Sdílet prostřednictvím

Analyzátory advanced security information model (ASIM) (Public Preview)

  • Článek

V Microsoft Sentinelu probíhá analýza a normalizace v době dotazu. Analyzátory jsou vytvořené jako uživatelem definované funkce KQL, které transformují data v existujících tabulkách, jako jsou CommonSecurityLog, vlastní tabulky protokolů nebo Syslog, do normalizovaného schématu.

Uživatelé používají analyzátory ADVANCED Security Information Model (ASIM) místo názvů tabulek v dotazech k zobrazení dat v normalizovaném formátu a zahrnutí všech dat relevantních pro schéma v dotazu.

Informace o tom, jak parsery odpovídají architektuře ASIM, najdete v diagramu architektury ASIM.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Integrované analyzátory ASIM a analyzátory nasazené v pracovním prostoru

V každém pracovním prostoru služby Microsoft Sentinel je k dispozici řada integrovaných a předem připravených analyzátorů ASIM. ASIM také podporuje nasazování analyzátorů do konkrétních pracovních prostorů z GitHubu pomocí šablony ARM nebo ručně. Předem připravené analyzátory i analyzátory nasazené v pracovním prostoru jsou funkčně ekvivalentní, ale mají mírně odlišné zásady vytváření názvů, což umožňuje současnou existenci obou sad analyzátorů ve stejném pracovním prostoru služby Microsoft Sentinel.

Každá metoda má oproti druhé výhody:

Compare Integrovaný Nasazený pracovní prostor
Výhody Existují v každé instanci Microsoft Sentinelu.

Použitelné s jiným předdefinovaný obsah.		 Nové analyzátory se často doručují jako první jako analyzátory nasazené v pracovním prostoru.
Nevýhody Uživatele nemůžou přímo upravovat.

K dispozici je méně analyzátorů.		 Nepoužívá se předdefinovaný obsah.
Kdy ho použít Používá se ve většině případů, kdy potřebujete analyzátory ASIM. Používá se při nasazování nových analyzátorů nebo pro analyzátory, které ještě nejsou k dispozici.

Pro schémata, pro která jsou k dispozici integrované analyzátory, doporučujeme použít integrované analyzátory.

Analýza hierarchie a pojmenování

ASIM zahrnuje dvě úrovně analyzátorů: sjednocení analyzátoru a analyzátorů specifických pro zdroj. Uživatel obvykle používá sjednocení analyzátoru pro příslušné schéma a zajišťuje, aby se všechna data relevantní pro schéma dotazovala. Sjednocení analyzátoru pak volá analyzátory specifické pro zdroj, aby provedly skutečnou analýzu a normalizaci, což je specifické pro každý zdroj.

Název unifikovaného analyzátoru je _Im_<schema> určený pro integrované analyzátory a im<schema> pro pracovní prostory nasazené analyzátory, kde <schema> je zkratka pro konkrétní schéma, které slouží. Analyzátory specifické pro zdroj lze použít také nezávisle. Používá se _Im_<schema>_<source> pro integrované analyzátory a vim<schema><source> pro analyzátory nasazené v pracovním prostoru. Například v sešitu specifickém _Im_Dns_InfobloxNIOS pro infoblox použijte analyzátor specifický pro zdroj. Seznam analyzátorů specifických pro zdroj najdete v seznamu analyzátorů ASIM.

Tip

Odpovídající sada analyzátorů, které používají _ASim_<schema> a ASim<Schema> jsou také k dispozici. Analyzátory nepodporují parametry filtrování a poskytují se, aby se zmírnit problém s výběrem času nastaveným na vlastní rozsah . Tyto analyzátory používejte jenom interaktivně na obrazovce protokolů, ale ne jinde, například v analytických pravidlech nebo sešitech. Tyto analyzátory nemusí být při řešení problému odebrány.

Tip

Integrovaná hierarchie analyzátoru přidá vrstvu pro podporu přizpůsobení. Další informace naleznete v tématu Správa analyzátorů ASIM.

Další kroky

Další informace o analyzátorech ASIM:

Další informace o ASIM obecně najdete tady: