Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wesentliche Microsoft-Lösungen sind Domänenlösungen, die von Microsoft für Microsoft Sentinel veröffentlicht wurden. Diese Lösungen verfügen über sofort einsatzbereite Inhalte, die über mehrere Produkte hinweg für bestimmte Kategorien wie Netzwerke verwendet werden können. Einige dieser wichtigen Lösungen verwenden die Normalisierungstechnik Advanced Security Information Model (ASIM), um die Daten zur Abfrage- oder Erfassungszeit zu normalisieren.
Von Bedeutung
Microsoft Essential-Lösungen und die Network Session Essentials-Lösung befinden sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.
Gründe für die Verwendung von ASIM-basierten Microsoft-Lösungen
Wenn mehrere Lösungen in einer Domänenkategorie ähnliche Erkennungsmuster aufweisen, ist es sinnvoll, die Daten unter einem normalisierten Schema wie ASIM zu erfassen. Essential-Lösungen nutzen dieses ASIM-Schema, um Bedrohungen in großem Umfang zu erkennen.
Im Content Hub gibt es mehrere Produktlösungen für verschiedene Domain-Kategorien wie z.B. "Security - Network". Azure Firewall, Palo Alto Firewall und Corelight verfügen beispielsweise über Produktlösungen für die Domänenkategorie "Sicherheit – Netzwerk".
- Diese Lösungen verfügen über unterschiedliche Komponenten für die Datenerfassung. Es gibt jedoch ein bestimmtes Muster für die Analysen, die Suche, Arbeitsmappen und andere Inhalte innerhalb derselben Domänenkategorie.
- Die meisten der großen Netzwerkprodukte verfügen über einen gemeinsamen grundlegenden Satz von Firewall-Warnungen, der bösartige Bedrohungen enthält, die von ungewöhnlichen IP-Adressen ausgehen. Die Vorlage für Analyseregeln wird in der Regel für jede Produktlösungskategorie "Sicherheit - Netzwerk" dupliziert. Wenn Sie mehrere Netzwerkprodukte ausführen, müssen Sie mehrere Analyseregeln einzeln überprüfen und konfigurieren, was ineffizient ist. Sie erhalten auch Warnungen für jede konfigurierte Regel und können zu einer Alarmmüdigkeit führen.
- Wenn Sie über doppelte Suchabfragen verfügen, haben Sie mit dem Allround-Modus der Suche möglicherweise eine weniger leistungsfähige Suche. Diese duplikativen Suchabfragen führen auch zu Ineffizienzen für Bedrohungsjäger bei der Auswahl und Ausführung ähnlicher Abfragen.
Aus den folgenden Gründen können Sie Microsoft-Lösungen als unverzichtbar in Betracht ziehen:
- Ein normalisiertes Schema erleichtert Ihnen das Abfragen von Vorfalldetails. Sie müssen sich keine unterschiedliche Anbietersyntax für ähnliche Protokollattribute merken.
- Wenn Sie Inhalte nicht für mehrere Lösungen verwalten müssen, ist die Bereitstellung von Anwendungsfällen und die Behandlung von Vorfällen einfacher.
- Eine konsolidierte Arbeitsmappenansicht bietet Ihnen eine bessere Sichtbarkeit der Umgebung und eine bessere Analyse der Abfragezeit mit leistungsstarken ASIM-Parsern.
Unterstützte ASIM-Schemata
Die grundlegenden Lösungen erstrecken sich derzeit über die folgenden verschiedenen ASIM-Schemata, die Sentinel unterstützt:
- Audit-Ereignis
- Authentifizierungsereignis
- DNS-Aktivität
- Datei-Aktivität
- Netzwerk-Sitzung
- Ereignis verarbeiten
- Web-Sitzung
Weitere Informationen finden Sie unter ASIM-Schemas (Advanced Security Information Model).
Normalisierung der Erfassungszeit
Die Normalisierungsergebnisse der Erfassungszeit können in die folgende normalisierte Tabelle aufgenommen werden:
- ASimDnsActivityLogs für das DNS-Schema.
- ASimNetworkSessionLogs für das Netzwerksitzungsschema
Weitere Informationen finden Sie unter Normalisierung der Erfassungszeit.
Inhalte, die mit ASIM-basierten Domain-Essential-Lösungen verfügbar sind
In der folgenden Tabelle werden die Arten von Inhalten beschrieben, die mit den einzelnen wichtigen Lösungen verfügbar sind. Für einige bestimmte Anwendungsfälle können Sie auch die Inhalte verwenden, die mit der Microsoft Sentinel-Produktlösung verfügbar sind.
| Inhaltstyp | Beschreibung |
|---|---|
| Analytische Regel | Die Analyseregeln, die in den ASIM-basierten grundlegenden Lösungen verfügbar sind, sind generisch und eignen sich gut für alle abhängigen Microsoft Sentinel-Produktlösungen für diesen Bereich. Für die Microsoft Sentinel-Produktlösung kann ein quellenspezifischer Anwendungsfall im Rahmen der Analyseregel abgedeckt werden. Aktivieren Sie Microsoft Sentinel-Produktlösungsregeln nach Bedarf für Ihre Umgebung. |
| Hunting-Abfrage | Die Suchabfragen, die in den ASIM-basierten grundlegenden Lösungen verfügbar sind, sind generisch und eignen sich gut für die Suche nach Bedrohungen aus einer der abhängigen Microsoft Sentinel-Produktlösungen für diese Domäne. Die Microsoft Sentinel-Produktlösung verfügt möglicherweise über eine quellspezifische Suchabfrage, die standardmäßig verfügbar ist. Verwenden Sie die Suchabfragen aus der Microsoft Sentinel-Produktlösung nach Bedarf für Ihre Umgebung. |
| Playbook | Es wird erwartet, dass die ASIM-basierten Essential-Lösungen Daten mit hohen Ereignissen pro Sekunde verarbeiten können. Wenn Sie über Inhalte verfügen, die dieses Datenvolumen verwenden, kann es zu Leistungseinbußen kommen, die zu einem langsamen Laden von Arbeitsmappen oder Abfrageergebnissen führen können. Um dieses Problem zu lösen, fasst das Zusammenfassungs-Playbook die Quellprotokolle zusammen und speichert die Informationen in einer vordefinierten Tabelle. Aktivieren Sie das Zusammenfassungsplaybook, um die wesentlichen Lösungen für die Abfrage dieser Tabelle zu ermöglichen. Da Playbooks in Microsoft Sentinel auf Workflows basieren, die in Azure Logic Apps erstellt wurden und separate Ressourcen erstellen, können andere Gebühren anfallen. Weitere Informationen finden Sie auf der Seite Azure Logic Apps – Preise. Für die Speicherung der zusammengefassten Daten können auch andere Gebühren anfallen. |
| Merkliste | Die ASIM-basierten Essential-Lösungen verwenden eine Watchlist, die mehrere Sätze von Bedingungen für die Erkennung von Analyseregeln und die Suche nach Abfragen enthält. Mit der Watchlist können Sie die folgenden Aufgaben ausführen: - Führen Sie eine gezielte Überwachung mit Datenfilterung durch. - Wechseln Sie für jedes Listenelement zwischen Suche und Erkennung. - Lassen Sie den Schwellenwerttyp auf Statisch festgelegt, um schwellenwertbasierte Warnungen zu nutzen, während anomaliebasierte Warnungen aus den Daten der letzten Tage (maximal 14 Tage) lernen. - Ändern Sie den Alarmnamen, die Beschreibung, die Taktik und den Schweregrad , indem Sie diese Überwachungsliste für einzelne Listenelemente verwenden. - Deaktivieren Sie die Erkennung, indem Sie den Schweregrad auf Deaktiviert festlegen. |
| Arbeitsmappe | Die Arbeitsmappe, die mit den ASIM-basierten grundlegenden Lösungen verfügbar ist, bietet eine konsolidierte Ansicht der verschiedenen Ereignisse und Aktivitäten, die in der abhängigen Domäne stattfinden. Da diese Arbeitsmappe Ergebnisse aus einem sehr großen Datenvolumen abruft, kann es zu Leistungsverzögerungen kommen. Wenn Leistungsprobleme auftreten, verwenden Sie das Zusammenfassungs-Playbook. |
Diese wichtigen Lösungen verfügen wie andere Microsoft Sentinel-Domänenlösungen nicht über einen eigenen Connector. Sie sind auf die quellspezifischen Connectors in Microsoft Sentinel-Produktlösungen angewiesen, um die Protokolle abzurufen. Informationen zu den Produkten, die von der Domänenlösung unterstützt werden, finden Sie in der Liste der erforderlichen Produktlösungen, die in den ASIM-Domänenlösungen aufgeführt sind. Installieren Sie eine oder mehrere der Produktlösungen. Konfigurieren Sie die Datenconnectors so, dass sie die zugrunde liegenden Anforderungen an die Produktabhängigkeit erfüllen und eine bessere Nutzung dieser Domänenlösungsinhalte ermöglichen.
Verwandte Artikel
- Suchen Sie nach ASIM-basierten domänenbasierten Lösungen für wichtige Lösungen, z. B. Network Session Essentials und DNS Essentials Solution für Microsoft Sentinel.
- Verwenden des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)