استخدام نموذج معلومات الأمان المتقدم (ASIM) (إصدار أولي للاستخدام العام)
استخدم محللات نموذج معلومات الأمان المتقدم (ASIM) بدلًا من أسماء الجداول في استعلامات Microsoft Azure Sentinel لعرض البيانات بتنسيق جرى تسويته ولتضمين جميع البيانات ذات الصلة بالمخطط في الاستعلام. راجع الجدول أدناه للعثور على المحلل ذي الصلة لكل مخطط.
هام
ASIM في وضع PREVIEW حاليًا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
توحيد المحللات
عند استخدام ASIM في الاستعلامات، استخدم توحيد المحللات لدمج جميع المصادر وتسويتها إلى نفس المخطط والاستعلام عنها باستخدام الحقول التي جرى تسويتها. اسم المحلل المُوحد للمحللات المُضمنة هو _Im_<schema> وللمحللات الموزعة لمساحة العمل هو im<schema>، حيث يرمز <schema> إلى المخطط المحدد الذي يخدمه.
على سبيل المثال، يستخدم الاستعلام التالي محلل DNS الموحد المُضمن للاستعلام عن أحداث DNS باستخدام الحقول ResponseCodeName، وSrcIpAddr، وTimeGenerated التي جرى تسويتها:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
يستخدم المثال معلمات التصفية، والتي تُحسّن أداء ASIM. سيبدو المثال نفسه دون تصفية المعلمات كما يلي:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
ملاحظة
عند استخدام محللات ASIM في صفحة "السجلات"، يُعيّن محدد النطاق الزمني إلى custom. لا يزال بإمكانك تعيين النطاق الزمني بنفسك. بدلًا من ذلك، حدد النطاق الزمني باستخدام معلمات المحلل.
يسرد الجدول التالي المحللات المُوحدة المتوفرة:
| المخطط | توحيد المحلل |
|---|---|
| حدث التدقيق | _Im_AuditEvent |
| المصادقة | imAuthentication |
| نظام أسماء النطاقات | _Im_Dns |
| حدث الملف | imFileEvent |
| جلسة عمل الشبكة | Session |
| حدث العملية | - imProcessCreate - imProcessTerminate |
| حدث السجل | imRegistry |
| جلسة عمل الويب | _Im_WebSession |
تحسين التحليل باستخدام المعلمات
قد يؤثر استخدام المحللات على أداء الاستعلام، بشكل أساسي تصفية النتائج بعد التحليل. لهذا السبب، للعديد من المحللات معلمات تصفية اختيارية والتي تُمكّنك من التصفية قبل تحليل أداء الاستعلام وتحسينه. غالبًا ما تقدم محللات ASIM أداء أفضل مقارنة بعدم استخدام التسوية على الإطلاق من خلال تحسين الاستعلام وجهود التصفية المُسبقة.
عند استدعاء المحلل، استخدم دائمًا معلمات التصفية المتوفرة عن طريق إضافة معلمة واحدة أو أكثر مُسماة لضمان الأداء الأمثل لمحللي ASIM.
يحتوي كل مخطط على مجموعة قياسية من معلمات التصفية المُوثقة في وثائق المخطط ذات الصلة. معلمات التصفية اختيارية تمامًا. تدعم المخططات التالية معلمات التصفية:
كل مخطط يدعم معلمات التصفية يدعم على الأقل المعلمتين starttime وendtime، وغالبًا ما يكون استخدامهما أمرًا بغاية الأهمية لتحسين الأداء.
للحصول على مثال لاستخدام محللات التصفية، راجع توحيد المحللات أعلاه.
معلمة الحزمة
لضمان الكفاءة، تحتفظ المحللات بالحقول التي تمت تسويتها فقط. الحقول التي لم تتم تسويتها لها قيمة أقل عند دمجها مع مصادر أخرى. تدعم بعض المحللات معلمة الحزمة . عند تعيين معلمة الحزمة إلى true، سيقوم المحلل بحزم بيانات إضافية في الحقل الديناميكي AdditionalFields .
قائمة المحللات مقالة محللات الملاحظات التي تدعم معلمة الحزمة .
الخطوات التالية
تعرف على المزيد حول محللات ASIM:
تعرف على المزيد حول ASIM بشكل عام: