修改內容以使用進階安全性資訊模型 （ASIM）

Microsoft Sentinel 中的正規化安全性內容包括分析規則、搜捕查詢，以及搭配統一正規化剖析器使用的活頁簿。

您可以在 Microsoft Sentinel 資源庫和解決方案中找到正規化的現成內容，建立您自己的正規化內容，或是修改現有的自訂內容以使用正規化資料。

本文說明如何轉換現有的 Microsoft Sentinel 分析規則，以使用正規化資料搭配進階安全性資訊模型 (ASIM)。

若要了解正規化內容如何放入 ASIM 架構，請參閱 ASIM 架構圖。

修改自訂內容以利用正規化

若要讓您的自訂 Microsoft Sentinel 內容能夠利用正規化：

• 修改查詢，以使用與查詢相關的任何統一剖析器。

• 修改查詢中的功能變數名稱，以使用正規化結構描述欄位名稱。

• 適時變更條件，以在查詢中使用欄位的正規化值。

分析規則的正規化範例

例如，請設想觀察到具有高反向 DNS 對應計數的罕見用戶端 DNS 分析規則，此規則適用於由 Infoblox DNS 伺服器傳送的 DNS 事件：

let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
    | where ProcessName =~ "named" and Log_Type =~ "client"
    | where isnotempty(ResponseCode)
    | where ResponseCode =~ "NXDOMAIN"
    ) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP

下列程式碼是來源無從驗證的版本，此程式碼利用正規化對提供 DNS 查詢事件的任何來源提供相同的偵測。 下列範例使用內建 ASIM 剖析器：

_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

正規化、來源無從驗證的版本有下列差異：

• 使用 _Im_Dns 或 imDns 正規化剖析器，而不使用 Infoblox 剖析器。

• 標準化剖析器只會擷取 DNS 查詢事件，因此不需要像 Infoblox 版本中 where ProcessName =~ "named" and Log_Type =~ "client" 所執行的一樣，檢查事件種類。

• 使用 SrcIpAddr 欄位，而不使用 Client_IP。

• ResponseCodeName 使用剖析器參數篩選，免除必須使用明確的 where 子句。

如果結構描述或剖析器不支援篩選參數，則除了篩選條件會與原始查詢分開保留之外，變更很類似。 例如：

let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
    | where isnotempty(ResponseCodeName)
    | where ResponseCodeName =~ "NXDOMAIN"
    ) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr

如需上述範例中使用的下列專案詳細資訊，請參閱 Kusto 檔：

• let 語句
• where 運算符
• extend 運算符
• join 運算子
• summarize 運算符
• isnotempty（） 函式
• count（） 聚合函數

如需 KQL 的詳細資訊，請參閱 Kusto 查詢語言 （KQL） 概觀。

其他資源：

• KQL 快速參考
• Kusto 查詢語言學習資源

下一步

本文討論進階安全性資訊模型 (ASIM) 內容。

如需詳細資訊，請參閱

• 請觀看有關 Microsoft Sentinel 標準化剖析器和標準化內容的深入探討網路研討會，或檢閱投影片
• 進階安全性資訊模型 (ASIM) 概觀
• 進階安全性資訊模型 (ASIM) 剖析器
• 進階安全性資訊模型 (ASIM) 結構描述
• 進階安全性資訊模型 (ASIM) 內容