Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As soluções essenciais da Microsoft são soluções de domínio publicadas pela Microsoft para o Microsoft Sentinel. Essas soluções têm conteúdo pré-configurado que pode operar em vários produtos para categorias específicas, como rede. Algumas dessas soluções essenciais usam a técnica de normalização AsIM (Advanced Security Information Model) para normalizar os dados no momento da consulta ou no tempo de ingestão.
Importante
As soluções essenciais da Microsoft e a solução Network Session Essentials estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Por que usar soluções essenciais da Microsoft baseadas em ASIM?
Quando várias soluções em uma categoria de domínio compartilham padrões de detecção semelhantes, faz sentido ter os dados capturados em um esquema normalizado como o ASIM. Soluções essenciais usam esse esquema ASIM para detectar ameaças em escala.
No hub de conteúdo, há várias soluções de produto para diferentes categorias de domínio, como "Segurança – Rede". Por exemplo, o Firewall do Azure, o Firewall do Palo Alto e o Corelight têm soluções de produto para a categoria de domínio "Segurança – Rede".
- Essas soluções têm componentes diferentes de ingestão de dados por design. Mas há um certo padrão na análise, na busca, nas pastas de trabalho e em outros conteúdos dentro da mesma categoria de domínio.
- A maioria dos principais produtos de rede tem um conjunto básico comum de alertas de firewall que inclui ameaças mal-intencionadas provenientes de endereços IP incomuns. O modelo de regra analítica é, em geral, duplicado para cada uma das categorias "Segurança – Rede" de soluções de produto. Se você estiver executando vários produtos de rede, precisará verificar e configurar várias regras analíticas individualmente, o que é ineficiente. Você também receberia alertas para cada regra configurada e poderia acabar com a fadiga dos alertas.
- Se você tiver consultas de busca duplicadas, talvez tenha experiências de busca menos eficientes com o modo de busca executar tudo. Essas consultas de busca duplicativa também introduzem ineficiências para caçadores de ameaças selecionarem e executarem consultas semelhantes.
Você pode considerar soluções essenciais da Microsoft pelos seguintes motivos:
- Um esquema normalizado facilita a consulta de detalhes do incidente. Você não precisa se lembrar de sintaxe de fornecedor diferente para atributos de log semelhantes.
- Se você não precisar gerenciar conteúdo para várias soluções, a implantação de casos de uso e o tratamento de incidentes será mais fácil.
- Um modo de exibição de pasta de trabalho consolidado oferece melhor visibilidade do ambiente e possível análise de tempo de consulta com analisadores ASIM de alto desempenho.
Esquemas ASIM suportados
No momento, as soluções essenciais são estendidas nos seguintes esquemas ASIM diferentes aos quais o Sentinel dá suporte:
- Evento de auditoria
- Evento de autenticação
- Atividade DNS
- Atividade de arquivo
- Sessão de rede
- Evento de processo
- Sessão da Web
Para obter mais informações, consulte os esquemas do ASIM (Modelo avançado de informações de segurança).
Normalização do tempo de ingestão
Os resultados da normalização do tempo de ingestão podem ser inseridos na seguinte tabela normalizada:
- ASimDnsActivityLogs para o esquema DNS.
- ASimNetworkSessionLogs para o esquema de Sessão de Rede
Para obter mais informações, consulte Normalização do tempo de ingestão.
Conteúdo disponível com soluções essenciais de domínio baseadas no ASIM
A tabela a seguir descreve o tipo de conteúdo disponível em cada solução essencial. Para alguns casos de uso específicos, talvez você também queira usar o conteúdo disponível com a solução de produto do Microsoft Sentinel.
| Tipo de conteúdo | descrição |
|---|---|
| Regra analítica | As regras analíticas disponíveis nas soluções essenciais baseadas em ASIM são genéricas e adequadas para qualquer uma das soluções de produto dependentes do Microsoft Sentinel para esse domínio. A solução de produto do Microsoft Sentinel pode ter um caso de uso específico de origem abordado como parte da regra analítica. Habilite as regras de solução de produto do Microsoft Sentinel conforme necessário para seu ambiente. |
| Consulta de busca | As consultas de busca disponíveis nas soluções essenciais baseadas em ASIM são genéricas e uma boa opção para procurar ameaças de qualquer uma das soluções de produtos dependentes do Microsoft Sentinel para esse domínio. A solução de produto do Microsoft Sentinel pode ter uma consulta de busca específica de origem disponível pronta para uso. Use as consultas de busca da solução de produto do Microsoft Sentinel conforme necessário para seu ambiente. |
| Manual | Espera-se que as soluções essenciais baseadas em ASIM lidem com dados com alta frequência de eventos por segundo. Quando você tem conteúdo que está usando esse volume de dados, pode ter algum impacto no desempenho que pode causar o carregamento lento de pastas de trabalho ou resultados da consulta. Para resolver o problema, o guia estratégico de sumarização resume os logs de origem e armazena as informações em uma tabela predefinida. Habilite o guia estratégico de sumarização para permitir que as soluções essenciais consultem esta tabela. Como os guias estratégicos do Microsoft Sentinel se baseiam em fluxos de trabalho criados em Aplicativos Lógicos do Azure que criam recursos separados, outros encargos podem ser aplicados. Para obter mais informações, consulte a página de preços dos Aplicativos Lógicos do Azure. Outros encargos também podem ser aplicados ao armazenamento dos dados resumidos. |
| Lista de Observação | As soluções essenciais baseadas em ASIM usam uma lista de observação que inclui vários conjuntos de condições para a detecção de regras analíticas e consultas de busca. A watchlist permite que você execute as seguintes tarefas: – Faça o monitoramento focado com filtragem de dados. - Alternar entre busca e detecção para cada item de lista. – Mantenha o tipo de limite definido como Estático para aproveitar alertas baseados em limite, enquanto alertas baseados em anomalias aprenderiam com os últimos dias de dados (no máximo 14 dias). – Modifique o nome do alerta, a descrição, a tática e a gravidade usando esta watchlist para itens de lista individuais. - Desabilite a detecção definindo Severidade como Desabilitada. |
| Livro de Exercícios | A pasta de trabalho disponível com as soluções essenciais baseadas em ASIM fornece uma visão consolidada de diferentes eventos e atividades acontecendo no domínio dependente. Como essa pasta de trabalho busca resultados de um volume muito grande de dados, pode haver alguma lentidão no desempenho. Se você tiver problemas de desempenho, use o guia estratégico de sumarização. |
Essas soluções essenciais, como outras soluções de domínio do Microsoft Sentinel, não têm um conector próprio. Eles dependem dos conectores específicos de origem nas soluções do produto Microsoft Sentinel para importar os logs. Para entender os produtos compatíveis com a solução de domínio, consulte a lista de pré-requisitos de soluções de produto de cada uma das listas de soluções essenciais do domínio ASIM. Instale uma ou mais soluções de produto. Configure os conectores de dados para atender às necessidades subjacentes de dependência do produto e habilitar o melhor uso desse conteúdo da solução de domínio.
Artigos relacionados
- Encontre soluções essenciais de domínio baseadas em ASIM , como o Network Session Essentials e a Solução DNS Essentials para Microsoft Sentinel
- Usando o ASIM (Modelo de Informações de Segurança Avançado)