Utiliser des analyseurs ASIM
Dans Microsoft Sentinel, l’analyse et la normalisation se produisent au moment de la requête. Les analyseurs sont créés en tant que fonctions définies par l’utilisateur KQL qui transforment les données des tables existantes, telles que CommonSecurityLog, les tables de journaux personnalisées ou Syslog, dans le schéma normalisé.
Les utilisateurs se servent des analyseurs de l’Advanced SIEM Information Model (ASIM) au lieu des noms de table dans leurs requêtes pour voir les données dans un format normalisé et ajouter toutes les données correspondant au schéma dans votre requête.
Analyseurs ASIM intégrés et analyseurs déployés par l’espace de travail
De nombreux analyseurs ASIM sont intégrés et prêts à l’emploi dans chaque espace de travail Microsoft Sentinel. ASIM prend également en charge le déploiement d’analyseurs sur des espaces de travail spécifiques de GitHub, à partir d’un modèle ARM ou manuellement. Les analyseurs prêts à l’emploi et les analyseurs déployés par l’espace de travail sont fonctionnellement équivalents, mais ont des conventions de nommage légèrement différentes, ce qui permet aux deux ensembles d’analyseurs de coexister dans le même espace de travail Microsoft Sentinel.
Chaque méthode a des avantages par rapport à l’autre :
| Comparer | Intégré | Déployé par l’espace de travail |
|---|---|---|
| Avantages | Existe dans chaque instance Microsoft Sentinel. Utilisable avec un autre contenu intégré. | Les nouveaux analyseurs sont souvent livrés d’abord comme des analyseurs déployés par l’espace de travail. |
| Inconvénients | Ne peuvent pas être modifiés directement par les utilisateurs. Moins d’analyseurs disponibles. | Non utilisé par le contenu intégré. |
| Quand l’utiliser | Dans la plupart des cas où vous avez besoin d’analyseurs ASIM. | Pendant le déploiement de nouveaux analyseurs ou pour les analyseurs qui ne sont pas encore disponibles prêts à l’emploi. |
Il est recommandé d’utiliser des analyseurs intégrés pour les schémas pour lesquels les analyseurs intégrés sont disponibles.
Hiérarchie des analyseurs
ASIM comprend deux niveaux d’analyseurs : les analyseurs d’unification et les analyseurs spécifiques de la source. L’utilisateur se sert généralement de l’analyseur d’unification pour le schéma correspondant, garantissant l’interrogation de toutes les données correspondant au schéma. À son tour, l’analyseur d’unification appelle des analyseurs spécifiques de la source pour effectuer l’analyse et la normalisation réelles, qui sont spécifiques pour chaque source.
Le nom de l’analyseur d’unification est _Im_Schema pour les analyseurs intégrés et imSchema pour les analyseurs déployés par l’espace de travail. Où Schema signifie le schéma spécifique qu’il sert. Les analyseurs spécifiques à la source peuvent également être utilisés indépendamment. Par exemple, dans un workbook propre à Infoblox, utilisez l’analyseur spécifique à la source vimDnsInfobloxNIOS.
Analyseurs d’unification
Quand vous utilisez ASIM dans vos requêtes, utilisez des analyseurs d’unification pour combiner toutes les sources, normalisées sur le même schéma, et les interroger en utilisant des champs normalisés.
Par exemple, la requête suivante utilise l’analyseur DNS d’unification intégré pour interroger les événements DNS en utilisant les champs normalisés ResponseCodeName, SrcIpAddr et TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
L’exemple utilise des paramètres de filtrage, qui améliorent les performances ASIM. Le même exemple sans filtrage des paramètres se présente comme suit :
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Le tableau suivant répertorie les analyseurs d’unification disponibles :
| schéma | Analyseurs d’unification |
|---|---|
| Authentification | imAuthentication |
| DNS | _Im_Dns |
| Événement de fichier | imFileEvent |
| Session réseau | _Im_NetworkSession |
| Événement de processus | imProcessCreate et imProcessTerminate |
| Événement du Registre | imRegistry |
| Session web | _Im_WebSession |
Optimisation de l’analyse à l’aide de paramètres
L’utilisation d’analyseurs peut impacter les performances de vos requêtes, principalement par le filtrage des résultats après l’analyse. Pour cette raison, de nombreux analyseurs ont des paramètres de filtrage facultatifs qui vous permettent de filtrer avant d’analyser et d’améliorer les performances des requêtes. Avec l’optimisation des requêtes et les efforts de préfiltrage, les analyseurs ASIM offrent souvent de meilleures performances par rapport aux cas où la normalisation n’est pas du tout utilisée.
Lors de l’appel de l’analyseur, utilisez toujours les paramètres de filtrage disponibles en ajoutant un ou plusieurs paramètres nommés pour garantir des performances optimales des analyseurs ASIM.
Chaque schéma a un ensemble standard de paramètres de filtrage documentés dans la documentation de schéma appropriée. Les paramètres de filtrage sont entièrement facultatifs. Les schémas suivants prennent en charge les paramètres de filtrage :
- Authentification
- DNS
- Session réseau
- Session web
Chaque schéma qui prend en charge les paramètres de filtrage prend au moins en charge les paramètres starttime et endtime, qui sont souvent essentiels pour optimiser les performances.