Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel erfasst Daten aus vielen Quellen. Wenn Sie mit verschiedenen Datentypen und Tabellen zusammenarbeiten, müssen Sie die einzelnen Datentypen verstehen und eindeutige Datasets für Analyseregeln, Arbeitsmappen und Huntingabfragen für jeden Typ oder Schema schreiben und verwenden.
Manchmal benötigen Sie separate Regeln, Arbeitsmappen und Abfragen, auch wenn Datentypen gemeinsame Elemente verwenden, z. B. Firewallgeräte. Die Korrelation zwischen verschiedenen Arten von Daten während einer Untersuchung und Suche kann ebenfalls schwierig sein.
Das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) ist eine Ebene, die sich zwischen diesen verschiedenen Quellen und dem Benutzer befindet. ASIM folgt dem Robustitätsprinzip: "Seien Sie streng in dem, was Sie senden, seien Sie flexibel in dem, was Sie akzeptieren". Mithilfe des Robustitätsprinzips als Entwurfsmuster transformiert ASIM die von Microsoft Sentinel gesammelten proprietären Quelltelemetriedaten in benutzerfreundliche Daten, um den Austausch und die Integration zu erleichtern.
Dieser Artikel bietet eine Übersicht über das Advanced Security Information Model (ASIM), seine Anwendungsfälle und Hauptkomponenten.
Tipp
Sehen Sie sich auch das ASIM-Webinar an, oder sehen Sie sich die Webinarfolien an.
Allgemeine ASIM-Verwendung
ASIM bietet eine nahtlose Benutzeroberfläche für die Behandlung verschiedener Quellen in einheitlichen, normalisierten Ansichten, indem die folgenden Funktionen bereitgestellt werden:
Quellübergreifende Erkennung. Normalisierte Analyseregeln funktionieren quellenübergreifend, lokal und in der Cloud und erkennen Angriffe wie Brute-Force oder unmögliche Reisen zwischen Systemen, einschließlich Okta, AWS und Azure.
Quellenunabhängiger Inhalt. Die Abdeckung von integrierten und benutzerdefinierten Inhalten mithilfe von ASIM wird automatisch auf jede Quelle erweitert, die ASIM unterstützt, auch wenn die Quelle hinzugefügt wurde, nachdem der Inhalt erstellt wurde. Die Prozessereignisanalyse unterstützt beispielsweise jede Quelle, die ein Kunde verwenden kann, um die Daten einzubringen, z. B. Microsoft Defender for Endpoint, Windows-Ereignisse und Sysmon.
Unterstützung für Ihre benutzerdefinierten Quellen in integrierten Analysen
Benutzerfreundlichkeit. Nachdem ein Analyst ASIM kennengelernt hat, ist das Schreiben von Abfragen viel einfacher, da die Feldnamen immer identisch sind.
ASIM und die Metadaten von Open Source-Sicherheitsereignissen
ASIM entspricht dem allgemeinen Informationsmodell für Open Source Security Events Metadata (OSSEM) und ermöglicht eine vorhersagbare Entitätskorrelation über normalisierte Tabellen hinweg.
OSSEM ist ein von der Community geleitetes Projekt, das sich hauptsächlich auf die Dokumentation und Standardisierung von Sicherheitsereignisprotokollen aus verschiedenen Datenquellen und Betriebssystemen konzentriert. Das Projekt bietet auch ein Common Information Model (CIM), das für Datentechniker während der Datennormalisierungsverfahren verwendet werden kann, damit Sicherheitsanalysten Daten in verschiedenen Datenquellen abfragen und analysieren können.
Weitere Informationen finden Sie in der OSSEM-Referenzdokumentation.
ASIM-Komponenten
Die folgende Abbildung zeigt, wie nicht normalisierte Daten in normalisierte Inhalte übersetzt und in Microsoft Sentinel verwendet werden können. Sie können beispielsweise mit einer benutzerdefinierten, produktspezifischen, nicht normalisierten Tabelle beginnen und einen Parser und ein Normalisierungsschema verwenden, um diese Tabelle in normalisierte Daten zu konvertieren. Verwenden Sie Ihre normalisierten Daten sowohl in Microsoft als auch in benutzerdefinierten Analysen, Regeln, Arbeitsmappen, Abfragen und mehr.
ASIM umfasst die folgenden Komponenten:
Normalisierte Schemas
Normalisierte Schemas decken Standardsätze vorhersagbarer Ereignistypen ab, die Sie beim Erstellen einheitlicher Funktionen verwenden können. Jedes Schema definiert die Felder, die ein Ereignis, eine normalisierte Spaltenbenennungskonvention und ein Standardformat für die Feldwerte darstellen.
ASIM definiert derzeit die folgenden Schemas:
- Warnungsereignis
- Audit-Ereignis
- Authentifizierungsereignis
- DHCP-Aktivität
- DNS-Aktivität
- Dateiaktivität
- Netzwerksitzung
- Prozessereignis
- Registrierungsereignis
- Benutzerverwaltung
- Websitzung
Weitere Informationen finden Sie unter ASIM-Schemas.
Abfragezeitparser
ASIM verwendet Abfragezeitparser, um vorhandene Daten mithilfe von KQL-Funktionen den normalisierten Schemas zuzuordnen. Viele ASIM-Parser sind sofort mit Microsoft Sentinel verfügbar. Weitere Parser und Versionen der integrierten Parser, die geändert werden können, können über das Microsoft Sentinel GitHub-Repository bereitgestellt werden.
Weitere Informationen finden Sie unter ASIM-Parser.
Normalisierung der Erfassungszeit
Abfragezeitparser haben viele Vorteile:
- Es ist nicht erforderlich, dass die Daten geändert werden, sodass das Quellformat beibehalten wird.
- Da sie die Daten nicht ändern, sondern eine Ansicht der Daten bereitstellen, sind sie leicht zu entwickeln. Das Entwickeln, Testen und Korrigieren eines Parsers kann auf vorhandenen Daten erfolgen. Darüber hinaus können Parser behoben werden, wenn ein Problem erkannt wird und die Korrektur auf vorhandene Daten angewendet wird.
Während ASIM-Parser optimiert sind, kann die Analyse der Abfragezeit Abfragen insbesondere bei großen Datasets verlangsamen. Um dies zu beheben, ergänzt Microsoft Sentinel die Analyse der Abfragezeit mit der Erfassungszeitanalyse. Mithilfe der Erfassungstransformation werden die Ereignisse in eine normalisierte Tabelle normalisiert, wodurch Abfragen beschleunigt werden, die normalisierte Daten verwenden.
Derzeit unterstützt ASIM die folgenden nativen normalisierten Tabellen als Ziel für die Normalisierung der Erfassungszeit:
- ASimAuditEventLogs für das Audit-Ereignisschema .
- ASimAuthenticationEventLogs für das Authentifizierungsschema .
- ASimDhcpEventLogs für das DHCP-Ereignisschema .
- ASimDnsActivityLogs für das DNS-Schema .
- ASimFileEventLogs für das Dateiereignisschema .
- ASimNetworkSessionLogs für das Netzwerksitzungsschema .
- ASimProcessEventLogs für das Prozessereignisschema .
- ASimRegistryEventLogs für das Registrierungsereignisschema .
- ASimUserManagementActivityLogs für das Benutzerverwaltungsschema .
- ASimWebSessionLogs für das Websitzungsschema .
Weitere Informationen finden Sie unter Normalisierung der Erfassungszeit.
Inhalt für jedes normalisierte Schema
Inhalte, die ASIM verwenden, umfassen Lösungen, Analyseregeln, Arbeitsmappen, Hunting-Abfragen und vieles mehr. Der Inhalt für jedes normalisierte Schema funktioniert für alle normalisierten Daten, ohne dass quellspezifische Inhalte erstellt werden müssen.
Weitere Informationen finden Sie unter ASIM-Inhalt.
Erste Schritte mit ASIM
So beginnen Sie mit der Verwendung von ASIM:
Stellen Sie eine ASIM-basierte Domänenlösung bereit, z. B. die Network Threat Protection Essentials-Domänenlösung .
Aktivieren Sie Analyseregelvorlagen, die ASIM verwenden. Weitere Informationen finden Sie in der ASIM-Inhaltsliste.
Verwenden Sie die ASIM-Huntingabfragen aus dem Microsoft Sentinel GitHub-Repository, wenn Sie Protokolle in KQL auf der Seite Microsoft Sentinel Protokolle abfragen. Weitere Informationen finden Sie in der ASIM-Inhaltsliste.
Schreiben Sie ihre eigenen Analyseregeln mithilfe von ASIM, oder konvertieren Sie vorhandene Regeln.
Ermöglichen Sie es Ihren benutzerdefinierten Daten, integrierte Analysen zu verwenden, indem Sie Parser für Ihre benutzerdefinierten Quellen schreiben und sie dem relevanten quellunabhängigen Parser hinzufügen .
Verwandte Inhalte
Dieser Artikel bietet eine Übersicht über die Normalisierung in Microsoft Sentinel und ASIM.
Weitere Informationen finden Sie unter: