Os analisadores do ASIM (Modelo de Informações de Segurança Avançado) (Visualização pública)
No Microsoft Sentinel, a análise e a normalização acontecem no momento da consulta. Os analisadores são criados como funções KQL definidas pelo usuário que transformam dados de tabelas existentes, como CommonSecurityLog, tabelas de logs personalizadas ou Syslog, em esquema normalizado.
Os usuários usam os analisadores do ASIM (Modelo de Informações de Segurança Avançado), em vez de nomes de tabela nas consultas, para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema na consulta.
Para entender como os analisadores se encaixam na arquitetura do ASIM, consulte o diagrama de arquitetura do ASIM.
Importante
O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Analisadores do ASIM integrados e analisadores implantados no espaço de trabalho
Muitos analisadores do ASIM são integrados e de operações imediata em cada espaço de trabalho do Microsoft Sentinel. O ASIM também dá suporte à implantação de analisadores em espaço de trabalho específicos do GitHub, usando um modelo do ARM ou manualmente. Os analisadores de operações imediata e implantados no espaço de trabalho são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam no mesmo espaço de trabalho do Microsoft Sentinel.
Cada método tem vantagens em relação ao outro:
Comparar | Interno | Espaço de trabalho implantado |
---|---|---|
Vantagens | Existem em todas as instâncias do Microsoft Sentinel. Acessível com outro conteúdo integrado. |
Novos analisadores geralmente são entregues primeiro como analisadores implantados no espaço de trabalho. |
Desvantagens | Não pode ser modificado diretamente pelos usuários. Menos analisadores disponíveis. |
Não usado pelo conteúdo integrado. |
Quando usar | Use na maioria dos casos em que você precisa de analisadores ASIM. | Use ao implantar novos analisadores ou para analisadores que ainda não estão disponíveis. |
Recomenda-se usar analisadores internos para esquemas aos quais os analisadores internos estão disponíveis.
Hierarquia e nomenclatura do analisador
O ASIM inclui dois níveis de analisadores: analisador unificador e analisadores específicos da origem. O usuário geralmente usa o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema são consultados. O analisador unificador, por sua vez, chama os analisadores específicos da origem para executar a análise e a normalização reais, que é específica para cada fonte.
O nome do analisador unificado é _Im_<schema>
para analisadores integrados e im<schema>
analisadores implantados no espaço de trabalho, em que <schema>
significa o esquema específico que ele atende. Os analisadores específicos da origem também podem ser usados de maneira independente. Use _Im_<schema>_<source>
para analisadores integrados e vim<schema><source>
para analisadores implantados no espaço de trabalho Por exemplo, em uma pasta de trabalho específica do Infoblox, use o analisador específico _Im_Dns_InfobloxNIOS
da origem. Você pode encontrar uma lista dos analisadores específicos da origem na Lista dos analisadores do ASIM.
Dica
Um conjunto correspondente de analisadores que usam _ASim_<schema>
e ASim<Schema>
também estão disponíveis. Os analisadores de teses não dão suporte a parâmetros de filtragem e são fornecidos para ajudar a atenuar o problema Seletores de tempo definidos para um intervalo personalizado . Use esses analisadores apenas interativamente na tela de logs, mas não em outro lugar, por exemplo, em regras analíticas ou pastas de trabalho. Esses analisadores podem não ser removidos quando o problema é resolvido.
Dica
A hierarquia interna do analisador adiciona uma camada para dar suporte à personalização. Para obter mais informações, confira como gerenciar analisadores do ASIM.
Próximas etapas
Saiba mais sobre analisadores do ASIM:
- Usar analisadores do ASIM
- Desenvolver analisadores do ASIM privados
- Gerenciar analisadores do ASIM
- A lista de analisadores do ASIM
Para obter mais informações sobre o ASIM, em geral, consulte:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
- Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
- Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)