Správa analyzátorů advanced security information model (ASIM) (Public Preview)

Uživatelé advanced Security Information Model (ASIM) používají sjednocení analyzátorů místo názvů tabulek v dotazech k zobrazení dat v normalizovaném formátu a získání všech dat relevantních pro schéma v jednom dotazu. Každý analyzátor sjednocení používá několik analyzátorů specifických pro zdroj, které zpracovávají konkrétní podrobnosti jednotlivých zdrojů.

Informace o tom, jak parsery odpovídají architektuře ASIM, najdete v diagramu architektury ASIM.

Je možné, že budete muset spravovat analyzátory specifické pro zdroj, které každý analyzátor sjednocuje, aby:

• Přidání vlastního analyzátoru specifického pro zdroj do unifikujícího analyzátoru

• Nahraďte předdefinovaný analyzátor specifický pro zdroj, který používá unifikace analyzátoru vlastního analyzátoru specifického pro zdroj. Předdefinované analyzátory nahraďte, když chcete:

  • Použijte verzi integrovaného analyzátoru, který se ve výchozím nastavení používá v unifikačním analyzátoru.

  • Zabránit automatizovaným aktualizacím zachováním verze analyzátoru specifického pro zdroj, který používá unifikující analyzátor.

  • Použijte upravenou verzi integrovaného analyzátoru.

• Nakonfigurujte analyzátor specifický pro zdroj, například pro definování zdrojů, které odesílají informace relevantní pro analyzátor.

Tento článek vás provede správou analyzátorů bez ohledu na to, jestli používáte integrované analyzátory, sjednocení analyzátorů ASIM nebo unifikující analyzátory nasazené v pracovním prostoru.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Požadavky

Postupy v tomto článku předpokládají, že všechny analyzátory specifické pro zdroj jsou již nasazené do vašeho pracovního prostoru Služby Microsoft Sentinel.

Další informace naleznete v tématu Vývoj analyzátorů ASIM.

Správa integrovaných jednotek analyzátorů

Nastavení pracovního prostoru

Uživatelé Služby Microsoft Sentinel nemůžou upravovat integrované unifikující analyzátory. Místo toho pomocí následujících mechanismů upravte chování předdefinovaných unifikačních analyzátorů:

• Pro podporu přidávání analyzátorů specifických pro zdroje používá ASIM sjednocení vlastních analyzátorů. Tyto vlastní analyzátory jsou nasazené v pracovním prostoru, a proto je možné je upravovat. Integrované, sjednocení analyzátorů automaticky vyzvedne tyto vlastní analyzátory, pokud existují.

  Do pracovního prostoru Služby Microsoft Sentinel můžete nasadit počáteční, prázdné, sjednocení vlastních analyzátorů pro všechna podporovaná schémata nebo jednotlivě pro konkrétní schémata. Další informace najdete v tématu Nasazení počátečního prázdného vlastního analyzátoru ASIM v úložišti Microsoft Sentinel Na GitHubu.

• Pro podporu vyloučení předdefinovaných analyzátorů specifických pro zdroj používá ASIM seznam ke zhlédnutí. Nasaďte seznam ke zhlédnutí do pracovního prostoru Microsoft Sentinelu z úložiště GitHub pro Microsoft Sentinel.

• K definování zdrojového typu pro předdefinované a vlastní analyzátory používá ASIM seznam ke zhlédnutí. Nasaďte seznam ke zhlédnutí do pracovního prostoru Microsoft Sentinelu z úložiště GitHub pro Microsoft Sentinel.

Přidání vlastního analyzátoru do integrovaného sjednocovacího analyzátoru

Pokud chcete přidat vlastní analyzátor, vložte řádek do vlastního analyzátoru sjednocení, který bude odkazovat na nový vlastní analyzátor.

Nezapomeňte přidat vlastní analyzátor i vlastní analyzátor bez parametrů. Další informace o úpravách analyzátorů najdete v dokumentových funkcích v dotazech protokolu služby Azure Monitor.

Syntaxe řádku, který se má přidat, se pro každé schéma liší:

Schéma	Syntaktický analyzátor	Řádek pro přidání
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Při přidávání dalšího analyzátoru do unifikujícího vlastního analyzátoru, který již odkazuje na analyzátory, nezapomeňte na konec předchozího řádku přidat čárku.

Například následující kód zobrazí vlastní unifikační analyzátor po přidání added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Použití upravené verze integrovaného analyzátoru

Úprava existujícího integrovaného analyzátoru specifického pro zdroj:

1. Vytvořte vlastní analyzátor založený na původním analyzátoru a přidejte ho do integrovaného analyzátoru.

2. Přidejte záznam do seznamu ke zhlédnutí ASim Disabled Parsers .

3. CallerContext Definujte hodnotu jako Exclude<parser name>, kde <parser name> je název unifikujících analyzátorů, ze kterých chcete analyzátor vyloučit.

4. SourceSpecificParser Definujte hodnotu Exclude<parser name>, kde <parser name>je název analyzátoru, který chcete vyloučit, bez specifikátoru verze.

Pokud chcete například vyloučit analyzátor DNS služby Azure Firewall, přidejte do seznamu ke zhlédnutí následující záznam:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Zabránění automatizované aktualizaci integrovaného analyzátoru

Pokud chcete zabránit automatickým aktualizacím integrovaných analyzátorů specifických pro zdroje, použijte následující postup:

1. Přidejte integrovanou verzi analyzátoru, kterou chcete použít, například _Im_Dns_AzureFirewallV02do vlastního analyzátoru sjednocení. Další informace najdete výše v tématu Přidání vlastního analyzátoru do integrovaného sjednocovacího analyzátoru.

2. Přidejte výjimku pro integrovaný analyzátor. Pokud například chcete úplně vyjádřit výslovný nesouhlas s automatickými aktualizacemi, a proto vyloučit velký počet předdefinovaných analyzátorů, přidejte:

• Záznam s polem Any SourceSpecificParser pro vyloučení všech analyzátorů pro pole CallerContext.
• Záznam pro Any callerContext a SourceSpecificParser pole pro vyloučení všech předdefinovaných analyzátorů.

Další informace najdete v tématu Použití upravené verze integrovaného analyzátoru.

Správa unifikačních analyzátorů nasazených v pracovním prostoru

Přidání vlastního analyzátoru do analyzátoru nasazeného pracovního prostoru

Pokud chcete přidat vlastní analyzátor, vložte řádek do union příkazu v analyzátoru nasazeného v pracovním prostoru, který odkazuje na nový vlastní analyzátor.

Nezapomeňte přidat vlastní analyzátor i vlastní analyzátor bez parametrů. Syntaxe řádku, který se má přidat, se pro každé schéma liší:

Schéma	Syntaktický analyzátor	Řádek pro přidání
Authentication	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Událost souboru	imFileEvent	_parser_name_
Síťová relace	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Událost procesu	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Událost registru	imRegistry	_parser_name_
Webová relace	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Při přidávání dalšího analyzátoru do sjednocujícího analyzátoru nezapomeňte na konec předchozího řádku přidat čárku.

Například následující příklad ukazuje filtrování DNS sjednocení analyzátoru po přidání vlastního added_parserkódu:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Použití upravené verze analyzátoru nasazeného pracovního prostoru

Uživatelé Služby Microsoft Sentinel můžou přímo upravovat analyzátory nasazené v pracovním prostoru. Vytvořte analyzátor založený na originálu, zakomentujte původní verzi a pak přidejte upravenou verzi do analyzátoru unifikace nasazeného pracovního prostoru.

Například následující kód ukazuje filtr DNS, který sjednocuje analyzátor, který nahradil vimDnsAzureFirewall analyzátor upravenou verzí:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Konfigurace zdrojů relevantních pro analyzátor specifický pro zdroj

Některé analyzátory vyžadují, abyste aktualizovali seznam zdrojů, které jsou pro analyzátor relevantní. Například analyzátor, který používá data Syslog, nemusí být schopen určit, jaké události Syslog jsou relevantní pro analyzátor. Takový analyzátor může pomocí Sources_by_SourceType seznamu ke zhlédnutí určit, které zdroje odesílají informace relevantní pro analyzátor. Pro takové analýzy přidejte záznam pro každý relevantní zdroj do seznamu ke zhlédnutí:

• SourceType Nastavte pole na konkrétní hodnotu analyzátoru zadanou v dokumentaci analyzátoru.
• Source Nastavte pole na identifikátor zdroje použitého v událostech. Možná budete muset zadat dotaz na původní tabulku, například Syslog, abyste zjistili správnou hodnotu.

Pokud systém nemá nasazený Sources_by_SourceType seznam ke zhlédnutí, nasaďte tento seznam ke zhlédnutí do pracovního prostoru Microsoft Sentinelu z úložiště GitHub pro Microsoft Sentinel.

Další kroky

Tento článek popisuje správu analyzátorů advanced security information model (ASIM).

Další informace o analyzátorech ASIM:

• Přehled analyzátorů ASIM
• Použití analyzátorů ASIM
• Vývoj vlastních analyzátorů ASIM
• Seznam analyzátorů ASIM

Další informace o ASIM obecně:

• Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
• Přehled rozšířeného modelu informací o zabezpečení (ASIM)
• Schémata advanced Security Information Model (ASIM)
• Obsah rozšířeného modelu informací o zabezpečení (ASIM)