Sdílet prostřednictvím


Použití modelu ASIM (Advanced Security Information Model) (Public Preview)

K zobrazení dat v normalizovaném formátu a zahrnutí všech dat relevantních pro schéma do dotazu použijte analyzátory ADVANCED Security Information Model (ASIM) místo názvů tabulek v dotazech služby Microsoft Sentinel. V následující tabulce najdete relevantní analyzátor pro každé schéma.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.

Sjednocení analyzátorů

Pokud ve svých dotazech používáte ASIM, pomocí sjednocujících analyzátorů zkombinujte všechny zdroje, normalizované do stejného schématu a dotazujte se na ně pomocí normalizovaných polí. Název sjednocujícího analyzátoru je _Im_<schema> pro předdefinované analyzátory a im<schema> pro nasazené analyzátory pracovního prostoru, kde je zkratkou pro konkrétní schéma, které <schema> slouží.

Například následující dotaz používá integrovaný sjednocovací analyzátor DNS k dotazování událostí DNS pomocí ResponseCodeNamenormalizovaných polí , SrcIpAddra TimeGenerated :

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

V příkladu se používají parametry filtrování, které zlepšují výkon ASIM. Stejný příklad bez parametrů filtrování by vypadal takto:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Poznámka

Při použití analyzátorů ASIM na stránce Protokoly je selektor časového rozsahu nastavený na customhodnotu . Časový rozsah můžete přesto nastavit sami. Případně můžete zadat časový rozsah pomocí parametrů analyzátoru.

Následující tabulka uvádí dostupné sjednocující analyzátory:

Schéma Unifying parser
Událost auditu _Im_AuditEvent
Authentication imAuthentication
Dns _Im_Dns
Událost souboru imFileEvent
Síťová relace _Im_NetworkSession
Událost procesu – imProcessVytvořit
– imProcessTerminate
Událost registru imRegistry
Webová relace _Im_WebSession

Optimalizace parsování pomocí parametrů

Použití analyzátorů může mít vliv na výkon dotazů, především kvůli filtrování výsledků po parsování. Z tohoto důvodu má mnoho analyzátorů volitelné parametry filtrování, které umožňují filtrovat před parsováním a zvýšit výkon dotazů. Díky optimalizaci dotazů a úsilí o předběžné filtrování poskytují analyzátory ASIM často lepší výkon v porovnání s nepoužíváním normalizace vůbec.

Při vyvolání analyzátoru vždy používejte dostupné parametry filtrování přidáním jednoho nebo více pojmenovaných parametrů, aby se zajistil optimální výkon analyzátorů ASIM.

Každé schéma má standardní sadu parametrů filtrování zdokumentovanou v dokumentaci k příslušnému schématu. Parametry filtrování jsou zcela volitelné. Následující schémata podporují parametry filtrování:

Každé schéma, které podporuje parametry filtrování, podporuje alespoň starttime parametry a a endtime jejich použití je často důležité pro optimalizaci výkonu.

Příklad použití analyzátorů filtrování najdete v tématu Sjednocení analyzátorů výše.

Parametr balíčku

Aby byla zajištěna efektivita, analyzátory udržují pouze normalizovaná pole. Pole, která nejsou normalizována, mají v kombinaci s jinými zdroji menší hodnotu. Některé analyzátory podporují parametr balíčku . Pokud je parametr balíčku nastavený na truehodnotu , analyzátor zabalí další data do dynamického pole AdditionalFields .

Analyzátory se seznamem článků s poznámkami, které podporují parametr balíčku.

Další kroky

Další informace o analyzátorech ASIM:

Další informace o ASIM obecně: