進階安全性資訊模型 (ASIM) 剖析器 (公開預覽)
在 Microsoft Sentinel 中,剖析和 正規化 會在查詢時間發生。 剖析器建置為 KQL 使用者定義函式,可將 CommonSecurityLog、自定義記錄數據表或 Syslog 等現有數據表中的數據轉換成正規化架構。
使用者 會使用進階安全性資訊模型 (ASIM) 剖析器 ,而不是查詢中的數據表名稱,以標準化格式檢視數據,並在查詢中包含與架構相關的所有數據。
若要了解剖析器如何融入 ASIM 架構內,請參閱 ASIM 架構圖。
重要
ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
內建 ASIM 剖析器和工作區部署的剖析器
許多 ASIM 剖析器都是內建在每個 Microsoft Sentinel 工作區且現成可用。 ASIM 也支援使用ARM樣本或手動,從 GitHub 將剖析器部署至特定工作區。 現成和工作區部署的剖析器功能相同,但使用的命名慣例略有不同,讓這兩個剖析器組合可以在相同的 Microsoft Sentinel 工作區中共存。
每個方法都比其他方法有優勢:
| 比較 | 內建 | 工作區部署 |
|---|---|---|
| 優點 | 存在於每個Microsoft Sentinel 實例中。 可搭配其他內建內容使用。 |
新的剖析器通常會先傳遞為工作區部署的剖析器。 |
| 缺點 | 用戶無法直接修改。 可用的剖析器較少。 |
內建內容不使用。 |
| 使用時機 | 在大部分情況下使用您需要 ASIM 剖析器。 | 在部署新的剖析器時使用,或針對尚未現用的剖析器使用。 |
建議針對可用的內建剖析器架構使用內建剖析器。
剖析器階層和命名
ASIM 包含兩個層級的剖析器: 統 一剖析器和 來源特定 剖析器。 使用者通常會針對相關的架構使用 統 一剖析器,以確保查詢與架構相關的所有數據。 統一剖析器接著會呼叫來源特定的剖析器,以執行每個來源特有的實際剖析和正規化。
統一剖析器名稱適用於 _Im_<schema> 內建剖析器和 im<schema> 工作區部署的剖析器,其中 <schema> 代表它提供的特定架構。 來源特定剖析器也可以單獨使用。 用於 _Im_<schema>_<source> 內建剖析器和 vim<schema><source> 工作區部署剖析器。 例如,在 Infoblox 特定活頁簿中,使用 _Im_Dns_InfobloxNIOS 來源特定的剖析器。 您可以在 ASIM 剖析器清單中找到來源特定剖析器 的清單。
提示
使用和 ASim<Schema> 的對應剖析器集合也可供使用_ASim_<schema>。 這些剖析器不支援篩選參數,而且會提供來協助減輕 設定為自定義範圍 問題的時間選擇器。 只在記錄畫面中以互動方式使用這些剖析器,但不在其他地方,例如分析規則或活頁簿。 當問題解決時,可能無法移除此剖析器。
提示
內建剖析器階層會新增圖層以支援自定義。 如需詳細資訊,請參閱管理 ASIM 剖析器。
下一步
深入了解 ASIM 剖析器:
如需 ASIM 的詳細資訊,請參閱: