التسوية ونموذج معلومات الأمان المتقدم (ASIM) (إصدار أولي عام)
يستوعب Microsoft Sentinel البيانات من العديد من المصادر. يتطلب العمل مع أنواع البيانات والجداول المختلفة معاً فهم كل منها، وكتابة واستخدام مجموعات فريدة من البيانات لقواعد التحليلات والمصنفات واستعلامات التتبع لكل نوع أو مخطط.
في بعض الأحيان، ستحتاج إلى قواعد ومصنفات واستعلامات منفصلة، حتى عندما تشترك أنواع البيانات في عناصر مشتركة، مثل أجهزة جدار الحماية. يمكن أن يكون الروابط بين أنواع مختلفة من البيانات أثناء التحقيق والتتبع أمراً صعباً أيضاً.
نموذج معلومات الأمان المتقدم (ASIM) هو طبقة تقع بين هذه المصادر المتنوعة والمستخدم. يتبع ASIM مبدأ القوة: "كن حازمًا في ما ترسله، كن مرناً في ما تقبله". باستخدام مبدأ القوة كنمط تصميم، يحول ASIM بيانات تتبع الاستخدام المصدر الخاصة التي تم جمعها بواسطة Microsoft Sentinel إلى بيانات سهلة الاستخدام لتسهيل التبادل والتكامل.
توفر هذه المقالة نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM) وحالات استخدامه والمكونات الرئيسية.
تلميح
شاهد أيضاً ندوة الإنترنت ASIM أو راجع شرائح مؤتمر ويب.
هام
ASIM في وضع PREVIEW حاليًا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
استخدام ASIM الشائع
يوفر ASIM تجربة سلسة للتعامل مع المصادر المختلفة في طرق العرض الموحدة والخاضعة للتسوية، من خلال توفير الوظائف التالية:
الكشف عن المصادر المشتركة. تعمل قواعد التحليلات التي تمت تسويتها عبر المصادر والأماكن المحلية والسحابة، وتكتشف الهجمات مثل القوة الغاشمة أو السفر المستحيل عبر الأنظمة، بما في ذلك Okta وAWS وAzure.
المحتوى غير محدد المصدر. يتم توسيع تغطية كل من المحتوى المضمن والمخصص باستخدام ASIM تلقائياً إلى أي مصدر يدعم ASIM، حتى إذا تمت إضافة المصدر بعد إنشاء المحتوى. على سبيل المثال، تدعم تحليلات أحداث العملية أي مصدر قد يستخدمه العميل لإحضار البيانات، مثل Microsoft Defender لنقطة النهاية وأحداث Windows وSysmon.
دعم مصادرك المخصصة، في التحليلات المضمنة
سهولة الاستخدام. بعد أن يتعلم المحلل ASIM، تكون كتابة الاستعلامات أبسط بكثير لأن أسماء الحقول هي نفسها دائماً.
ASIM وبيانات تعريف أحداث الأمان مفتوحة المصدر
يتوافق ASIM مع نموذج المعلومات الشائعة لبيانات تعريف أحداث الأمان مفتوحة المصدر (OSSEM)، مما يسمح لارتباط الكيانات القابلة للتنبؤ عبر الجداول التي تمت تسويتها.
OSSEM هو مشروع يقوده المجتمع يركز في المقام الأول على وثائق وتوحيد سجلات أحداث الأمان من مصادر البيانات وأنظمة التشغيل المتنوعة. يوفر المشروع أيضاً وحدة نمطية للمعلومات الشائعة (CIM) يمكن استخدامه لمهندسي البيانات أثناء إجراءات تسوية البيانات للسماح لمحللي الأمان بالاستعلام عن البيانات وتحليلها عبر مصادر بيانات متنوعة.
لمزيدٍ من المعلومات، يُرجى مراجعة الوثائق المرجعية لـ OSSEM.
مكونات ASIM
توضح الصورة التالية كيف يمكن ترجمة البيانات غير العادية إلى محتوى تمت تسويتها واستخدامها في Microsoft Sentinel. على سبيل المثال، يمكنك البدء بجدول مخصص خاص بالمنتج وغير عادي، واستخدام محلل ومخطط تسوية لتحويل هذا الجدول إلى بيانات تمت تسويتها. استخدم بياناتك التي تمت تسويتها في كل من Microsoft والتحليلات المخصصة والقواعد والمصنفات والاستعلامات والمزيد.
ويتضمن ASIM المكونات التالية:
المخططات التي تمت تسويتها
تغطي المخططات التي تمت تسويتها مجموعات قياسية من أنواع الأحداث القابلة للتنبؤ التي يمكنك استخدامها عند إنشاء قدرات موحدة. يعرّف كل مخطط الحقول التي تمثل حدثًا، واصطلاح تسمية عمود معياري، وتنسيق قياسي لقيم الحقل.
يحدد نموذج ASIM حالياً المخططات الآتية:
- حدث التنبيه
- حدث التدقيق
- حدث المصادقة
- نشاط DHCP
- نشاط DNS
- نشاط الملف
- جلسة عمل الشبكة
- حدث العملية
- حدث التسجيل
- إدارة المستخدم
- جلسة عمل الويب
لمزيد من المعلومات، راجع مخططات ASIM.
محللات وقت الاستعلام
يستخدم ASIM محللات وقت الاستعلام لتعيين البيانات الموجودة إلى المخططات التي تمت تسويتها باستخدام وظائف KQL. تتوفر العديد من محللات ASIM خارج الصندوق مع Microsoft Sentinel. يمكن توزيع المزيد من أدوات التحليل وإصدارات أدوات التحليل المضمنة التي يمكن تعديلها من مستودع Microsoft Sentinel GitHub.
لمزيد من المعلومات، راجع أدوات تحليل ASIM.
استيعاب تطبيع الوقت
لدى محللات وقت الاستعلام العديد من المزايا:
- وهي لا تتطلب تعديل البيانات، وبالتالي الحفاظ على تنسيق المصدر.
- نظرا لأنها لا تعدل البيانات، بل تقدم عرضا للبيانات، فمن السهل تطويرها. يمكن تطوير محلل واختباره وإصلاحه على البيانات الموجودة. علاوة على ذلك، يمكن إصلاح المحللات عند اكتشاف مشكلة وسيتم تطبيق الإصلاح على البيانات الموجودة.
من ناحية أخرى، بينما يتم تحسين محللات ASIM، يمكن لتحليل وقت الاستعلام إبطاء الاستعلامات، خاصة على مجموعات البيانات الكبيرة. لحل هذه المشكلة، يكمل Microsoft Sentinel تحليل وقت الاستعلام باستيعاب تحليل الوقت. باستخدام التحويل الذي يتم استيعابه، يتم تسوية الأحداث إلى جدول تمت تسويته، ما يؤدي إلى تسريع الاستعلامات التي تستخدم البيانات التي تمت تسويتها.
حاليا، يدعم ASIM الجداول الأصلية التالية التي تمت تسويتها كوجهة لاستيعاب تسوية الوقت:
- ASimAuditEventLogs لمخطط حدث التدقيق.
- ASimAuthenticationEventLogs لمخطط المصادقة .
- سجلات نشاط ASimDns لمخطط DNS .
- ASimNetworkSessionLogs لمخطط جلسة عمل الشبكة
- ASimWebSessionLogs لمخطط جلسة عمل الويب.
لمزيد من المعلومات، راجع استيعاب تسوية الوقت.
محتوى لكل مخطط تمت تسويته
يتضمن المحتوى الذي يستخدم ASIM الحلول وقواعد التحليلات والمصنفات واستعلامات التتبع والمزيد. يعمل المحتوى لكل مخطط تمت تسويته على أي بيانات تمت تسويتها دون الحاجة إلى إنشاء محتوى خاص بالمصدر.
لمزيد من المعلومات، راجع محتوى ASIM.
بدء استخدام ASIM
لبدء استخدام ASIM:
نشر حل مجال يستند إلى ASIM مثل حل مجال Network Threat Protection Essentials .
تنشيط قوالب قواعد التحليلات التي تستخدم ASIM. لمزيد من المعلومات، راجع قائمة محتوى ASIM.
استخدم استعلامات تتبع ASIM من مستودع Microsoft Sentinel GitHub، عند الاستعلام عن السجلات في KQL في صفحة سجلات Microsoft Sentinel. لمزيد من المعلومات، راجع قائمة محتوى ASIM.
اكتب قواعد التحليلات الخاصة بك باستخدام ASIM أو قم بتحويل القواعد الموجودة.
قم بتمكين بياناتك المخصصة لاستخدام التحليلات المضمنة عن طريق كتابة أدوات تحليل لمصادرك المخصصة وإضافتها إلى محلل المصدر غير المعرف ذي الصلة.
المحتوى ذو الصلة
توفر هذه المقالة نظرة عامة على التسوية في كل من Microsoft Azure Sentinel ونموذج ASIM.
لمزيد من المعلومات، راجع: