобразует собственные исходные данные телеметрии, собранные Microsoft Sentinel, в удобные для пользователя данные, чтобы упростить обмен и интеграцию.
В этой статье представлен обзор расширенной информационной модели безопасности (ASIM), ее вариантов использования и основных компонентов.
Совет
Также просмотрите вебинар ASIM или просмотрите слайды вебинара.
Распространенное использование ASIM
ASIM обеспечивает простой интерфейс для обработки различных источников в однородных нормализованных представлениях, предоставляя следующие функциональные возможности:
Обнаружение перекрестных источников. Нормализованные правила аналитики работают с различными источниками данных, в локальных и облачных средах, и обнаруживают такие атаки, как атаки методом перебора или невозможные перемещения в разных системах, включая Okta, AWS и Azure.
Независимое от источника содержимое. Охват встроенного и настраиваемого содержимого с помощью ASIM автоматически расширяется на любой источник, поддерживающий ASIM, даже если источник был добавлен после создания содержимого. Например, аналитика событий процессов поддерживает любой источник, который клиент может использовать для переноса данных, например Microsoft Defender для конечной точки, события Windows и sysmon.
Поддержка пользовательских источников во встроенной аналитике
Удобство использования. После того как аналитик узнает ASIM, написание запросов гораздо проще, так как имена полей всегда одинаковы.
ASIM и метаданные событий безопасности с открытым кодом
ASIM соответствует общей информационной модели событий безопасности с открытым кодом (OSSEM), что обеспечивает прогнозируемую корреляцию сущностей между нормализованными таблицами.
OSSEM — это проект под руководством сообщества, который в основном ориентирован на документацию и стандартизацию журналов событий безопасности из различных источников данных и операционных систем. Проект также предоставляет общую информационную модель (CIM), которую можно использовать для инженеров данных во время процедур нормализации данных, чтобы аналитики безопасности могли запрашивать и анализировать данные в различных источниках данных.
Дополнительные сведения см. в справочной документации по OSSEM.
Компоненты ASIM
На следующем рисунке показано, как не нормализованные данные можно преобразовать в нормализованное содержимое и использовать в Microsoft Sentinel. Например, можно начать с пользовательской, конкретной для продукта, ненормализованной таблицы и использовать синтаксический анализатор и схему нормализации для преобразования этой таблицы в нормализованные данные. Используйте нормализованные данные как в аналитических средствах Microsoft, так и в пользовательской аналитике, правилах, рабочих книгах, запросах и т. д.
ASIM включает следующие компоненты:
Нормализованные схемы
Нормализованные схемы охватывают стандартные наборы прогнозируемых типов событий, которые можно использовать при создании унифицированных возможностей. Каждая схема определяет поля, представляющие событие, нормализованное соглашение об именовании столбцов и стандартный формат значений полей.
В настоящее время ASIM определяет следующие схемы:
- Событие оповещения
- Событие аудита
- Событие проверки подлинности
- Действие DHCP
- Действия DNS
- Активность файла
- Сетевой сеанс
- Событие процесса
- Событие реестра
- Управление пользователями
- Веб-сеанс
Дополнительные сведения см. в разделе Схемы ASIM.
Парсеры времени в запросах
ASIM использует средства синтаксического анализа запросов для сопоставления существующих данных с нормализованными схемами с помощью функций KQL. Многие средства синтаксического анализа ASIM доступны в готовых версиях с Microsoft Sentinel. Дополнительные средства синтаксического анализа и версии встроенных средств синтаксического анализа, которые можно изменить, можно развернуть из репозитория Microsoft Sentinel GitHub.
Дополнительные сведения см. в разделе Средства синтаксического анализа ASIM.
Нормализация времени приема
Средства синтаксического анализа времени запросов имеют множество преимуществ:
- Они не требуют изменения данных, что позволяет сохранить исходный формат.
- Так как они не изменяют данные, а представляют собой представление данных, их легко разрабатывать. Разработка, тестирование и исправление средства синтаксического анализа можно выполнять с существующими данными. Кроме того, средства синтаксического анализа можно исправить при обнаружении проблемы, а исправление будет применяться к существующим данным.
С другой стороны, хотя средства синтаксического анализа ASIM оптимизированы, синтаксический анализ во время запросов может замедлить выполнение запросов, особенно в больших наборах данных. Чтобы решить эту проблему, Microsoft Sentinel дополняет разбор при выполнении запроса разбором при приеме данных. При преобразовании на этапе приема данных события нормализуются для записи в нормализованную таблицу, что ускоряет выполнение запросов, использующих нормализованные данные.
В настоящее время ASIM поддерживает следующие собственные таблицы с нормализованными данными в качестве целевых для нормализации на этапе приема данных:
- ASimAuditEventLogs для схемы события аудита .
- ASimAuthenticationEventLogs для схемы проверки подлинности .
- ASimDhcpEventLogs для схемы DHCP Event.
- ASimDnsActivityLogs для схемы DNS .
- ASimFileEventLogs для схемы событий файлов.
- ASimNetworkSessionLogs для схемы сетевого сеанса .
- ASimProcessEventLogs для схемы события процесса .
- ASimRegistryEventLogs для схемы «Событие реестра».
- ASimUserManagementActivityLogs для схемы управления пользователями .
- ASimWebSessionLogs для схемы «Веб-сеанс».
Дополнительные сведения см. в разделе Нормализация времени приема.
Содержимое для каждой нормализованной схемы
Содержимое, использующее ASIM, включает решения, правила аналитики, книги, запросы охоты и многое другое. Содержимое для каждой нормализованной схемы работает с любыми нормализованными данными без необходимости создавать содержимое для конкретного источника.
Дополнительные сведения см. в разделе Содержимое ASIM.
Начало работы с ASIM
Чтобы приступить к использованию ASIM, выполните приведенные далее действия.
Разверните доменное решение на основе ASIM, например решение домена Network Threat Protection Essentials .
Активируйте шаблоны правил аналитики, использующие ASIM. Дополнительные сведения см. в списке содержимого ASIM.
Используйте поисковые запросы ASIM из репозитория GitHub Microsoft Sentinel при выполнении KQL-запросов к журналам на странице Microsoft Sentinel Журналы. Дополнительные сведения см. в списке содержимого ASIM.
Создайте собственные правила аналитики с помощью ASIM или преобразуйте существующие.
Обеспечьте использование встроенной аналитики для ваших пользовательских данных, написав парсеры для ваших собственных источников и добавив их в соответствующий парсер, не зависящий от источника.