Použití modelu ASIM (Advanced Security Information Model) (Public Preview)
K zobrazení dat v normalizovaném formátu a zahrnutí všech dat relevantních pro schéma do dotazu použijte analyzátory ADVANCED Security Information Model (ASIM) místo názvů tabulek v dotazech služby Microsoft Sentinel. V následující tabulce najdete relevantní analyzátor pro každé schéma.
Důležité
ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.
Sjednocení analyzátorů
Pokud ve svých dotazech používáte ASIM, pomocí sjednocujících analyzátorů zkombinujte všechny zdroje, normalizované do stejného schématu a dotazujte se na ně pomocí normalizovaných polí. Název sjednocujícího analyzátoru je _Im_<schema> pro předdefinované analyzátory a im<schema> pro nasazené analyzátory pracovního prostoru, kde je zkratkou pro konkrétní schéma, které <schema> slouží.
Například následující dotaz používá integrovaný sjednocovací analyzátor DNS k dotazování událostí DNS pomocí ResponseCodeNamenormalizovaných polí , SrcIpAddra TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
V příkladu se používají parametry filtrování, které zlepšují výkon ASIM. Stejný příklad bez parametrů filtrování by vypadal takto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Poznámka
Při použití analyzátorů ASIM na stránce Protokoly je selektor časového rozsahu nastavený na customhodnotu . Časový rozsah můžete přesto nastavit sami. Případně můžete zadat časový rozsah pomocí parametrů analyzátoru.
Následující tabulka uvádí dostupné sjednocující analyzátory:
| Schéma | Unifying parser |
|---|---|
| Událost auditu | _Im_AuditEvent |
| Authentication | imAuthentication |
| Dns | _Im_Dns |
| Událost souboru | imFileEvent |
| Síťová relace | _Im_NetworkSession |
| Událost procesu | – imProcessVytvořit – imProcessTerminate |
| Událost registru | imRegistry |
| Webová relace | _Im_WebSession |
Optimalizace parsování pomocí parametrů
Použití analyzátorů může mít vliv na výkon dotazů, především kvůli filtrování výsledků po parsování. Z tohoto důvodu má mnoho analyzátorů volitelné parametry filtrování, které umožňují filtrovat před parsováním a zvýšit výkon dotazů. Díky optimalizaci dotazů a úsilí o předběžné filtrování poskytují analyzátory ASIM často lepší výkon v porovnání s nepoužíváním normalizace vůbec.
Při vyvolání analyzátoru vždy používejte dostupné parametry filtrování přidáním jednoho nebo více pojmenovaných parametrů, aby se zajistil optimální výkon analyzátorů ASIM.
Každé schéma má standardní sadu parametrů filtrování zdokumentovanou v dokumentaci k příslušnému schématu. Parametry filtrování jsou zcela volitelné. Následující schémata podporují parametry filtrování:
Každé schéma, které podporuje parametry filtrování, podporuje alespoň starttime parametry a a endtime jejich použití je často důležité pro optimalizaci výkonu.
Příklad použití analyzátorů filtrování najdete v tématu Sjednocení analyzátorů výše.
Parametr balíčku
Aby byla zajištěna efektivita, analyzátory udržují pouze normalizovaná pole. Pole, která nejsou normalizována, mají v kombinaci s jinými zdroji menší hodnotu. Některé analyzátory podporují parametr balíčku . Pokud je parametr balíčku nastavený na truehodnotu , analyzátor zabalí další data do dynamického pole AdditionalFields .
Analyzátory se seznamem článků s poznámkami, které podporují parametr balíčku.
Další kroky
Další informace o analyzátorech ASIM:
- Přehled analyzátorů ASIM
- Správa analyzátorů ASIM
- Vývoj vlastních analyzátorů ASIM
- Seznam analyzátorů ASIM
Další informace o ASIM obecně: