Средства синтаксического анализа расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)
В Microsoft Sentinel синтаксический анализ и нормализация выполняются во время запроса. Средства синтаксического анализа создаются как определяемые пользователем функции KQL, которые преобразуют в нормализованную схему данные в существующих таблицах, таких как CommonSecurityLog, таблицы пользовательских журналов или syslog.
Пользователи используют расширенную информационную модель безопасности (ASIM) вместо имен таблиц в своих запросах, чтобы просматривать данные в нормализованном формате и включать в запрос все данные, относящиеся к схеме.
Чтобы понять, как средства синтаксического анализа вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.
Важно!
ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Встроенные средства синтаксического анализа анализаторы ASIM и средства синтаксического анализа, развернутые в рабочей области
Многие средства синтаксического анализа ASIM встроены в каждую рабочую область Microsoft Sentinel и не требуют дополнительной установки и настройки. ASIM также поддерживает развертывание средств синтаксического анализа в конкретных рабочих областях из GitHub, с помощью шаблона ARM или вручную. Встроенные средства синтаксического анализа и средства, развернутые в рабочей области, предлагают одинаковые функции, но используют соглашения об именовании с некоторыми различиями, что позволяет использовать оба средства в одной рабочей области Microsoft Sentinel.
У каждого метода есть свои преимущества:
| Сравнение | Встроено | Развернутый в рабочей области |
|---|---|---|
| Преимущества | Существует в каждом экземпляре Microsoft Sentinel. Можно использовать с другим встроенным содержимым. |
Новые средства синтаксического анализа часто сначала предоставляются в версии, развернутой в рабочей области. |
| Недостатки | Не может быть напрямую изменен пользователями. Доступно меньше средств синтаксического анализа. |
Не используется встроенным содержимым. |
| Сценарии использования | Используйте в большинстве случаев, когда требуются средства синтаксического анализа ASIM. | Используйте при развертывании новых средств синтаксического анализа или средств, которые еще не доступны в готовой версии. |
Для схем, для которых доступны встроенные средства синтаксического анализа, рекомендуется использовать эти средства.
Иерархия и именование средства синтаксического анализа
ASIM включает средства синтаксического анализа двух уровней: унифицирующие и связанные с конкретным источником. Пользователь обычно использует унифицирующее средство синтаксического анализа для соответствующей схемы, чтобы запрашивать все данные, относящиеся к схеме. Унифицирующее средство синтаксического анализа, в свою очередь, вызывает средства, связанные с конкретным источником, для выполнения фактического анализа и нормализации в соответствии с особенностями каждого источника.
Для унифицированного средства синтаксического анализа используется имя _Im_<schema> (для встроенных средств синтаксического анализа) или im<schema> (для средств синтаксического анализа, развернутых в рабочей области), где <schema> обозначает конкретную схему, которую обслуживает это средство. Анализаторы, специфичные для источника, также можно использовать независимо. Используйте _Im_<schema>_<source> для встроенных и vim<schema><source> развернутых в рабочей области синтаксического анализа. Например, в книге для источника Infoblox можно применить средство синтаксического анализа _Im_Dns_InfobloxNIOS. Список средств синтаксического анализа для конкретных источников можно найти в списке средств синтаксического анализа ASIM.
Совет
Также доступен соответствующий набор средств синтаксического анализа, использующих _ASim_<schema> и ASim<Schema> . Эти средства синтаксического анализа не поддерживают параметры фильтрации и предоставляются для устранения проблемы с пользовательским диапазоном для средства выбора времени . Используйте эти средства синтаксического анализа только в интерактивном режиме на экране журналов, но не в других местах, например в правилах аналитики или книгах. Эти средства синтаксического анализа не могут быть удалены при устранении проблемы.
Совет
Иерархия встроенных средств синтаксического анализа добавляет слой для поддержки настройки. Дополнительные сведения см. в статье Управление средствами синтаксического анализа ASIM.
Дальнейшие действия
Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:
- Использование анализаторов ASIM
- Разработка пользовательских средств синтаксического анализа ASIM
- Управление анализаторами ASIM
- Список средств синтаксического анализа ASIM
Дополнительные сведения об ASIM см. в следующих статьях:
- Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
- Обзор расширенной информационной модели безопасности (ASIM)
- Схемы расширенной информационной модели безопасности (ASIM)
- Содержимое расширенной информационной модели безопасности (ASIM)