إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
استخدم محللي نموذج معلومات الأمان المتقدم (ASIM) بدلا من أسماء الجداول في استعلامات Microsoft Sentinel لعرض البيانات بتنسيق محدد ولتضمين كافة البيانات ذات الصلة بالمخطط في الاستعلام الخاص بك. ارجع إلى الجدول أدناه للعثور على المحلل اللغوي ذي الصلة لكل مخطط.
توحيد المحللين
عند استخدام ASIM في استعلاماتك، استخدم محللي التحليل الموحد لدمج جميع المصادر، التي تم تسويتها إلى نفس المخطط، والاستعلام عنها باستخدام الحقول الطبيعية. اسم المحلل اللغوي الموحد مخصص _Im_<schema> للمحللين المضمنين والمحللين im<schema> الموزعين في مساحة العمل ، حيث <schema> يرمز إلى المخطط المحدد الذي يخدمه.
على سبيل المثال، يستخدم الاستعلام التالي محلل DNS الموحد المضمن للاستعلام عن أحداث DNS باستخدام ResponseCodeNameالحقول ، SrcIpAddrوالمحددة TimeGenerated
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
يستخدم المثال معلمات التصفية ، والتي تعمل على تحسين أداء ASIM. سيبدو نفس المثال بدون معلمات التصفية كما يلي:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
إشعار
عند استخدام محللي ASIM في صفحة السجلات ، يتم تعيين محدد النطاق الزمني إلى custom. لا يزال بإمكانك ضبط النطاق الزمني بنفسك. بدلا من ذلك، حدد النطاق الزمني باستخدام معلمات المحلل.
يسرد الجدول التالي المحللين الموحدين المتوفرين:
| مخطط | المحلل اللغوي الموحد |
|---|---|
| حدث التدقيق | _Im_AuditEvent |
| مصادقة | _Im_Authentication |
| د.ن.س | _Im_Dns |
| حدث الملف | _Im_FileEvent |
| جلسة الشبكة | _Im_NetworkSession |
| حدث العملية | _Im_ProcessCreate _Im_ProcessTerminate |
| حدث السجل | _Im_Registry |
| جلسة ويب | _Im_WebSession |
تحسين التحليل باستخدام المعلمات
قد يؤثر استخدام المحللين على أداء الاستعلام، بشكل أساسي من تصفية النتائج بعد التحليل. لهذا السبب، للعديد من المحللات معلمات تصفية اختيارية والتي تُمكّنك من التصفية قبل تحليل أداء الاستعلام وتحسينه. من خلال تحسين الاستعلام وجهود التصفية المسبقة ، غالبا ما توفر محللات ASIM أداء أفضل عند مقارنتها بعدم استخدام التطبيع على الإطلاق.
عند استدعاء المحلل اللغوي، استخدم دائما معلمات التصفية المتاحة عن طريق إضافة معلمة واحدة أو أكثر مسماة لضمان الأداء الأمثل لمحللي ASIM.
يحتوي كل مخطط على مجموعة قياسية من معلمات التصفية الموثقة في وثائق المخطط ذات الصلة. معلمات التصفية اختيارية تماما. تدعم المخططات التالية معلمات التصفية:
يدعم كل مخطط يدعم معلمات التصفية معلمات AND starttime على الأقل endtime وغالبا ما يكون استخدامها أمرا بالغ الأهمية لتحسين الأداء.
للحصول على مثال على استخدام محللي التصفية، راجع المحللين الموحدين.
معلمة الحزمة
لضمان الكفاءة ، يحتفظ المحللون بالحقول الطبيعية فقط. تكون الحقول التي لم يتم تسويتها ذات قيمة أقل عند دمجها مع مصادر أخرى. تدعم بعض المحللين اللغوية معلمة الحزمة . عند تعيين معلمة الحزمة إلى true، سيقوم المحلل اللغوي بتجميع بيانات إضافية في الحقل الديناميكي AdditionalFields .
تلاحظ مقالة قائمة المحللين المحللين اللغوية التي تدعم معلمة الحزمة .
المحتوى ذو الصلة
لمزيد من المعلومات، راجع: