Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)
Użyj analizatorów Advanced Security Information Model (ASIM) zamiast nazw tabel w zapytaniach usługi Microsoft Sentinel, aby wyświetlić dane w znormalizowanym formacie i uwzględnić wszystkie dane istotne dla schematu w zapytaniu. Zapoznaj się z poniższą tabelą, aby znaleźć odpowiedni analizator dla każdego schematu.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.
Ujednolicanie analizatorów
W przypadku korzystania z karty ASIM w zapytaniach użyj ujednolicających analizatorów , aby połączyć wszystkie źródła, znormalizowane do tego samego schematu i wykonywać zapytania względem nich przy użyciu znormalizowanych pól. Jednokrotna nazwa analizatora jest _Im_<schema> przeznaczona dla wbudowanych analizatorów i im<schema> dla wdrożonych analizatorów obszaru roboczego, gdzie oznacza określony schemat, który <schema> obsługuje.
Na przykład następujące zapytanie używa wbudowanego konsolidatora DNS do wykonywania zapytań dotyczących zdarzeń DNS przy użyciu ResponseCodeNamepól , SrcIpAddri TimeGenerated znormalizowanych:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W przykładzie użyto parametrów filtrowania, które zwiększają wydajność karty ASIM. Ten sam przykład bez filtrowania parametrów wygląda następująco:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Uwaga
W przypadku korzystania z analizatorów ASIM na stronie Dzienniki selektor zakresu czasu jest ustawiony na customwartość . Nadal możesz ustawić zakres czasu samodzielnie. Alternatywnie określ zakres czasu przy użyciu parametrów analizatora.
W poniższej tabeli wymieniono dostępne ujednolicające analizatory:
| Schemat | Ujednolicanie analizatora |
|---|---|
| Zdarzenie inspekcji | _Im_AuditEvent |
| Authentication | imAuthentication |
| Dns | _Im_Dns |
| Zdarzenie pliku | imFileEvent |
| Sesja sieciowa | _Im_NetworkSession |
| Zdarzenie procesu | — imProcessTworzenie - imProcessTerminate |
| Zdarzenie rejestru | imRegistry |
| Sesja sieci Web | _Im_WebSession |
Optymalizowanie analizowania przy użyciu parametrów
Użycie analizatorów może mieć wpływ na wydajność zapytań, przede wszystkim od filtrowania wyników po przeanalizowaniu. Z tego powodu wiele analizatorów ma opcjonalne parametry filtrowania, które umożliwiają filtrowanie przed analizowaniem i zwiększanie wydajności zapytań. W przypadku optymalizacji zapytań i wstępnego filtrowania analizatory ASIM często zapewniają lepszą wydajność w porównaniu do braku normalizacji w ogóle.
Podczas wywoływania analizatora zawsze używaj dostępnych parametrów filtrowania, dodając co najmniej jeden nazwany parametr, aby zapewnić optymalną wydajność analizatorów ASIM.
Każdy schemat ma standardowy zestaw parametrów filtrowania udokumentowanych w odpowiedniej dokumentacji schematu. Parametry filtrowania są całkowicie opcjonalne. Następujące schematy obsługują parametry filtrowania:
Każdy schemat obsługujący parametry filtrowania obsługuje co najmniej starttime parametry i i endtime i jest często krytyczny dla optymalizacji wydajności.
Aby zapoznać się z przykładem używania analizatorów filtrowania, zobacz Ujednolicanie analizatorów powyżej.
Parametr pakietu
Aby zapewnić wydajność, analizatory zachowują tylko znormalizowane pola. Pola, które nie są znormalizowane, mają mniejszą wartość w połączeniu z innymi źródłami. Niektóre analizatory obsługują parametr pakietu . Gdy parametr pakietu jest ustawiony na truewartość , analizator spakuje dodatkowe dane do pola dynamicznego AdditionalFields .
Analizatory listy notatek artykułu, które obsługują parametr pakietu.
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Omówienie analizatorów ASIM
- Zarządzanie analizatorami ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Lista analizatorów ASIM
Dowiedz się więcej na temat ogólnej karty ASIM:
- Obejrzyj seminarium internetowe Szczegółowe informacje na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zaawansowana zawartość modelu informacji o zabezpieczeniach (ASIM)