Použití analyzátorů ASIM
V Microsoft Sentinelu probíhá analýza a normalizace v době dotazu. Analyzátory jsou vytvořené jako uživatelem definované funkce KQL, které transformují data v existujících tabulkách, jako jsou CommonSecurityLog, vlastní tabulky protokolů nebo Syslog, do normalizovaného schématu.
Uživatelé používají analyzátory ADVANCED Security Information Model (ASIM) místo názvů tabulek v dotazech k zobrazení dat v normalizovaném formátu a zahrnutí všech dat relevantních pro schéma v dotazu.
Integrované analyzátory ASIM a analyzátory nasazené v pracovním prostoru
V každém pracovním prostoru služby Microsoft Sentinel je k dispozici řada integrovaných a předem připravených analyzátorů ASIM. ASIM také podporuje nasazování analyzátorů do konkrétních pracovních prostorů z GitHubu pomocí šablony ARM nebo ručně. Předem připravené analyzátory i analyzátory nasazené v pracovním prostoru jsou funkčně ekvivalentní, ale mají mírně odlišné zásady vytváření názvů, což umožňuje současnou existenci obou sad analyzátorů ve stejném pracovním prostoru služby Microsoft Sentinel.
Každá metoda má oproti druhé výhody:
| Compare | Integrovaný | Nasazený pracovní prostor |
|---|---|---|
| Výhody | Existují v každé instanci Microsoft Sentinelu. Použitelné s jiným předdefinovaný obsah. | Nové analyzátory se často doručují jako první jako analyzátory nasazené v pracovním prostoru. |
| Nevýhody | Uživatele nemůžou přímo upravovat. K dispozici je méně analyzátorů. | Nepoužívá se předdefinovaný obsah. |
| Vhodné použití služby | Používá se ve většině případů, kdy potřebujete analyzátory ASIM. | Používá se při nasazování nových analyzátorů nebo pro analyzátory, které ještě nejsou k dispozici. |
Doporučujeme použít předdefinované analyzátory pro schémata, pro která jsou k dispozici integrované analyzátory.
Hierarchie analyzátoru
ASIM zahrnuje dvě úrovně analyzátorů: sjednocení analyzátoru a analyzátorů specifických pro zdroj. Uživatel obvykle používá sjednocení analyzátoru pro příslušné schéma a zajišťuje, aby se všechna data relevantní pro schéma dotazovala. Sjednocení analyzátoru pak volá analyzátory specifické pro zdroj, aby provedly skutečnou analýzu a normalizaci, což je specifické pro každý zdroj.
Název unifikačního analyzátoru je _Im_Schema pro integrované analyzátory a imSchema pro analyzátory nasazené v pracovním prostoru. Kde schéma je zkratka pro konkrétní schéma, které slouží. Analyzátory specifické pro zdroj lze použít také nezávisle. Například v sešitu specifickém pro Infoblox použijte analyzátor pro zdroj vimDnsInfobloxNIOS .
Sjednocení analyzátorů
Pokud ve svých dotazech používáte ASIM, pomocí sjednocení analyzátorů zkombinujte všechny zdroje, normalizované do stejného schématu a dotazujte se na ně pomocí normalizovaných polí.
Následující dotaz například používá integrovaný analyzátor DNS k dotazování událostí DNS pomocí polí ResponseCodeName, SrcIpAddr a TimeGenerated normald:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
V příkladu se používají parametry filtrování, které zlepšují výkon ASIM. Stejný příklad bez filtrování parametrů by vypadal takto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Následující tabulka obsahuje seznam dostupných analyzátorů sjednocení:
| Schéma | Sjednocení analyzátoru |
|---|---|
| Ověřování | imAuthentication |
| DNS | _Im_Dns |
| Událost souboru | imFileEvent |
| Síťová relace | _Im_NetworkSession |
| Událost procesu | imProcessCreate a imProcessTerminate |
| Událost registru | imRegistry |
| Webová relace | _Im_WebSession |
Optimalizace analýzy pomocí parametrů
Použití analyzátorů může mít vliv na výkon dotazů, a to především z filtrování výsledků po analýze. Z tohoto důvodu má mnoho analyzátorů volitelné parametry filtrování, které umožňují filtrovat před parsováním a zvýšit výkon dotazů. Díky optimalizaci dotazů a předfiltrování analyzátorů ASIM často poskytují lepší výkon v porovnání s tím, že vůbec nepoužíváte normalizaci.
Při vyvolání analyzátoru vždy používejte dostupné parametry filtrování přidáním jednoho nebo více pojmenovaných parametrů, abyste zajistili optimální výkon analyzátorů ASIM.
Každé schéma má standardní sadu parametrů filtrování zdokumentovaných v příslušné dokumentaci schématu. Parametry filtrování jsou zcela volitelné. Následující schémata podporují parametry filtrování:
- Ověřování
- DNS
- Síťová relace
- Webová relace
Každé schéma, které podporuje parametry filtrování, podporuje alespoň parametry starttime a enttime a jejich použití je často důležité pro optimalizaci výkonu.