Compartir a través de

规范化和高级安全信息模型 (ASIM)(公共预览版)

Microsoft Sentinel 从多种源引入数据。 将各种数据类型和表一起处理时,需要了解每种数据类型和表,并为每种类型或架构编写并使用唯一的分析规则、工作簿和搜寻查询数据集。

有时,即使数据类型共享通用元素(例如防火墙设备),也需要单独的规则、工作簿和查询。 在调查和搜寻期间,在不同类型的数据之间进行关联也可能有难度。

高级安全信息模型 (ASIM) 是位于这些不同源和用户之间的一层。 ASIM 遵循稳健性原则:“严格管理发送的内容,灵活处理接受的内容”。 ASIM 使用稳健性原则作为设计模式,可将 Microsoft Sentinel 收集的专有源遥测转换为用户友好的数据,以促进交换和集成。

本文概述了高级安全信息模型 (ASIM) 及其用例和主要组件。 有关详细信息,请参阅后续步骤部分。

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

常见 ASIM 使用情况

ASIM 通过提供以下功能,提供一种无缝的体验以用于在统一的规范化视图中处理各种源:

  • 跨源检测。 规范化分析规则可跨源、在本地和云工作,并检测如暴力攻击或不可能的跨系统旅行等攻击。

  • 源不可知内容。 使用 ASIM 的内置内容和自定义内容的覆盖范围会自动扩展到支持 ASIM 的任何源,即使源是在创建内容后添加的,也是如此。 例如,进程事件分析支持客户可能用于引入数据的任何源,如 Windows 事件和 Sysmon。

  • 内置分析中对自定义源的支持

  • 易用性。 分析人员在了解 ASIM 后,编写查询就要简单得多,因为字段名称始终相同。

ASIM 和开放源代码安全事件元数据

ASIM 与开源安全事件元数据 (OSSEM) 通用信息模型相一致,可以在规范化表之间实现可预测的实体关联。

OSSEM 是社区导向型项目,主要注重于记录和标准化来自不同数据源与操作系统的安全事件日志。 该项目还提供一个通用信息模型 (CIM),可供数据工程师在数据建模过程中使用,从而使安全分析师可以查询和分析不同数据源中的数据。

有关详细信息,请参阅 OSSEM 参考文档

ASIM 组件

下图显示了如何将非规范化数据转换为规范化内容以及如何在 Microsoft Sentinel 中使用这些数据。 例如,可以从一个自定义的、特定于产品的非规范化表开始,使用分析器和规范化架构将该表转换为规范化数据。 将你的规范化数据用于 Microsoft 和自定义分析、规则、工作簿、查询等等。

Microsoft Sentinel 中非规范化数据到规范化数据的转换流和用法

ASIM 包括以下组件:

规范化架构

规范化架构涵盖构建统一功能时可用的标准可预测事件类型集。 每个架构定义了表示事件的字段、规范化列命名约定,以及字段值的标准格式。

ASIM 当前定义了以下架构:

有关详细信息,请参阅 ASIM 架构

查询时间分析器

ASIM 使用查询时间分析器通过 KQL 函数将现有数据映射到规范化架构。 Microsoft Sentinel 提供许多现成的 ASIM 分析程序。 可以从 Microsoft Sentinel GitHub 存储库部署更多分析程序和可修改的内置分析程序版本。

有关详细信息,请参阅 ASIM 分析程序

引入时间规范化

查询时解析器具有许多优点:

  • 它们不需要修改数据,因此可以保留源格式。
  • 由于它们不修改数据,而是呈现数据视图,因此易于开发。 开发、测试和修复解析器都可以在现有数据上完成。 此外,当发现问题时,可以修复解析器,并且修复将应用于现有数据。

另一方面,虽然 ASIM 分析器经过优化,但查询时间分析可能会减慢查询速度,尤其是在大型数据集上。 为了解决此问题,Microsoft Sentinel 将查询时间分析与引入时间分析进行了补充。 使用引入转换,事件将规范化为规范化表,从而加速使用规范化数据的查询。

目前,ASIM 支持将以下本机规范化表作为引入时间规范化的目标:

有关详细信息,请参阅引入时间规范化

每个规范化架构的内容

使用 ASIM 的内容包括解决方案、分析规则、工作簿、搜寻查询等。 每个规范化架构的内容适用于任何规范化数据,无需创建特定于源的内容。

有关详细信息,请参阅 ASIM 内容

ASIM 入门指南

开始使用 ASIM:

  • 部署基于 ASIM 的域解决方案,例如网络威胁防护 Essentials 域解决方案。

  • 激活使用 ASIM 的分析规则模板。 有关详细信息,请参阅 ASIM 内容列表

  • 在 Microsoft Sentinel“日志”页中查询 KQL 中的日志时,使用 Microsoft Sentinel GitHub 存储库中的 ASIM 搜寻查询。 有关详细信息,请参阅 ASIM 内容列表

  • 使用 ASIM 编写自己的分析规则,或转换现有的分析规则

  • 通过为自定义源编写分析程序并将其添加到相关的源不可知分析程序,使自定义数据能够使用内置分析。

后续步骤

本文概述了 Microsoft Sentinel 和 ASIM 中的规范化。

有关详细信息,请参阅: