Administración de analizadores del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)

Los usuarios del Modelo avanzado de información de seguridad (ASIM) usan analizadores unificadores en lugar de nombres de tabla en sus consultas para ver los datos en un formato normalizado y obtener todos los datos pertinentes para el esquema en una sola consulta. Cada analizador unificado usa varios analizadores específicos del origen que controlan los detalles específicos de cada origen.

Para entender cómo encajan los analizadores en la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.

Es posible que tenga que administrar los analizadores específicos del origen que usa cada analizador unificador para lo siguiente:

• Agregar un analizador personalizado específico del origen a un analizador unificado.

• Reemplazar un analizador integrado específico del origen que usa un analizador unificado con un analizador personalizado específico del origen. Reemplace los analizadores integrados cuando quiera:

  • Usar una versión del analizador integrado que no sea la predeterminada en el analizador unificado.

  • Evitar las actualizaciones automatizadas conservando la versión del analizador específico del origen que usa el analizador unificado.

  • Usar una versión modificada de un analizador integrado.

• Configure un analizador específico del origen, por ejemplo, para definir los orígenes que envían información relevante para el analizador.

Este artículo le guía por la administración de los analizadores, ya sea mediante analizadores de ASIM integrados, unificados o analizadores unificados implementados por el área de trabajo.

Importante

ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos

En los procedimientos de este artículo se supone que todos los analizadores específicos del origen ya se han implementado en el área de trabajo de Microsoft Sentinel.

Para más información, vea Desarrollo de analizadores de ASIM.

Administración de analizadores unificados integrados

Configurar el área de trabajo

Los usuarios de Microsoft Sentinel no pueden editar analizadores unificados integrados. En su lugar, use los mecanismos siguientes para modificar el comportamiento de los analizadores unificados integrados:

• Para admitir la adición de analizadores específicos del origen, ASIM usa analizadores unificados y personalizados. Estos analizadores personalizados se implementan en el área de trabajo y, por tanto, se pueden editar. Los analizadores unificados integrados adoptan automáticamente estos analizadores personalizados, si existen.

  Puede implementar analizadores unificados personalizados iniciales, vacíos y en el área de trabajo de Microsoft Sentinel para todos los esquemas admitidos o de manera individual para esquemas específicos. Para más información, vea Implementación de analizadores de unificación personalizados vacíos de ASIM iniciales en el repositorio de Microsoft Sentinel en GitHub.

• Para admitir la exclusión de analizadores específicos de origen integrados, ASIM usa una lista de reproducción. Implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio GitHub de Microsoft Sentinel.

• Para definir el tipo de origen para los analizadores integrados y personalizados, ASIM usa una lista de reproducción. Implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio GitHub de Microsoft Sentinel.

Adición de un analizador personalizado a un analizador unificado integrado

Para agregar un analizador personalizado, inserte una línea en el analizador de unificación personalizado para hacer referencia al nuevo analizador personalizado.

Asegúrese de agregar un analizador personalizado de filtrado y un analizador personalizado sin parámetros. Para más información sobre cómo editar analizadores, consulte el documento Funciones en consultas de registro de Azure Monitor.

La sintaxis de la línea que se va a agregar es diferente para cada esquema:

Schema	Analizador	Línea para agregar
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Al agregar un analizador adicional a un analizador personalizado unificado que ya hace referencia a analizadores, asegúrese de agregar una coma al final de la línea anterior.

Por ejemplo, en el código siguiente se muestra un analizador de unificación personalizado después de haber agregado added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Uso de una versión modificada de un analizador integrado

Para modificar un analizador existente integrado y específico del origen:

1. Cree un analizador personalizado basado en el analizador original y agréguelo al analizador integrado.

2. Agregue un registro a la lista de reproducción ASim Disabled Parsers.

3. Defina el valor de CallerContext como Exclude<parser name>, donde <parser name> es el nombre de los analizadores de unificación de los que quiere excluir el analizador.

4. Defina el valor de SourceSpecificParser como Exclude<parser name>, donde <parser name> es el nombre del analizador que quiere excluir, sin especificador de versión.

Por ejemplo, para excluir el analizador DNS de Azure Firewall, agregue el registro siguiente a la lista de reproducción:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Impedir una actualización automatizada de un analizador integrado

Use el proceso siguiente a fin de evitar actualizaciones automáticas para analizadores integrados específicos del origen:

1. Agregue la versión del analizador integrado que quiere usar, como _Im_Dns_AzureFirewallV02, al analizador unificado personalizado. Para más información, vea Adición de un analizador personalizado a un analizador unificado integrado más arriba.

2. Agregue una excepción para el analizador integrado. Por ejemplo, si quiere rechazar completamente las actualizaciones automáticas y, por tanto, excluir un gran número de analizadores integrados, agregue lo siguiente:

• Un registro con Any como campo SourceSpecificParser, para excluir todos los analizadores de CallerContext.
• Un registro para Any en CallerContext y los campos SourceSpecificParser para excluir todos los analizadores integrados.

Para más información, vea Uso de una versión modificada de un analizador integrado.

Administración de analizadores unificados implementados por el área de trabajo

Adición de un analizador personalizado a un analizador unificado implementado por el área de trabajo

Para agregar un analizador personalizado, inserte una línea en la instrucción union del analizador unificado implementado por el área de trabajo que hace referencia al nuevo analizador personalizado.

Asegúrese de agregar un analizador personalizado de filtrado y un analizador personalizado sin parámetros. La sintaxis de la línea que se va a agregar es diferente para cada esquema:

Schema	Analizador	Línea para agregar
Autenticación	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Evento de archivo	imFileEvent	_parser_name_
Sesión de red	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Evento de proceso	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Evento del Registro	imRegistry	_parser_name_
Sesión web	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Al agregar un analizador adicional a un analizador unificado, asegúrese de agregar una coma al final de la línea anterior.

Por ejemplo, en el ejemplo siguiente se muestra el analizador de unificación de filtrado de DNS, después de haber agregado el elemento added_parser personalizado:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Uso de una versión modificada de un analizador implementado por el área de trabajo

Los usuarios de Microsoft Sentinel pueden modificar directamente los analizadores implementados por el área de trabajo. Cree un analizador basado en el original, convierta en comentario el original y agregue la versión modificada al analizador unificado implementado por el área de trabajo.

Por ejemplo, en el código siguiente se muestra un analizador unificado de filtrado de DNS, que ha reemplazado el analizador vimDnsAzureFirewall por una versión modificada:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Configuración de los orígenes pertinentes para un analizador específico del origen

Algunos analizadores requieren que actualice la lista de orígenes que son relevantes para el analizador. Por ejemplo, un analizador que usa datos de Syslog puede no ser capaz de determinar qué eventos de Syslog son relevantes para el analizador. Este analizador puede usar la lista de reproducción Sources_by_SourceType para determinar qué orígenes envían información relevante para el analizador. Para estos análisis, agregue un registro para cada origen pertinente a la lista de reproducción:

• Establezca el campo SourceType en el valor específico del analizador especificado en la documentación del analizador.
• Establezca el campo Source en el identificador del origen utilizado en los eventos. Es posible que tenga que consultar la tabla original, como Syslog, para determinar el valor correcto.

Si el sistema no tiene implementada la lista de reproducción Sources_by_SourceType, impleméntela en el área de trabajo de Microsoft Sentinel desde el repositorio de GitHub de Microsoft Sentinel.

Pasos siguientes

En este artículo se describe la administración de analizadores del Modelo avanzado de información de seguridad (ASIM).

Más información sobre los analizadores de ASIM:

• Introducción a los analizadores de ASIM
• Uso de analizadores de ASIM
• Desarrollo de analizadores de ASIM personalizados
• La lista de analizadores de ASIM

Obtenga más información sobre ASIM en general:

• Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
• Introducción al Modelo avanzado de información de seguridad (ASIM)
• Esquemas del Modelo avanzado de información de seguridad (ASIM)
• Contenido del Modelo avanzado de información de seguridad (ASIM)