Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel inserisce dati da molte origini. Per usare diversi tipi di dati e tabelle, è necessario comprendere ciascuno tipo e scrivere e usare set di dati univoci per regole di analisi, cartelle di lavoro e query di ricerca per ogni tipo o schema.
In alcuni casi, sono necessarie regole, cartelle di lavoro e query separate, anche quando i tipi di dati condividono elementi comuni, ad esempio i dispositivi firewall. Anche correlare i diversi tipi di dati durante un'indagine e la ricerca può essere complesso.
ASIM (Advanced Security Information Model) è un livello che si trova tra queste diverse origini e l'utente. ASIM segue il principio di robustezza: "Essere rigidi in ciò che si invia, essere flessibili in ciò che si accetta". Usando il principio di robustezza come modello di progettazione, ASIM trasforma i dati di telemetria di origine proprietari, raccolti da Microsoft Sentinel, in dati descrittivi per facilitare lo scambio e l'integrazione.
Questo articolo offre una panoramica del modello ASIM, dei relativi casi d'uso e dei componenti principali.
Suggerimento
Guardare anche il webinar di ASIM o esaminare le diapositive del webinar.
Utilizzo comune del modello ASIM
Il modello ASIM offre un'esperienza semplice per la gestione di varie origini in visualizzazioni uniformi e normalizzate, fornendo le funzionalità seguenti:
Rilevamento tra origini. Le regole di analisi normalizzate funzionano tra le origini, in locale e nel cloud, e rilevano attacchi come gli attacchi di forza bruta o lo spostamento fisico impossibile tra sistemi, tra cui Okta, AWS e Azure.
Contenuto indipendente dall'origine. La copertura del contenuto predefinito e personalizzato tramite il modello ASIM si espande automaticamente a qualsiasi origine che lo supporti, anche se l'origine è stata aggiunta dopo la creazione del contenuto. Ad esempio, l'analisi degli eventi di processo supporta qualsiasi origine che il cliente può usare per inserire i dati, come Microsoft Defender per endpoint, eventi di Windows e Sysmon.
Supporto per le origini personalizzate nell'analisi predefinita
Facilità d'uso. Appena un analista apprende il modello ASIM, la scrittura di query è molto più semplice perché i nomi dei campi sono sempre gli stessi.
Il modello ASIM e OSSEM (Open Source Security Events Metadata)
ASIM è allineato al modello informativo comune OSSEM (Open Source Security Events Metadata) e consente la correlazione delle entità stimabili tra tabelle normalizzate.
OSSEM è un progetto guidato dalla community che si concentra principalmente sulla documentazione e sulla standardizzazione dei registri eventi di sicurezza provenienti da origini dati e sistemi operativi diversi. Il progetto fornisce anche un modello CIM (Common Information Model) che può essere usato dagli ingegneri dei dati durante le procedure di normalizzazione dei dati per consentire agli analisti della sicurezza di eseguire query e analizzare i dati tra origini dati diverse.
Per altre informazioni, vedere la documentazione di riferimento di OSSEM.
Componenti di ASIM
L'immagine seguente mostra come i dati non normalizzati possono essere convertiti in contenuto normalizzato e usati in Microsoft Sentinel. Ad esempio, è possibile iniziare con una tabella personalizzata, specifica del prodotto, non normalizzata e usare un parser e uno schema di normalizzazione per convertire tale tabella in dati normalizzati. I dati normalizzati possono essere usati in analisi, regole, cartelle di lavoro, query e altro ancora sia Microsoft che personalizzati.
Il modello ASIM include i componenti seguenti:
Schemi normalizzati
Gli schemi normalizzati coprono set standard di tipi di eventi stimabili che è possibile usare per la creazione di funzionalità unificate. Ogni schema definisce i campi che rappresentano un evento, una convenzione di denominazione delle colonne normalizzate e un formato standard per i valori dei campi.
ASIM definisce attualmente gli schemi seguenti:
- Evento di avviso
- Evento di controllo
- Evento di autenticazione
- Attività DHCP
- Attività DNS
- Attività File
- Sessione di rete
- Evento di processo
- Evento di registro
- Gestione degli utenti
- Sessione Web
Per altre informazioni, vedere Schemi di ASIM.
Parser dei tempi di query
ASIM usa i parser dei tempi di query per eseguire il mapping dei dati esistenti agli schemi normalizzati usando le funzioni KQL. Molti parser ASIM sono disponibili e pronti all'uso con Microsoft Sentinel. Altri parser e versioni di parser predefiniti modificabili possono essere distribuiti dal repository GitHub di Microsoft Sentinel.
Per altre informazioni, vedere Parser ASIM.
Normalizzazione del tempo di inserimento
I parser del tempo di query presentano molti vantaggi:
- Mantengono il formato di origine in quanto non richiedono che i dati vengano modificati.
- Sono facili da modificare poiché non modificano i dati, presentando invece una visualizzazione dei dati. Lo sviluppo, il test e la correzione di un parser possono essere eseguiti su dati esistenti. Inoltre, i parser possono essere corretti quando viene individuato un problema e la correzione verrà applicata ai dati esistenti.
D'altra parte, mentre i parser ASIM sono ottimizzati, l'analisi del tempo di query può rallentare le query, soprattutto con set di dati di grandi dimensioni. Per risolvere questo problema, Microsoft Sentinel integra l'analisi del tempo di query con l'analisi del tempo di inserimento. L'utilizzo della trasformazione dell'inserimento consente di normalizzare gli eventi in base alla tabella normalizzata, accelerando le query che usano dati normalizzati.
Attualmente, ASIM supporta le tabelle normalizzate native seguenti come destinazione per la normalizzazione in fase di inserimento:
- ASimAuditEventLogs per lo schemaEvento di controllo.
- ASimAuthenticationEventLogs per lo schema di autenticazione .
- ASimDhcpEventLogs per lo schema dell'evento DHCP.
- ASimDnsActivityLogs per lo schema DNS.
- ASimFileEventLogs per lo schema Evento file.
- ASimNetworkSessionLogs per lo schema della sessione di rete .
- ASimProcessEventLogs per lo schema Evento processo.
- ASimRegistryEventLogs per lo schema Evento Registro di sistema.
- ASimUserManagementActivityLogs per lo schema di gestione utenti .
- ASimWebSessionLogs per lo schema Sessione Web.
Per altre informazioni, vedere Normalizzazione del tempo di inserimento.
Contenuto per ogni schema normalizzato
Il contenuto che usa il modello ASIM include soluzioni, regole di analisi, cartelle di lavoro, query di ricerca e altro ancora. Il contenuto di ogni schema normalizzato può essere usato con tutti i dati normalizzati senza la necessità di creare contenuto specifico dell'origine.
Per altre informazioni, vedere Contenuto del modello ASIM.
Introduzione al modello ASIM
Per iniziare a usare il modello ASIM:
Distribuire una soluzione di dominio basata sul modello ASIM, ad esempio la soluzione di dominio Network Threat Protection Essentials.
Attivare i modelli di regola di analisi che usano ASIM. Per altre informazioni, vedere l'elenco di contenuti ASIM.
Usare le query di ricerca del modello ASIM dal repository GitHub di Microsoft Sentinel quando si eseguono query sui log in KQL nella pagina Log di Microsoft Sentinel. Per altre informazioni, vedere l'elenco di contenuti ASIM.
Scrivere regole di analisi personalizzate usando ASIM o convertire quelle esistenti.
Abilitare i dati personalizzati per l'uso dell'analisi predefinita scrivendo parser per le origini personalizzate e aggiungendoli al parser agnostico di origine pertinente.
Contenuti correlati
Questo articolo offre una panoramica della normalizzazione in Microsoft Sentinel e ASIM.
Per altre informazioni, vedere: