Os analisadores ASIM (Advanced Security Information Model) (visualização pública)
No Microsoft Sentinel, a análise e a normalização acontecem no momento da consulta. Os analisadores são criados como funções definidas pelo usuário KQL que transformam dados em tabelas existentes, como CommonSecurityLog, tabelas de logs personalizados ou Syslog, no esquema normalizado.
Os usuários usam analisadores ASIM (Advanced Security Information Model) em vez de nomes de tabela em suas consultas para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema em sua consulta.
Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Importante
ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Analisadores do ASIM incorporados e analisadores implementados na área de trabalho
Muitos analisadores do ASIM estão incorporados e prontos a utilizar em todas as áreas de trabalho do Microsoft Sentinel. O ASIM também suporta a implantação de analisadores em espaços de trabalho específicos do GitHub, usando um modelo ARM ou manualmente. Tanto os analisadores prontos a utilizar como os analisadores implementados na área de trabalho são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam na mesma área de trabalho do Microsoft Sentinel.
Cada método tem vantagens sobre o outro:
| Comparar | Incorporada | Espaço de trabalho implantado |
|---|---|---|
| Vantagens | Existem em todas as instâncias do Microsoft Sentinel. Utilizável com outros conteúdos incorporados. |
Novos analisadores geralmente são entregues primeiro como analisadores implantados no espaço de trabalho. |
| Desvantagens | Não pode ser modificado diretamente pelos usuários. Menos analisadores disponíveis. |
Não utilizado por conteúdo incorporado. |
| Quando utilizar | Use na maioria dos casos que você precisa de analisadores ASIM. | Use ao implantar novos analisadores ou para analisadores ainda não disponíveis prontos para uso. |
Recomenda-se o uso de analisadores internos para esquemas para os quais analisadores internos estão disponíveis.
Hierarquia e nomenclatura do analisador
O ASIM inclui dois níveis de analisadores: analisador unificador e analisadores específicos da fonte. O usuário geralmente usa o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema sejam consultados. O analisador unificador , por sua vez, chama analisadores específicos da fonte para executar a análise e normalização reais, que são específicas para cada fonte.
O nome do analisador unificador é _Im_<schema> para analisadores internos e im<schema> para analisadores implantados no espaço de trabalho, onde <schema> significa o esquema específico que ele serve. Os analisadores específicos da fonte também podem ser usados de forma independente. Use _Im_<schema>_<source> para analisadores internos e vim<schema><source> para analisadores implantados no espaço de trabalho. Por exemplo, em uma pasta de trabalho específica do Infoblox, use o analisador específico da _Im_Dns_InfobloxNIOS origem. Você pode encontrar uma lista de analisadores específicos de origem na lista de analisadores ASIM.
Gorjeta
Um conjunto correspondente de analisadores que usam _ASim_<schema> e ASim<Schema> também estão disponíveis. Esses analisadores não suportam parâmetros de filtragem e são fornecidos para ajudar a mitigar o seletor de tempo definido para um problema de intervalo personalizado. Use esses analisadores apenas interativamente na tela de logs, mas não em outro lugar, por exemplo, em regras analíticas ou pastas de trabalho. Esses analisadores não podem ser removidos quando o problema for resolvido.
Gorjeta
A hierarquia interna do analisador adiciona uma camada para dar suporte à personalização. Para obter mais informações, consulte Gerenciando analisadores ASIM.
Próximos passos
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- Gerir analisadores do ASIM
- A lista de analisadores do ASIM
Para mais informações sobre o ASIM, consultar:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)