了解数据规范化
Microsoft Sentinel 从许多源引入数据。 将各种数据类型和表格一起处理时,需要了解每种数据类型和表格,并为每种类型或架构编写并使用独特的分析规则、工作簿和搜寻查询数据集。
有时,即使数据类型拥有共同的元素(如防火墙设备),也需要单独的规则、工作簿和查询。 在调查和搜寻期间,在不同类型的数据之间进行关联也可能比较困难。
高级安全信息模型 (ASIM) 位于这些不同源和用户之间。 ASIM 遵循稳健性原则:“严格发送的内容,灵活接受的内容”。 当稳健性原则用作设计模式时,ASIM 会将 Microsoft Sentinel 的不一致且难以使用的源遥测数据转换为用户友好的数据。
ASIM 常见用途
ASIM 通过提供以下功能,帮助用统一的规范化视图顺利处理各种源:
跨源检测。 规范化分析规则适用于源、本地和云,可以检测攻击,例如暴力攻击或跨系统(包括 Okta、AWS 和 Azure)的不可能旅行。
源不可知内容。 使用 ASIM 的内置内容和自定义内容的覆盖范围会自动扩展到支持 ASIM 的任何源,即使源是在创建内容后添加的,也是如此。 例如,进程事件分析支持客户可能用于引入数据的任何源,如 Microsoft Defender for Endpoint、Windows 事件和 Sysmon。
内置分析中支持自定义源
易用性。 分析人员了解 ASIM 后,编写查询更简单,因为字段名称始终相同。
ASIM 和开放源代码安全事件元数据
ASIM 与开源安全事件元数据(OSSEM)通用信息模型保持一致,允许跨规范化表实现可预测的实体关联。
OSSEM 是社区导向型项目,主要注重于记录和标准化来自不同数据源与操作系统的安全事件日志。 该项目还提供一个通用信息模型 (CIM),此模型可供数据工程师在数据规范化过程中使用,从而使安全分析师可以查询和分析不同数据源中的数据。
ASIM 组件
下图显示了如何将非规范化数据转换为规范化内容并在 Microsoft Sentinel 中使用这些数据。 例如,可以从自定义、特定于产品的非规范化表格开始,并使用分析程序和规范化架构将该表格转换为规范化数据。 将规范化数据用于 Microsoft 和自定义分析、规则、工作簿、查询等等。
ASIM 包含以下组件:
| 组件 | DESCRIPTION |
|---|---|
| 规范化架构 | 涵盖生成统一功能时可以使用的标准可预测事件类型集。 每个架构定义表示事件的字段、规范化列命名约定和字段值的标准格式。 |
| 分析器 | 使用 KQL 函数将现有数据映射到规范化架构。 Microsoft Sentinel 提供许多现成的 ASIM 分析程序。 可以从 Microsoft Sentinel 的 GitHub 存储库中部署更多解析器,以及可以修改的内置解析器的版本。 |
| 每个规范化架构的内容 | 包括分析规则、工作簿、搜寻查询等。 每个规范化架构的内容适用于任何规范化数据,无需创建特定于源的内容。 |
ASIM 术语
ASIM 使用以下术语:
| 期限 | DESCRIPTION |
|---|---|
| 报告装置 | 将记录发送到 Microsoft Sentinel 的系统。 该系统可能不是要发送的记录的主系统。 |
| 记录 | 从报告设备发送的数据单位。 记录通常称为日志、事件或警报,但也可以是其他类型的数据。 |
| 内容或内容项 | 可以与 Microsoft Sentinel 一起使用的自定义或用户创建的不同项目。 这些项目包括分析规则、搜寻查询和工作簿。 内容项是此项目中的一种。 |
查看 ASIM 分析器
在 Microsoft Sentinel 环境中查看 ASIM 功能。
- 在 Azure 门户中导航到 Microsoft Sentinel 工作区
- 从左侧导航中选择日志
- 展开左侧的架构和筛选器窗格(如果需要,请使用省略号显示所有工具)
- 选择函数
- 扩展Microsoft Sentinel
你将看到以 ASim 和 Im 开头的函数。