Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel inserisce dati da molte origini. L'uso di vari tipi di dati e tabelle richiede la comprensione di ognuno di essi e la scrittura e l'uso di set univoci di dati per regole di analisi, cartelle di lavoro e query di ricerca per ogni tipo o schema.
A volte sono necessarie regole, cartelle di lavoro e query separate, anche quando i tipi di dati condividono elementi comuni, ad esempio i dispositivi firewall. Anche la correlazione tra diversi tipi di dati durante un'indagine e la ricerca può essere complessa.
Advanced Security Information Model (ASIM) è un livello che si trova tra queste diverse origini e l'utente. ASIM segue il principio di solidità: "Sii rigoroso in ciò che invii, sii flessibile in ciò che accetti". Usando il principio di affidabilità come modello di progettazione, ASIM trasforma i dati di telemetria di origine proprietaria raccolti da Microsoft Sentinel in dati di facile utilizzo per facilitare lo scambio e l'integrazione.
Questo articolo offre una panoramica del modello ASIM (Advanced Security Information Model), dei relativi casi d'uso e dei componenti principali.
Consiglio
Guardare anche il webinar ASIM o esaminare le diapositive del webinar.
Utilizzo comune di ASIM
ASIM offre un'esperienza semplice per la gestione di varie origini in viste uniformi e normalizzate, fornendo le funzionalità seguenti:
Rilevamento tra fonti. Le regole di analisi normalizzate funzionano tra origini, locali e cloud e rilevano attacchi come la forza bruta o i viaggi impossibili tra sistemi, tra cui Okta, AWS e Azure.
Contenuto indipendente dall'origine. La copertura del contenuto predefinito e personalizzato tramite ASIM si espande automaticamente a qualsiasi origine che supporti ASIM, anche se l'origine è stata aggiunta dopo la creazione del contenuto. Ad esempio, l'analisi degli eventi di elaborazione supporta qualsiasi origine che un cliente può usare per inserire i dati, ad esempio Microsoft Defender per endpoint, eventi di Windows e Sysmon.
Supporto per le fonti personalizzate, nell'analisi integrata
Facilità di utilizzo. Dopo che un analista ha appreso ASIM, la scrittura di query è molto più semplice perché i nomi dei campi sono sempre gli stessi.
ASIM e i metadati degli eventi di sicurezza open source
ASIM è allineato al modello informativo comune OSSEM (Open Source Security Events Metadata), consentendo una correlazione stimabile delle entità tra tabelle normalizzate.
OSSEM è un progetto guidato dalla community incentrato principalmente sulla documentazione e sulla standardizzazione dei log eventi di sicurezza da origini dati e sistemi operativi diversi. Il progetto fornisce anche un modello CIM (Common Information Model) che può essere usato dai data engineer durante le procedure di normalizzazione dei dati per consentire agli analisti della sicurezza di eseguire query e analizzare i dati tra origini dati diverse.
Per altre informazioni, vedere la documentazione di riferimento di OSSEM.
Componenti ASIM
L'immagine seguente mostra come i dati non normalizzati possono essere convertiti in contenuto normalizzato e usati in Microsoft Sentinel. Ad esempio, è possibile iniziare con una tabella personalizzata, specifica del prodotto e non normalizzata e usare un parser e uno schema di normalizzazione per convertire tale tabella in dati normalizzati. Usa i dati normalizzati sia nelle soluzioni di analisi Microsoft sia in quelle personalizzate, nonché in regole, cartelle di lavoro, query e altro ancora.
ASIM include i componenti seguenti:
Schemi normalizzati
Gli schemi normalizzati coprono set standard di tipi di evento prevedibili che è possibile usare per la creazione di funzionalità unificate. Ogni schema definisce i campi che rappresentano un evento, una convenzione di denominazione delle colonne normalizzata e un formato standard per i valori dei campi.
ASIM definisce attualmente gli schemi seguenti:
- Evento di avviso
- Evento di audit
- Evento di autenticazione
- Attività DHCP
- Attività DNS
- Attività dei file
- Sessione di rete
- Evento di processo
- Evento del Registro di sistema
- Gestione degli utenti
- Sessione Web
Per altre informazioni, vedere Schemi ASIM.
Parser dell'ora di query
ASIM usa parser in fase di query per mappare i dati esistenti negli schemi normalizzati usando funzioni KQL. Molti parser ASIM sono disponibili immediatamente con Microsoft Sentinel. Altri parser e versioni dei parser predefiniti che possono essere modificati possono essere distribuiti dal repository GitHub Microsoft Sentinel.
Per altre informazioni, vedere parser ASIM.
Normalizzazione del tempo di acquisizione
I parser in fase di query presentano molti vantaggi:
- Non richiedono la modifica dei dati, mantenendo così il formato di origine.
- Poiché non modificano i dati, ma presentano invece una visualizzazione dei dati, sono facili da sviluppare. Lo sviluppo, il test e la correzione di un parser possono essere eseguiti tutti sui dati esistenti. Inoltre, i parser possono essere risolti quando viene rilevato un problema e la correzione si applicherà ai dati esistenti.
D'altra parte, mentre i parser ASIM sono ottimizzati, l'analisi del tempo di query può rallentare le query, soprattutto nei set di dati di grandi dimensioni. Per risolvere questo errore, Microsoft Sentinel integra l'analisi del tempo di query con l'analisi del tempo di inserimento. Con la trasformazione di ingestione, gli eventi vengono normalizzati nella tabella normalizzata, velocizzando le query che utilizzano dati normalizzati.
Attualmente, ASIM supporta le tabelle normalizzate native seguenti come destinazione per la normalizzazione del tempo di inserimento:
- ASimAuditEventLogs per lo schema dell'evento di controllo .
- ASimAuthenticationEventLogs per lo schema di autenticazione .
- ASimDhcpEventLogs per lo schema dell'evento DHCP .
- ASimDnsActivityLogs per lo schema DNS .
- ASimFileEventLogs per lo schema Evento file.
- ASimNetworkSessionLogs per lo schema della sessione di rete .
- ASimProcessEventLogs per lo schema dell'evento di processo .
- ASimRegistryEventLogs per lo schema Evento del Registro di sistema.
- ASimUserManagementActivityLogs per lo schema di gestione utenti .
- ASimWebSessionLogs per lo schema della sessione Web .
Per altre informazioni, vedere Ingest Time Normalization.
Contenuto per ogni schema normalizzato
Il contenuto che usa ASIM include soluzioni, regole di analisi, cartelle di lavoro, query di ricerca e altro ancora. Il contenuto per ogni schema normalizzato funziona su tutti i dati normalizzati senza la necessità di creare contenuto specifico dell'origine.
Per altre informazioni, vedere Contenuto ASIM.
Introduzione a ASIM
Per iniziare a usare ASIM:
Distribuire una soluzione di dominio basata su ASIM, ad esempio la soluzione di dominio Network Threat Protection Essentials .
Attivare i modelli di regola di analisi che utilizzano ASIM. Per altre informazioni, vedere l'elenco di contenuto ASIM.
Usa le query di hunting ASIM dal repository GitHub di Microsoft Sentinel, quando interroghi i log in KQL nella pagina Microsoft Sentinel Logs. Per altre informazioni, vedere l'elenco di contenuto ASIM.
Scrivere regole di analisi personalizzate usando ASIM o convertire quelle esistenti.
Abilitare i dati personalizzati per l'uso dell'analisi predefinita scrivendo parser per le origini personalizzate e aggiungendoli al parser indipendente dall'origine pertinente.