موزعي نموذج معلومات الأمان المتقدم (ASIM) (المعاينة العامة)
في Microsoft Sentinel، يحدث التحليل والتسوية في وقت الاستعلام. تم إنشاء المحللون على أنهم وظائف يحددها مستخدم KQL والتي تحول البيانات في الجداول الحالية، مثل CommonSecurityLog، أو جداول السجلات المخصصة، أو Syslog، إلى مخطط عادي.
يستخدم المستخدمون محللات نموذج معلومات الأمان المتقدمة (ASIM) بدلًا من أسماء الجداول في استعلاماتهم لعرض البيانات بتنسيق عادي، ولتضمين جميع البيانات ذات الصلة بالمخطط في استعلامك.
لفهم كيفية احتواء المحلات ضمن بنية نموذج معلومات الأمان المتقدم، راجع مخطط بنية نموذج معلومات الأمان المتقدم.
هام
ASIM في وضع PREVIEW حاليًا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
موزعي ASIM المدمجين والموزعين الموزعين على مساحة العمل
العديد من موزعي ASIM مدمجون ومتاحون خارج الصندوق في كل مساحة عمل Microsoft Sentinel. يدعم ASIM أيضًا نشر المحللون في مساحات عمل محددة من GitHub، باستخدام قالب ARM أو يدويًا. كل من المحلل اللغوي الجاهز والموزع في مساحة العمل متكافئ وظيفيًا، ولكن لهما اصطلاحات تسمية مختلفة قليلًا، مما يسمح لمجموعتي المحلل اللغوي بالتواجد معًا في نفس مساحة عمل Microsoft Sentinel.
كل طريقة لها مزايا على الأخرى:
| مقارنة | الأجزاء المدمجة | مساحة العمل الموزعة |
|---|---|---|
| المزايا | موجود في كل مثيل Microsoft Sentinel. يمكن استخدامه مع المحتوى المضمّن الآخر. |
غالبًا ما يتم تقديم المحللين الجدد أولاً كمحللين موزعين على مساحة العمل. |
| العيوب | لا يمكن تعديلها مباشرة من قبل المستخدمين. عدد أقل من الموزعين المتاحين. |
لا يستخدم من قبل المحتوى المدمج. |
| وقت الاستخدام | استخدم في معظم الحالات التي تحتاج فيها إلى محللي ASIM. | استخدمه عند نشر موزعين جدد، أو للمحللين غير المتوفرين حتى الآن خارج الصندوق. |
من المستحسن استخدام المحللات المضمنة للمخططات التي تتوفر لها محللين مضمنين.
التسلسل الهرمي للموزع والتسمية
يتضمن ASIM مستويين من المحلل اللغوي: المحلل اللغوي الموحد والمحلل اللغوي الخاص بالمصدر. يستخدم المستخدم عادةً المحلل اللغوي الموحد للمخطط ذي الصلة، مما يضمن الاستعلام عن جميع البيانات ذات الصلة بالمخطط. يقوم المحلل اللغوي الموحد بدوره باستدعاء المحلل اللغوي الخاص بالمصدر لإجراء التحليل الفعلي والتطبيع، وهو أمر خاص بكل مصدر.
اسم المحلل المُوحد للمحللات المُضمنة هو _Im_<schema> وللمحللات الموزعة لمساحة العمل هو im<schema>، إذ يرمز <schema> إلى المخطط المحدد الذي يخدمه. يمكن أيضًا استخدام الموزعات اللغوية الخاصة بالمصدر بشكل مستقل. استخدم _Im_<schema>_<source> للمحللات المضمنة والمحللات vim<schema><source> الموزعة لمساحة العمل. على سبيل المثال، في مصنف خاص بـ Infoblox، استخدم _Im_Dns_InfobloxNIOS المحلل اللغوي الخاص بالمصدر. يمكنك العثور على قائمة المحللين الخاصين بالمصادر في قائمة محللي ASIM.
تلميح
مجموعة مقابلة من المحللات التي تستخدم _ASim_<schema> وتتوفر ASim<Schema> أيضا. لا تدعم محللات هذه المعلمات معلمات التصفية ويتم توفيرها للمساعدة في التخفيف من تعيين منتقي الوقت إلى مشكلة نطاق مخصص . استخدم هذه المحللات بشكل تفاعلي فقط في شاشة السجلات، ولكن ليس في أي مكان آخر، على سبيل المثال في القواعد التحليلية أو المصنفات. قد لا تتم إزالة المحللات هذه عند حل المشكلة.
تلميح
يضيف التسلسل الهرمي للمحلل المدمج طبقة لدعم التخصيص. لمزيد من المعلومات، راجع إدارة محللات ASIM.
الخطوات التالية
تعرف على المزيد حول محللات ASIM:
لمعرفة المزيد عن ASIM بشكل عام، انظر: