Использование анализаторов ASIM
В Microsoft Sentinel синтаксический анализ и нормализация выполняются во время запроса. Средства синтаксического анализа создаются как определяемые пользователем функции KQL, которые преобразуют в нормализованную схему данные в существующих таблицах, таких как CommonSecurityLog, таблицы пользовательских журналов или Syslog.
Пользователи используют расширенную информационную модель безопасности (ASIM) вместо имен таблиц в своих запросах, чтобы просматривать данные в нормализованном формате и включать в запрос все данные, относящиеся к схеме.
Встроенные средства синтаксического анализа анализаторы ASIM и средства синтаксического анализа, развернутые в рабочей области
Многие средства синтаксического анализа ASIM встроены в каждую рабочую область Microsoft Sentinel и не требуют дополнительной установки и настройки. ASIM также поддерживает развертывание средств синтаксического анализа в конкретных рабочих областях из GitHub, с помощью шаблона ARM или вручную. Встроенные средства синтаксического анализа и средства, развернутые в рабочей области, предлагают одинаковые функции, но используют соглашения об именовании с некоторыми различиями, что позволяет использовать оба средства в одной рабочей области Microsoft Sentinel.
У каждого метода есть свои преимущества:
| Сравнить | Встроенный | Развернутый в рабочей области |
|---|---|---|
| Достоинства | Существует в каждом экземпляре Microsoft Sentinel. Можно использовать с другим встроенным содержимым. | Новые средства синтаксического анализа часто сначала предоставляются в версии, развернутой в рабочей области. |
| Недостатки | Прямое изменение пользователями невозможно. Доступно меньше средств синтаксического анализа. | Не используется встроенным содержимым. |
| Когда использовать | Используйте в большинстве случаев, когда требуются средства синтаксического анализа ASIM. | Используйте при развертывании новых средств синтаксического анализа или средств, которые еще не доступны в готовой версии. |
Рекомендуется использовать встроенные анализаторы для тех схем, для которых они доступны.
Иерархия средств синтаксического анализа
ASIM включает средства синтаксического анализа двух уровней: унифицирующие и связанные с конкретным источником. Пользователь обычно использует унифицирующее средство синтаксического анализа для соответствующей схемы, чтобы запрашивать все данные, относящиеся к схеме. Унифицирующее средство синтаксического анализа, в свою очередь, вызывает средства, связанные с конкретным источником, для выполнения фактического анализа и нормализации в соответствии с особенностями каждого источника.
Для встроенных анализаторов объединяющий анализатор называется _Im_Schema, а для развернутых в рабочей области — imSchema. Здесь Schema обозначает конкретную обслуживаемую схему. Анализаторы, специфичные для источника, также можно использовать независимо. Например, используйте такой анализатор vimDnsInfobloxNIOS в книге, относящейся к Infoblox.
Комплексные средства синтаксического анализа
При использовании ASIM в запросах примените унифицирующие средства синтаксического анализа, чтобы объединить все источники с нормализацией в одну схему, и выполняйте запросы к ним по нормализованным полям.
Например, следующий запрос применяет встроенный объединяющий анализатор DNS для запроса DNS-событий с использованием нормализованных полей ResponseCodeName, SrcIpAddr и TimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
В этом примере используются параметры фильтрации, которые улучшают работу ASIM. Тот же пример без фильтрации параметров будет выглядеть следующим образом:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
В следующей таблице перечислены доступные объединяющие анализаторы:
| Схема | Объединяющее средство синтаксического анализа |
|---|---|
| Проверка подлинности | imAuthentication |
| Dns | _Im_Dns |
| Событие файла | imFileEvent |
| Сетевой сеанс | _Im_NetworkSession |
| Событие процесса | imProcessCreate и imProcessTerminate |
| Событие реестра | imRegistry |
| Веб-сеанс | _Im_WebSession |
Оптимизация синтаксического анализа с помощью параметров
Использование средств синтаксического анализа может повлиять на производительность запросов, что в первую очередь зависит от фильтрации результатов после синтаксического анализа. По этой причине у многих средств синтаксического анализа есть необязательные параметры фильтрации, которые позволяют выполнять фильтрацию до анализа и тем самым повысить производительность запросов. При использовании оптимизации запросов и предварительной фильтрации средства синтаксического анализа ASIM часто обеспечивают лучшую производительность по сравнению с отсутствием нормализации.
При вызове средства синтаксического анализа ASIM для улучшения его работы всегда используйте параметры фильтрации, добавляя один или несколько именованных параметров.
Каждая схема имеет стандартный набор параметров фильтрации, которые описаны в документации по этой схеме. Все параметры фильтрации являются необязательными. Следующие схемы поддерживают параметры фильтрации:
- Проверка подлинности
- DNS
- Сетевой сеанс
- Веб-сеанс
Каждая схема, поддерживающая параметры фильтрации, поддерживает как минимум параметры времени начала и окончания, использование которых часто является критически важным для оптимизации производительности.