Compartir a través de

Soluciones de dominio basadas en el modelo de información de seguridad avanzada (ASIM) para Microsoft Sentinel (versión preliminar)

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Las soluciones esenciales de Microsoft son soluciones de dominio publicadas por Microsoft para Microsoft Sentinel. Estas soluciones tienen contenido predefinido que puede funcionar en varios productos para categorías específicas, como las redes. Algunas de estas soluciones esenciales usan la técnica de normalización Advanced Security Information Model (ASIM) para normalizar los datos en tiempo de consulta o tiempo de ingesta.

Importante

Las soluciones esenciales de Microsoft y la solución Network Session Essentials se encuentran actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

¿Por qué usar soluciones esenciales de Microsoft basadas en ASIM?

Cuando varias soluciones de una categoría de dominio comparten patrones de detección similares, tiene sentido que los datos se capturen bajo un esquema normalizado como ASIM. Las soluciones esenciales usan este esquema de ASIM para detectar amenazas a escala.

En el centro de contenido, hay varias soluciones de producto para diferentes categorías de dominio, como "Seguridad - Red". Por ejemplo, Azure Firewall, Palo Alto Firewall y Corelight tienen soluciones de producto para la categoría de dominio "Seguridad- red".

  • Estas soluciones tienen componentes de ingesta de datos diferentes por diseño. Pero hay un patrón determinado para el análisis, la búsqueda, los libros y otro contenido dentro de la misma categoría de dominio.
  • La mayoría de los principales productos de red tienen un conjunto básico común de alertas de firewall que incluye amenazas malintencionadas procedentes de direcciones IP inusuales. La plantilla de regla analítica está duplicada, en general, para cada una de las categorías "Seguridad - Red" de soluciones de producto. Si ejecuta varios productos de red, debe comprobar y configurar varias reglas analíticas individualmente, lo que es ineficaz. También obtendría alertas para cada regla configurada y podría acabar con fatiga de alertas.
  • Si tiene consultas de búsqueda redundantes, es posible que tenga experiencias de búsqueda menos eficaces con el modo de búsqueda de ejecución completa. Estas consultas de búsqueda duplicativas también presentan ineficacias para que los cazadores de amenazas seleccionen y ejecuten consultas similares.

Puede considerar las soluciones esenciales de Microsoft por los siguientes motivos:

  • Un esquema normalizado facilita la consulta de los detalles del incidente. No es necesario recordar una sintaxis de proveedor diferente para atributos de registro similares.
  • Si no tiene que administrar contenido para varias soluciones, la implementación de casos de uso y el control de incidentes es más fácil.
  • Una vista consolidada de cuaderno de trabajo proporciona una mejor visibilidad del entorno y la posibilidad de análisis temporal de las consultas con analizadores ASIM de alto rendimiento.

Esquemas de ASIM admitidos

Las soluciones esenciales se distribuyen actualmente en los siguientes esquemas ASIM diferentes compatibles con Sentinel:

  • Evento de auditoría
  • Evento de autenticación
  • Actividad DNS
  • Actividad de archivo
  • Sesión de red
  • Evento de proceso
  • Sesión web

Para obtener más información, consulte Esquemas del modelo de información de seguridad avanzada (ASIM).

Normalización del tiempo de ingesta

Los resultados de la normalización del tiempo de ingesta se pueden incluir en la siguiente tabla normalizada.

Para obtener más información, consulte Normalización del tiempo de ingestión.

Contenido disponible con soluciones esenciales de dominio basadas en ASIM

En la tabla siguiente se describe el tipo de contenido disponible con cada solución esencial. Para algunos casos de uso específicos, es posible que también desee usar el contenido disponible con la solución de producto microsoft Sentinel.

Tipo de contenido descripción
Regla analítica Las reglas analíticas disponibles en las soluciones esenciales basadas en ASIM son genéricas y son una buena opción para cualquiera de las soluciones de producto dependientes de Microsoft Sentinel para ese dominio. La solución de producto de Microsoft Sentinel podría tener casos de uso específico de una fuente abarcados como parte de la regla analítica. Habilite las reglas de solución de productos de Microsoft Sentinel según sea necesario para su entorno.
Consultas de búsqueda Las consultas de búsqueda disponibles en las soluciones esenciales basadas en ASIM son genéricas y una buena opción para buscar amenazas de cualquiera de las soluciones de producto de Microsoft Sentinel dependientes para ese dominio. La solución de productos de Microsoft Sentinel podría tener disponible una consulta de búsqueda específica de origen lista para usar. Use las consultas de búsqueda de la solución de producto de Microsoft Sentinel según sea necesario para su entorno.
Guía Se espera que las soluciones esenciales basadas en ASIM manejen datos con un elevado número de eventos por segundo. Cuando tiene contenido que usa dicho volumen de datos, puede experimentar algún impacto en el rendimiento que puede provocar una carga lenta de libros de trabajo o resultados de consulta. Para solucionar este problema, el cuaderno de estrategias de resumen resume los registros de origen y almacena la información en una tabla predefinida. Habilite el cuaderno de estrategias de resumen para permitir que las soluciones esenciales consulten esta tabla.

Dado que las guías de Microsoft Sentinel se basan en flujos de trabajo creados en Azure Logic Apps que generan recursos independientes, pueden aplicarse otros cargos. Para más información, consulte la página de precios de Azure Logic Apps. Otros cargos también se pueden aplicar para el almacenamiento de los datos resumidos.
Lista de seguimiento Las soluciones esenciales basadas en ASIM usan una lista de seguimiento que incluye varios conjuntos de condiciones para la detección de reglas analíticas y las consultas de búsqueda. La lista de seguimiento le permite realizar las siguientes tareas:

- Supervisión centrada con filtración de datos.
- Cambiar entre la búsqueda y la detección de cada elemento de lista.
- Mantenga el tipo de umbral establecido en Estático para aprovechar las alertas basadas en umbral mientras que las alertas basadas en anomalías aprenderían de los últimos días de datos (máximo 14 días).
- Modifique el nombre de alerta, la descripción, la táctica y la gravedad mediante esta lista de seguimiento para elementos individuales de la lista.
- Deshabilitar la detección estableciendo la Gravedad como Deshabilitada.
Cuaderno de ejercicios El libro disponible con las soluciones esenciales basadas en ASIM ofrece una vista consolidada de diferentes eventos y actividades que se producen en el dominio dependiente. Dado que este libro captura los resultados de un volumen muy alto de datos, es posible que haya algún retraso en el rendimiento. Si experimentase problemas de rendimiento, use el cuaderno de estrategias de resumen.

Estas soluciones esenciales, como otras soluciones de dominio de Microsoft Sentinel, no tienen un conector propio. Dependen de los conectores específicos de origen en las soluciones de producto de Microsoft Sentinel para extraer los registros. Para comprender los productos que admite la solución de dominio, consulte la lista de requisitos previos de las soluciones de producto cada una de las listas de soluciones esenciales del dominio de ASIM. Instale una o varias de las soluciones del producto. Configure los conectores de datos para satisfacer las necesidades de dependencia del producto subyacentes y para permitir un mejor uso del contenido de esta solución de dominio.

  • Last updated on