It4us Cyber Security

(11) 94186-1384
ÁREA DO CLIENTE

Advanced Security Information Model – A Padronização Necessária

Advanced Security Information Model

A Torre de Babel dos Logs de Segurança

Um dos maiores problemas em qualquer SIEM é a falta de padronização. Um firewall da marca X chama o endereço IP de origem de “src_ip”, enquanto um proxy da marca Y o chama de “ClientIP”. Tentar criar uma consulta que busque um atacante em todas essas fontes simultaneamente é um pesadelo logístico. Para resolver isso, a Microsoft criou o ASIM (Advanced Security Information Model). O ASIM é uma camada de normalização que traduz dados de diferentes fontes para um idioma comum.

Neste artigo, exploramos como o ASIM permite que o SOC crie detecções universais e como ele simplifica a vida dos analistas ao padronizar o caos dos logs heterogêneos.

Desenvolvimento: Normalização em Tempo de Consulta (Query Time)

O ASIM atua como uma interface entre os dados brutos e o analista. Ele utiliza esquemas padronizados para categorias como Redes, Auditoria de Arquivos, Autenticação e DNS.

1. Detecção Independente de Fornecedor

Com o ASIM, você pode escrever uma regra de detecção para “Ataques de DNS” uma única vez. Como o ASIM normaliza os logs de DNS de Windows Server, Cisco Umbrella, Bind e Infoblox para o mesmo esquema, sua regra funcionará para todos eles simultaneamente. Se amanhã você trocar seu fornecedor de firewall ou proxy, não precisará reescrever suas detecções; basta que o novo log seja mapeado para o esquema ASIM correspondente.

2. Simplificação da Linguagem KQL

O ASIM utiliza funções que agem como tradutores. Em vez de escrever consultas complexas que tentam prever todos os nomes possíveis de colunas, o analista usa o esquema unificado (ex: _Im_Dns). Isso torna o código de detecção mais limpo, fácil de ler e muito menos propenso a erros humanos, aumentando a confiabilidade dos alertas gerados pelo SOC.

3. Hunting (Caça a Ameaças) Global

Durante uma investigação de incidente, a velocidade é crucial. Com o ASIM, um analista de Threat Hunting pode buscar por um IP suspeito em toda a infraestrutura usando um único nome de campo. Isso permite correlacionar rapidamente um acesso VPN com uma atividade de banco de dados e um log de firewall, criando uma linha do tempo precisa do ataque sem perder tempo “traduzindo” dados de sistemas diferentes.

Conclusão: O Poder da Normalização

O ASIM é o herói anônimo do Microsoft Sentinel. Ele transforma uma coleção desconexa de logs em uma base de conhecimento estruturada e poderosa. Ao adotar o modelo de informação avançado, as organizações garantem que seu investimento em segurança seja escalável e que sua equipe gaste tempo analisando ameaças, não corrigindo nomes de colunas em bancos de dados.

A Torre de Babel dos Logs de Segurança

Um dos maiores problemas em qualquer SIEM é a falta de padronização. Um firewall da marca X chama o endereço IP de origem de “src_ip”, enquanto um proxy da marca Y o chama de “ClientIP”. Tentar criar uma consulta que busque um atacante em todas essas fontes simultaneamente é um pesadelo logístico. Para resolver isso, a Microsoft criou o ASIM (Advanced Security Information Model). O ASIM é uma camada de normalização que traduz dados de diferentes fontes para um idioma comum.

Neste artigo, exploramos como o ASIM permite que o SOC crie detecções universais e como ele simplifica a vida dos analistas ao padronizar o caos dos logs heterogêneos.

Desenvolvimento: Normalização em Tempo de Consulta (Query Time)

O ASIM atua como uma interface entre os dados brutos e o analista. Ele utiliza esquemas padronizados para categorias como Redes, Auditoria de Arquivos, Autenticação e DNS.

1. Detecção Independente de Fornecedor

Com o ASIM, você pode escrever uma regra de detecção para “Ataques de DNS” uma única vez. Como o ASIM normaliza os logs de DNS de Windows Server, Cisco Umbrella, Bind e Infoblox para o mesmo esquema, sua regra funcionará para todos eles simultaneamente. Se amanhã você trocar seu fornecedor de firewall ou proxy, não precisará reescrever suas detecções; basta que o novo log seja mapeado para o esquema ASIM correspondente.

2. Simplificação da Linguagem KQL

O ASIM utiliza funções que agem como tradutores. Em vez de escrever consultas complexas que tentam prever todos os nomes possíveis de colunas, o analista usa o esquema unificado (ex: _Im_Dns). Isso torna o código de detecção mais limpo, fácil de ler e muito menos propenso a erros humanos, aumentando a confiabilidade dos alertas gerados pelo SOC.

3. Hunting (Caça a Ameaças) Global

Durante uma investigação de incidente, a velocidade é crucial. Com o ASIM, um analista de Threat Hunting pode buscar por um IP suspeito em toda a infraestrutura usando um único nome de campo. Isso permite correlacionar rapidamente um acesso VPN com uma atividade de banco de dados e um log de firewall, criando uma linha do tempo precisa do ataque sem perder tempo “traduzindo” dados de sistemas diferentes.

Conclusão: O Poder da Normalização

O ASIM é o herói anônimo do Microsoft Sentinel. Ele transforma uma coleção desconexa de logs em uma base de conhecimento estruturada e poderosa. Ao adotar o modelo de informação avançado, as organizações garantem que seu investimento em segurança seja escalável e que sua equipe gaste tempo analisando ameaças, não corrigindo nomes de colunas em bancos de dados.

CONTATO

Fale Conosco

Nossa equipe está pronta para entender suas necessidades e oferecer as melhores soluções em cibersegurança.

 

WhatsApp

(11) 94186-1384

E-mail

[email protected]

Endereço

Av. Juscelino Kubitschek, 2041 - Vila Olímpia - SP

Envie uma mensagem

Leia também