استخدام موزعات ASIM
في Microsoft Sentinel، يحدث التحليل والتسوية في وقت الاستعلام. تم إنشاء المحللون على أنهم وظائف يحددها مستخدم KQL والتي تحول البيانات في الجداول الحالية، مثل CommonSecurityLog، أو جداول السجلات المخصصة، أو Syslog، إلى مخطط عادي.
يستخدم المستخدمون محللات نموذج معلومات الأمان المتقدمة (ASIM) بدلًا من أسماء الجداول في استعلاماتهم لعرض البيانات بتنسيق عادي، ولتضمين جميع البيانات ذات الصلة بالمخطط في استعلامك.
موزعي ASIM المدمجين والموزعين الموزعين على مساحة العمل
العديد من موزعي ASIM مدمجون ومتاحون خارج الصندوق في كل مساحة عمل Microsoft Sentinel. يدعم ASIM أيضًا نشر المحللون في مساحات عمل محددة من GitHub، باستخدام قالب ARM أو يدويًا. كل من المحلل اللغوي الجاهز والموزع في مساحة العمل متكافئ وظيفيًا، ولكن لهما اصطلاحات تسمية مختلفة قليلًا، مما يسمح لمجموعتي المحلل اللغوي بالتواجد معًا في نفس مساحة عمل Microsoft Sentinel.
كل طريقة لها مزايا على الأخرى:
| مقارنة | مضمّن | مساحة العمل الموزعة |
|---|---|---|
| المزايا | موجود في كل مثيل Microsoft Sentinel. يمكن استخدامه مع المحتوى المضمّن الآخر. | غالبًا ما يتم تقديم المحللين الجدد أولاً كمحللين موزعين على مساحة العمل. |
| أضرار | لا يمكن تعديلها مباشرة من قبل المستخدمين. عدد أقل من الموزعين المتاحين. | لا يستخدم من قبل المحتوى المدمج. |
| وقت الاستخدام | استخدم في معظم الحالات التي تحتاج فيها إلى محللي ASIM. | استخدمه عند نشر موزعين جدد، أو للمحللين غير المتوفرين حتى الآن خارج الصندوق. |
من المستحسن استخدام الموزعات المضمنة للمخططات التي تتوفر لها موزعات مضمنة.
التسلسل الهرمي للمحلل
يتضمن ASIM مستويين من المحلل اللغوي: المحلل اللغوي الموحد والمحلل اللغوي الخاص بالمصدر. يستخدم المستخدم عادةً المحلل اللغوي الموحد للمخطط ذي الصلة، مما يضمن الاستعلام عن جميع البيانات ذات الصلة بالمخطط. يقوم المحلل اللغوي الموحد بدوره باستدعاء المحلل اللغوي الخاص بالمصدر لإجراء التحليل الفعلي والتطبيع، وهو أمر خاص بكل مصدر.
اسم الموزع الموحد هو _Im_Schema للموزعات المضمنة، وimSchema للموزعات الموزعة في مساحة العمل. حيث يرمز Schema إلى المخطط المحدد الذي يخدمه. يمكن أيضًا استخدام الموزعات اللغوية الخاصة بالمصدر بشكل مستقل. على سبيل المثال، في مصنف خاص بـ Infoblox، استخدم الموزع الخاص بالمصدر vimDnsInfobloxNIOS.
توحيد المحللات
عند استخدام ASIM في الاستعلامات، استخدم توحيد المحللات لدمج جميع المصادر وتسويتها إلى نفس المخطط والاستعلام عنها باستخدام الحقول التي جرى تسويتها.
على سبيل المثال، يستخدم الاستعلام التالي موزع DNS الموحد المضمن للاستعلام عن أحداث DNS باستخدام الحقول التي تمت تسويتها ResponseCodeName وSrcIpAddr وTimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
يستخدم المثال معلمات التصفية، والتي تُحسّن أداء ASIM. سيبدو المثال نفسه دون تصفية المعلمات كما يلي:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
يسرد الجدول التالي الموزعات المُوحدة المتوفرة:
| مخطط | توحيد المحلل |
|---|---|
| المصادقة | imAuthentication |
| نظام أسماء النطاقات | _Im_Dns |
| حدث الملف | imFileEvent |
| جلسة عمل الشبكة | Session |
| حدث العملية | imProcessCreate وimProcessTerminate |
| حدث التسجيل | imRegistry |
| جلسة عمل الويب | _Im_WebSession |
تحسين التحليل باستخدام المعلمات
قد يؤثر استخدام المحللات على أداء الاستعلام، بشكل أساسي تصفية النتائج بعد التحليل. لهذا السبب، للعديد من المحللات معلمات تصفية اختيارية والتي تُمكّنك من التصفية قبل تحليل أداء الاستعلام وتحسينه. غالبًا ما تقدم محللات ASIM أداء أفضل مقارنة بعدم استخدام التسوية على الإطلاق من خلال تحسين الاستعلام وجهود التصفية المُسبقة.
عند استدعاء المحلل، استخدم دائمًا معلمات التصفية المتوفرة عن طريق إضافة معلمة واحدة أو أكثر مُسماة لضمان الأداء الأمثل لمحللي ASIM.
يحتوي كل مخطط على مجموعة قياسية من معلمات التصفية المُوثقة في وثائق المخطط ذات الصلة. معلمات التصفية اختيارية تمامًا. تدعم المخططات التالية معلمات التصفية:
- المصادقة
- DNS
- جلسة عمل الشبكة
- جلسة عمل الويب
كل مخطط يدعم معلمات التصفية يقوم أيضاً بدعم معلمتي starttime وenttime على الأقل، وغالبًا ما يكون استخدامها أمرًا بالغ الأهمية لتحسين الأداء.