Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)
W usłudze Microsoft Sentinel analizowanie i normalizacja są wykonywane w czasie wykonywania zapytań. Analizatory są tworzone jako funkcje zdefiniowane przez użytkownika języka KQL, które przekształcają dane w istniejących tabelach, takich jak CommonSecurityLog, niestandardowe tabele dzienników lub Dziennik systemu, w znormalizowany schemat.
Użytkownicy używają analizatorów advanced Security Information Model (ASIM) zamiast nazw tabel w swoich zapytaniach w celu wyświetlania danych w znormalizowanym formacie i uwzględnienia wszystkich danych istotnych dla schematu w zapytaniu.
Aby zrozumieć, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym
Wiele analizatorów ASIM jest wbudowanych i dostępnych standardowo w każdym obszarze roboczym usługi Microsoft Sentinel. Usługa ASIM obsługuje również wdrażanie analizatorów w określonych obszarach roboczych z usługi GitHub przy użyciu szablonu usługi ARM lub ręcznie. Zarówno standardowe, jak i wdrożone w obszarze roboczym analizatory są funkcjonalnie równoważne, ale mają nieco inne konwencje nazewnicze, o pozwala na współistnienie obu zestawów analizatorów w tym samym obszarze roboczym usługi Microsoft Sentinel.
Każda metoda ma przewagę nad drugą:
| Compare | Wbudowana | Wdrożony obszar roboczy |
|---|---|---|
| Zalety | Istnieje w każdym wystąpieniu usługi Microsoft Sentinel. Można używać z inną wbudowaną zawartością. |
Nowe analizatory są często dostarczane jako analizatory wdrożone w obszarze roboczym. |
| Wady | Nie można bezpośrednio modyfikować przez użytkowników. Mniejsza liczba dostępnych analizatorów. |
Nieużytowane przez wbudowaną zawartość. |
| Kiedy stosować | W większości przypadków potrzebne są analizatory ASIM. | Użyj polecenia podczas wdrażania nowych analizatorów lub w przypadku analizatorów, które nie są jeszcze dostępne. |
Zaleca się używanie wbudowanych analizatorów dla schematów, dla których są dostępne wbudowane analizatory.
Hierarchia analizatora i nazewnictwo
Usługa ASIM zawiera dwa poziomy analizatorów: ujednolicanie analizatorów i analizatorów specyficznych dla źródła. Użytkownik zazwyczaj używa analizatora ujednolicania dla odpowiedniego schematu, zapewniając, że są odpytywane wszystkie dane istotne dla schematu. Ujednolicający analizator z kolei wywołuje analizatory specyficzne dla źródła, aby wykonać rzeczywiste analizowanie i normalizację, która jest specyficzna dla każdego źródła.
Jednocząca nazwa analizatora jest _Im_<schema> dla wbudowanych analizatorów i im<schema> dla wdrożonych analizatorów obszaru roboczego, gdzie <schema> oznacza określony schemat, który obsługuje. Analizatory specyficzne dla źródła mogą być również używane niezależnie. Służy _Im_<schema>_<source> do wbudowanych analizatorów i vim<schema><source> dla wdrożonych analizatorów obszaru roboczego. Na przykład w skoroszycie specyficznym dla programu Infoblox użyj analizatora specyficznego _Im_Dns_InfobloxNIOS dla źródła. Listę analizatorów specyficznych dla źródła można znaleźć na liście analizatorów ASIM.
Napiwek
Odpowiedni zestaw analizatorów, które używają _ASim_<schema> i ASim<Schema> są również dostępne. Analizatory te nie obsługują parametrów filtrowania i są udostępniane w celu wyeliminowania problemu z selektorem czasu ustawionym na niestandardowy zakres . Użyj tych analizatorów tylko interaktywnie na ekranie dzienników, ale nie gdzie indziej, na przykład w regułach analitycznych lub skoroszytach. Te analizatory mogą nie zostać usunięte, gdy problem zostanie rozwiązany.
Napiwek
Wbudowana hierarchia analizatora dodaje warstwę do obsługi dostosowywania. Aby uzyskać więcej informacji, zobacz Zarządzanie analizatorami ASIM.
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Korzystanie z analizatorów ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Zarządzanie analizatorami ASIM
- Lista analizatorów ASIM
Aby uzyskać więcej informacji na temat karty ASIM, zobacz:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)