Sdílet prostřednictvím


Analyzátory ADVANCED Security Information Model (ASIM) (Public Preview)

Ve službě Microsoft Sentinel probíhá analýza a normalizace v době dotazu. Analyzátory jsou vytvořené jako uživatelem definované funkce KQL , které transformují data v existujících tabulkách, jako je CommonSecurityLog, vlastní tabulky protokolů nebo Syslog, do normalizovaného schématu.

Uživatelé místo názvů tabulek ve svých dotazech používají analyzátory ADVANCED Security Information Model (ASIM) k zobrazení dat v normalizovaném formátu a k zahrnutí všech dat relevantních pro schéma do dotazu.

Informace o tom, jak se analyzátory hodí do architektury ASIM, najdete v diagramu architektury ASIM.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.

Integrované analyzátory ASIM a analyzátory nasazené v pracovním prostoru

V každém pracovním prostoru služby Microsoft Sentinel je k dispozici řada integrovaných a předem připravených analyzátorů ASIM. ASIM také podporuje nasazení analyzátorů do konkrétních pracovních prostorů z GitHubu pomocí šablony ARM nebo ručně. Předem připravené analyzátory i analyzátory nasazené v pracovním prostoru jsou funkčně ekvivalentní, ale mají mírně odlišné zásady vytváření názvů, což umožňuje současnou existenci obou sad analyzátorů ve stejném pracovním prostoru služby Microsoft Sentinel.

Každá metoda má oproti druhé výhody:

Porovnání Integrované Nasazený pracovní prostor
Výhody Existují v každé instanci služby Microsoft Sentinel.

Použitelné s jiným integrovaným obsahem.
Nové analyzátory se často doručují jako první jako analyzátory nasazené v pracovním prostoru.
Nevýhody Uživatelé je nemůžou přímo upravovat.

K dispozici je méně analyzátorů.
Nepoužívá se v integrovaném obsahu.
Kdy použít Ve většině případů použijte analyzátory ASIM. Použijte při nasazování nových analyzátorů nebo pro analyzátory, které ještě nejsou k dispozici.

Pro schémata, pro která jsou k dispozici předdefinované analyzátory, se doporučuje používat integrované analyzátory.

Analýza hierarchie a pojmenování

ASIM obsahuje dvě úrovně analyzátorů: sjednocující analyzátor a analyzátory specifické pro zdroj . Uživatel obvykle používá sjednocující analyzátor pro příslušné schéma a zajišťuje, aby se dotazovala všechna data související se schématem. Unifikační analyzátor zase volá analyzátory specifické pro zdroj, aby provedly skutečnou analýzu a normalizaci, což je specifické pro každý zdroj.

Název sjednocujícího analyzátoru je _Im_<schema> pro předdefinované analyzátory a im<schema> pro nasazené analyzátory pracovního prostoru, kde je zkratkou pro konkrétní schéma, které <schema> slouží. Analyzátory specifické pro zdroje je také možné použít nezávisle. Slouží _Im_<schema>_<source> pro předdefinované analyzátory a vim<schema><source> pro analyzátory nasazené v pracovním prostoru. Například v sešitu specifickém pro Infoblox použijte _Im_Dns_InfobloxNIOS analyzátor specifický pro zdroj. Seznam analyzátorů specifických pro zdroje najdete v seznamu analyzátorů ASIM.

Tip

Odpovídající sada analyzátorů, které používají _ASim_<schema> a ASim<Schema> jsou také k dispozici. Tyto analyzátory nepodporují parametry filtrování a pomáhají zmírnit problém s výběrem času nastaveným na vlastní rozsah . Tyto analyzátory používejte pouze interaktivně na obrazovce protokolů, ale ne jinde, například v analytických pravidlech nebo sešitech. Tento analyzátor nemusí být odebrán, jakmile se problém vyřeší.

Tip

Integrovaná hierarchie analyzátoru přidává vrstvu, která podporuje přizpůsobení. Další informace najdete v tématu Správa analyzátorů ASIM.

Další kroky

Další informace o analyzátorech ASIM:

Další informace o ASIM obecně najdete tady: