Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il contenuto di sicurezza normalizzato in Microsoft Sentinel include regole di analisi, query di ricerca e cartelle di lavoro che funzionano con i parser di normalizzazione unificanti.
È possibile trovare contenuto normalizzato e predefinito in Microsoft Sentinel raccolte e soluzioni, creare contenuto normalizzato o modificare contenuto personalizzato esistente per usare dati normalizzati.
Questo articolo illustra come convertire le regole di analisi Microsoft Sentinel esistenti per usare dati normalizzati con il modello ASIM (Advanced Security Information Model).
Per informazioni sul contenuto normalizzato all'interno dell'architettura ASIM, vedere il diagramma dell'architettura ASIM.
Consiglio
Guardare anche il webinar Deep Dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e contenuto normalizzato) o esaminare le diapositive. Per ulteriori informazioni, vedere Passaggi successivi.
Modificare il contenuto personalizzato per usare la normalizzazione
Per abilitare il contenuto Microsoft Sentinel personalizzato per l'uso della normalizzazione:
Modificare le query per usare tutti i parser unificanti rilevanti per la query.
Modificare i nomi dei campi nella query per usare i nomi dei campi dello schema normalizzati .
Se applicabile, modificare le condizioni per usare i valori normalizzati dei campi nella query.
Normalizzazione di esempio per le regole di analisi
Si consideri, ad esempio, la regola di analisi DNS del client raro osservata con numero di ricerche DNS inverso elevato , che funziona sugli eventi DNS inviati dai server DNS Infoblox:
let threshold = 200;
InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
| summarize count() by Client_IP, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (InfobloxNIOS
| where ProcessName =~ "named" and Log_Type =~ "client"
| where isnotempty(ResponseCode)
| where ResponseCode =~ "NXDOMAIN"
) on Client_IP
| extend timestamp = TimeGenerated, IPCustomEntity = Client_IP
Il codice seguente è la versione indipendente dall'origine, che usa la normalizzazione per fornire lo stesso rilevamento per qualsiasi origine che fornisce eventi di query DNS. Nell'esempio seguente vengono usati parser ASIM predefiniti:
_Im_Dns(responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns(responsecodename='NXDOMAIN')) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr
La versione normalizzata indipendente dall'origine presenta le differenze seguenti:
I
_Im_Dnsparser oimDnsnormalizzati vengono usati al posto del parser Infoblox.I parser normalizzati recuperano solo gli eventi di query DNS, quindi non è necessario controllare il tipo di evento, come eseguito da
where ProcessName =~ "named" and Log_Type =~ "client"nella versione di Infoblox.Il
SrcIpAddrcampo viene utilizzato al posto diClient_IP.Il filtro dei parametri del parser viene usato per ResponseCodeName, eliminando la necessità di clausole esplicite
where.
Nota
Oltre a supportare qualsiasi origine DNS normalizzata, la versione normalizzata è più breve e più facile da comprendere.
Se lo schema o i parser non supportano i parametri di filtro, le modifiche sono simili, ad eccezione del fatto che le condizioni di filtro vengono mantenute dalla query originale. Ad esempio:
let threshold = 200;
imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
| where count_ > threshold
| join kind=inner (imDns
| where isnotempty(ResponseCodeName)
| where ResponseCodeName =~ "NXDOMAIN"
) on SrcIpAddr
| extend timestamp = TimeGenerated, IPCustomEntity = SrcIpAddr
Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:
- istruzione let
- operatore where
- operatore extend
- operatore join
- operatore summarize
- funzione isnotempty()
- Funzione di aggregazione count()
Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).
Altre risorse:
Passaggi successivi
Questo articolo illustra il contenuto di Advanced Security Information Model (ASIM).
Per altre informazioni, vedere:
- Guardare il webinar deep dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e del contenuto normalizzato) o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Parser ASIM (Advanced Security Information Model)
- Schemi ASIM (Advanced Security Information Model)
- Contenuto ASIM (Advanced Security Information Model)