Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podstawowe rozwiązania firmy Microsoft to rozwiązania domen opublikowane przez firmę Microsoft dla usługi Microsoft Sentinel. Te rozwiązania zawierają wbudowaną zawartość, która może działać w wielu produktach dla określonych kategorii, takich jak sieć. Niektóre z tych podstawowych rozwiązań używają techniki normalizacji Advanced Security Information Model (ASIM), aby znormalizować dane w czasie zapytania lub czasie pozyskiwania.
Ważne
Podstawowe rozwiązania firmy Microsoft i rozwiązanie Network Session Essentials są obecnie dostępne w wersji ZAPOZNAWCZEJ. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Dlaczego warto używać podstawowych rozwiązań firmy Microsoft opartych na usłudze ASIM?
Jeśli wiele rozwiązań w kategorii domeny współużytkuje podobne wzorce wykrywania, warto przechwycić dane w znormalizowanym schemacie, takim jak ASIM. Podstawowe rozwiązania wykorzystują ten schemat ASIM do wykrywania zagrożeń na dużą skalę.
W centrum zawartości istnieje wiele rozwiązań produktów dla różnych kategorii domen, takich jak "Zabezpieczenia — sieć". Na przykład usługi Azure Firewall, Palo Alto Firewall i Corelight mają rozwiązania produktów dla kategorii domeny "Zabezpieczenia — sieć".
- Te rozwiązania mają różne elementy pozyskiwania danych w zależności od projektu. Istnieje jednak pewien wzorzec analityki, śledzenia, skoroszytów i innej zawartości w tej samej kategorii domeny.
- Większość głównych produktów sieciowych ma wspólny podstawowy zestaw alertów zapory ogniowej, obejmujący złośliwe zagrożenia z nietypowych adresów IP. Szablon reguły analitycznej jest ogólnie zduplikowany dla każdej kategorii "Zabezpieczenia — sieć" rozwiązań produktów. Jeśli korzystasz z wielu produktów sieciowych, musisz sprawdzić i skonfigurować pojedynczo wiele reguł analitycznych, co jest nieefektywne. Otrzymasz również alerty dla każdej skonfigurowanej reguły, a mogą wystąpić objawy zmęczenia spowodowane nadmiarem alertów.
- Jeśli masz duplikacyjne zapytania wyszukiwania zagrożeń, możesz mieć mniej wydajne środowiska wyszukiwania zagrożeń z trybem uruchamiania całego wyszukiwania. Te duplikacyjne zapytania wyszukiwania zagrożeń również powodują nieefektywność w pracy łowców zagrożeń przy wybieraniu i uruchamianiu podobnych zapytań.
Możesz rozważyć podstawowe rozwiązania firmy Microsoft z następujących powodów:
- Znormalizowany schemat ułatwia wykonywanie zapytań dotyczących szczegółów zdarzenia. Nie musisz pamiętać innej składni dostawcy dla podobnych atrybutów dziennika.
- Jeśli nie musisz zarządzać zawartością dla wielu rozwiązań, wdrażanie przypadków użycia i obsługa zdarzeń jest łatwiejsze.
- Połączony widok skoroszytu zapewnia lepszą widoczność środowiska i możliwość analizowania czasu zapytań przy użyciu analizatorów ASIM o wysokiej wydajności.
Obsługiwane schematy ASIM
Podstawowe rozwiązania są obecnie dostępne w następujących różnych schematach karty ASIM, które obsługuje usługa Sentinel:
- Zdarzenie inspekcji
- Zdarzenie uwierzytelniania
- Działanie DNS
- Aktywność pliku
- Sesja sieciowa
- Zdarzenie procesu
- Sesja sieci Web
Aby uzyskać więcej informacji, zobacz Zaawansowane schematy modelu informacji o zabezpieczeniach (ASIM).
Normalizacja czasu pozyskiwania
Wyniki normalizacji czasu pozyskiwania można wprowadzić do następującej znormalizowanej tabeli.
- ASimDnsActivityLogs dla schematu DNS.
- ASimNetworkSessionLogs dla schematu sesji sieciowej
Aby uzyskać więcej informacji, zapoznaj się z Normalizacja czasu pozyskiwania.
Zawartość dostępna z kluczowymi rozwiązaniami domeny opartymi na technologii ASIM
W poniższej tabeli opisano typ zawartości dostępnej dla każdego podstawowego rozwiązania. W przypadku niektórych konkretnych przypadków użycia warto również użyć zawartości dostępnej w rozwiązaniu produktu Microsoft Sentinel.
| Typ zawartości | opis |
|---|---|
| Reguła analityczna | Reguły analityczne dostępne w podstawowych rozwiązaniach opartych na ASIM są ogólne i nadają się do dowolnego z zależnych rozwiązań produktów Microsoft Sentinel dla tej domeny. Rozwiązanie Microsoft Sentinel może zawierać przypadek użycia specyficzny dla źródła w ramach reguły analitycznej. Włącz reguły rozwiązania produktu Microsoft Sentinel zgodnie z potrzebami środowiska. |
| Zapytanie dotyczące polowania na zagrożenia | Zapytania łowieckie dostępne w podstawowych rozwiązaniach opartych na ASIM są ogólne i odpowiednie do wykrywania zagrożeń w dowolnych zależnych rozwiązaniach produktowych Microsoft Sentinel dla tej domeny. Rozwiązanie produktu Microsoft Sentinel może mieć dostępne gotowe zapytanie dotyczące wyszukiwania zagrożeń dla określonego źródła. Użyj zapytań do wykrywania zagrożeń z rozwiązania systemu Microsoft Sentinel zgodnie z potrzebami Twojego środowiska. |
| Podręcznik | Podstawowe rozwiązania oparte na ASIM powinny obsługiwać dane z dużą liczbą zdarzeń na sekundę. Jeśli masz zawartość korzystającą z tej ilości danych, może wystąpić pewien wpływ na wydajność, który może spowodować powolne ładowanie skoroszytów lub wyników zapytań. Aby rozwiązać ten problem, podręcznik podsumowania podsumowuje dzienniki źródłowe i przechowuje informacje w wstępnie zdefiniowanej tabeli. Włącz podręcznik podsumowania, aby umożliwić niezbędnym rozwiązaniom wykonywanie zapytań dotyczących tej tabeli. Ponieważ podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, które tworzą oddzielne zasoby, mogą być naliczane inne opłaty. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Azure Logic Apps. Inne opłaty mogą również dotyczyć przechowywania podsumowanych danych. |
| Lista do obejrzenia | Podstawowe rozwiązania oparte na ASIM korzystają z listy obserwacyjnej zawierającej wiele zestawów warunków do wykrywania reguł analitycznych i zapytań do poszukiwania. Lista obserwacyjna umożliwia wykonywanie następujących zadań: - Wykonaj ukierunkowane monitorowanie przy użyciu filtrowania danych. - Przełączanie między polowaniem a wykrywaniem dla każdego elementu listy. — Zachowaj Typ progu ustawiony na Statyczny, aby korzystać z alertów opartych na progach, podczas gdy alerty oparte na anomaliach będą uczyć się z ostatnich kilku dni danych (maksymalnie 14 dni). — Zmodyfikuj nazwę alertu, opis, taktykę i ważność , używając tej listy kontrolnej dla poszczególnych elementów listy. — Wyłącz wykrywanie, ustawiając Stopień zagrożenia jako Wyłączone. |
| Zeszyt ćwiczeń | Skoroszyt dostępny z niezbędnymi rozwiązaniami opartymi na ASIM zapewnia skonsolidowany obraz różnych zdarzeń i działań występujących w domenie zależnej. Ponieważ ten skoroszyt pobiera wyniki z bardzo dużej ilości danych, może wystąpić pewne opóźnienie wydajności. Jeśli wystąpią problemy z wydajnością, użyj podręcznika podsumowania. |
Te podstawowe rozwiązania, takie jak inne rozwiązania domeny usługi Microsoft Sentinel, nie mają własnego łącznika. Zależą one od łączników specyficznych dla źródła w rozwiązaniach produktów Microsoft Sentinel w celu ściągnięcia dzienników. Aby zrozumieć produkty obsługiwane przez rozwiązanie domeny, zapoznaj się z listą rozwiązań produktów wstępnych, które wymienia każda z podstawowych list rozwiązań domeny ASIM. Zainstaluj jedno lub więcej rozwiązań produktowych. Skonfiguruj łączniki danych, aby spełniały potrzeby zależności bazowego produktu i aby umożliwić lepsze użycie tej zawartości rozwiązania domeny.
Powiązane artykuły
- Znajdź podstawowe rozwiązania domenowe oparte na ASIM, takie jak Podstawowe rozwiązanie sesji sieciowej i Podstawowe rozwiązanie DNS dla usługi Microsoft Sentinel
- Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM)