重要
注意:所有 Microsoft Sentinel 功能将根据 世纪互联发布的公告 于 2026年8月18日 在中国地区的 Azure 正式停用。
Microsoft基本解决方案是Microsoft为Microsoft Sentinel发布的域解决方案。 这些解决方案具有开箱即用的内容,可以跨特定类别(如网络)的多个产品运行。 其中一些基本解决方案使用规范化技术高级安全信息模型 (ASIM) 在查询时或摄取时规范化数据。
重要
Microsoft基本解决方案和网络会话概要解决方案目前以预览版提供。 Azure预览版补充条款包括适用于 beta 版、预览版或尚未正式发布的Azure功能的其他法律条款。
为何使用基于 ASIM 的Microsoft基本解决方案?
当一个域类别中的多个解决方案共享相似的检测模式时,在像 ASIM 这样的规范化模式下捕获数据是有意义的。 基本解决方案利用此 ASIM 架构来大规模检测威胁。
在内容中心,有针对不同领域类别的多种产品解决方案,例如“安全性 - 网络”。 例如,Azure Firewall、Palo Alto Firewall 和 Corelight 具有“安全性 - 网络”域类别的产品解决方案。
- 根据设计,这些解决方案具有不同的数据引入组件。 但是,同一领域类别中的分析、狩猎、工作簿和其他内容具有特定的模式。
- 大多数主要网络产品都有一组常见的基本防火墙警报,其中包括来自异常 IP 地址的恶意威胁。 通常,对于每个“安全性 - 网络”类别的产品解决方案,分析规则模板都是重复的。 如果你正在运行多个网络产品,则需要分别检查和配置多个解析规则,这样做效率低下。 你还会收到与每个配置规则相关的警报,并可能最终出现警报过多的情况。
- 如果你有重复的搜寻查询,则可能会在运行所有搜寻模式时获得性能较低的搜寻体验。 这些重复搜寻查询还会导致威胁搜寻者选择和运行类似查询时效率低下。
出于以下原因,可以考虑Microsoft基本解决方案:
- 使用规范化架构可以更轻松地查询事件详细信息。 对于类似的日志属性,无需记住不同的供应商语法。
- 如果不必管理多个解决方案的内容,那么用例部署和事件处理更加容易。
- 合并的工作簿视图通过高性能的 ASIM 解析器提供更好的环境可见性和可能的查询时间分析。
支持 ASIM 架构
基本解决方案目前跨越 Sentinel 支持的以下不同 ASIM 架构:
- 审核事件
- 身份验证事件
- DNS 活动
- 文件活动
- 网络会话
- 进程事件
- Web 会话
有关详细信息,请参阅高级安全信息模型 (ASIM) 架构。
引入时间规范化
引入时间规范化结果可以引入到以下规范化表中:
- ASimDnsActivityLogs,适用于 DNS 架构。
- ASimNetworkSessionLogs,适用于网络会话架构
有关详细信息,请参阅引入时间规范化。
基于 ASIM 的域名基本解决方案可用的内容
下表描述了每个基本解决方案可用的内容类型。 对于某些特定用例,你可能还希望使用Microsoft Sentinel产品解决方案中提供的内容。
| 内容类型 | 描述 |
|---|---|
| 分析规则 | 基于 ASIM 的基本解决方案中提供的分析规则是通用的,非常适合该域的任何依赖Microsoft Sentinel产品解决方案。 Microsoft Sentinel产品解决方案可能具有作为分析规则的一部分涵盖的源特定用例。 根据需要为环境启用Microsoft Sentinel产品解决方案规则。 |
| 狩猎查询 | 基于 ASIM 的基本解决方案中提供的搜索查询是通用的,非常适合从该域的任何依赖 Microsoft Sentinel 产品解决方案中搜索威胁。 Microsoft Sentinel产品解决方案可能具有开箱即用的针对特定源的搜索查询。 根据需要,使用Microsoft Sentinel产品解决方案中的搜寻查询。 |
| 演练手册 | 基于 ASIM 的基本解决方案需要以较高的事件/秒速率处理数据。 当你有使用该数据量的内容时,可能会对性能产生一些影响,这可能会导致工作簿或查询结果加载缓慢。 为了解决此问题,摘要操作手册概括了源日志,并将信息存储在预定义的表中。 启用汇总指南以允许核心解决方案查询此表。 由于 Microsoft Sentinel 中的 playbook 是基于在 Azure Logic Apps 中构建出的工作流,这些工作流会创建独立的资源,因此可能会产生其他费用。 有关详细信息,请参阅 Azure Logic Apps 定价页。 存储汇总数据也可能会产生额外的费用。 |
| 观察名单 | 基于 ASIM 的基本解决方案使用监视列表,其中包含多组用于分析规则检测和搜寻查询的条件。 使用监视列表可以执行以下任务: - 使用数据筛选执行重点监视。 - 在每个列表项的搜寻和检测之间切换。 - 将“阈值类型”设置为”静态”以利用基于阈值的警报,同时,基于异常的警报将从过去几天的数据(最多 14 天)中学习得到。 - 使用此监视列表来修改单个列表项的警报名称、说明、策略和严重性。 - 通过将“严重性”设置为“禁用”来禁用检测。 |
| 工作簿 | 与基于 ASIM 的基本解决方案一起提供的工作簿提供了在相关域中发生的不同事件和活动的综合视图。 由于此工作簿从大量数据中提取结果,因此可能存在一些性能延迟。 如果遇到性能问题,请使用摘要操作手册。 |
这些基本解决方案(如其他Microsoft Sentinel域解决方案)没有自己的连接器。 它们依赖于Microsoft Sentinel产品解决方案中的源特定连接器来拉取日志。 若要了解域解决方案支持的产品,请参阅每个 ASIM 域基本解决方案列表的产品解决方案先决条件列表。 安装一个或多个产品解决方案。 配置数据连接器以满足基础产品依赖项需求,并更好地使用此域解决方案内容。
相关文章
- 查找基于 ASIM 的域基本解决方案,例如 Microsoft Sentinel 的网络会话基础和 DNS 基础解决方案。
- 使用高级安全信息模型 (ASIM)