Usar analisadores ASIM
No Microsoft Sentinel, a análise e a normalização acontecem no momento da consulta. Os analisadores são criados como funções definidas pelo usuário KQL que transformam dados em tabelas existentes, como CommonSecurityLog, tabelas de logs personalizados ou Syslog, no esquema normalizado.
Os usuários usam analisadores ASIM (Advanced Security Information Model) em vez de nomes de tabela em suas consultas para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema em sua consulta.
Analisadores do ASIM incorporados e analisadores implementados na área de trabalho
Muitos analisadores do ASIM estão incorporados e prontos a utilizar em todas as áreas de trabalho do Microsoft Sentinel. O ASIM também suporta a implantação de analisadores em espaços de trabalho específicos do GitHub, usando um modelo ARM ou manualmente. Tanto os analisadores prontos a utilizar como os analisadores implementados na área de trabalho são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam na mesma área de trabalho do Microsoft Sentinel.
Cada método tem vantagens sobre o outro:
| Comparar | Incorporada | Espaço de trabalho implantado |
|---|---|---|
| Vantagens | Existem em todas as instâncias do Microsoft Sentinel. Utilizável com outros conteúdos incorporados. | Novos analisadores geralmente são entregues primeiro como analisadores implantados no espaço de trabalho. |
| Desvantagens | Não pode ser modificado diretamente pelos usuários. Menos analisadores disponíveis. | Não utilizado por conteúdo incorporado. |
| Quando utilizar o | Use na maioria dos casos que você precisa de analisadores ASIM. | Use ao implantar novos analisadores ou para analisadores ainda não disponíveis prontos para uso. |
Recomenda-se o uso de analisadores internos para esquemas para os quais analisadores internos estão disponíveis.
Hierarquia do analisador
O ASIM inclui dois níveis de analisadores: analisador unificador e analisadores específicos da fonte. O usuário geralmente usa o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema sejam consultados. O analisador unificador, por sua vez, chama analisadores específicos da fonte para executar a análise e normalização reais, que são específicas para cada fonte.
O nome do analisador unificador é _Im_Schema para analisadores internos e imSchema para analisadores implantados no espaço de trabalho. Onde Schema significa o esquema específico que ele serve. Os analisadores específicos da fonte também podem ser usados de forma independente. Por exemplo, em uma pasta de trabalho específica do Infoblox, use o analisador específico de origem vimDnsInfobloxNIOS .
Analisadores unificadores
Ao usar o ASIM em suas consultas, use analisadores unificadores para combinar todas as fontes, normalizadas para o mesmo esquema, e consulte-as usando campos normalizados.
Por exemplo, a consulta a seguir usa o analisador DNS unificador interno para consultar eventos DNS usando os campos normalizados ResponseCodeName, SrcIpAddr e TimeGerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
O exemplo usa parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem parâmetros de filtragem ficaria assim:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
A tabela a seguir lista os analisadores unificadores disponíveis:
| Esquema | Analisador unificador |
|---|---|
| Autenticação | imAuthentication |
| Dns | _Im_Dns |
| Evento de arquivo | imFileEvent |
| Sessão de rede | _Im_NetworkSession |
| Evento do processo | imProcessCreate e imProcessTerminate |
| Evento de registo | imRegistry |
| Sessão Web | _Im_WebSession |
Otimizando a análise usando parâmetros
O uso de analisadores pode afetar o desempenho da consulta, principalmente a partir da filtragem dos resultados após a análise. Por esse motivo, muitos analisadores têm parâmetros de filtragem opcionais, que permitem filtrar antes de analisar e melhorar o desempenho da consulta. Com a otimização de consultas e os esforços de pré-filtragem, os analisadores ASIM geralmente oferecem melhor desempenho quando comparados ao não uso da normalização.
Ao invocar o analisador, sempre use os parâmetros de filtragem disponíveis adicionando um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores ASIM.
Cada esquema tem um conjunto padrão de parâmetros de filtragem documentados na documentação relevante do esquema. Os parâmetros de filtragem são totalmente opcionais. Os seguintes esquemas suportam parâmetros de filtragem:
- Autenticação
- DNS
- Sessão de rede
- Sessão Web
Cada esquema que suporta parâmetros de filtragem suporta pelo menos os parâmetros starttime e enttime e usá-los geralmente é crítico para otimizar o desempenho.