Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
K zobrazení dat v normalizovaném formátu a zahrnutí všech dat relevantních pro schéma do dotazu použijte analyzátory rozšířeného modelu zabezpečení (ASIM) místo názvů tabulek v Microsoft Sentinel dotazech. V následující tabulce najdete relevantní analyzátor pro každé schéma.
Sjednocující analyzátory
Pokud v dotazech používáte ASIM, použijte sjednocující analyzátory , které zkombinují všechny zdroje, normalizují se do stejného schématu a dotazují se na ně pomocí normalizovaných polí. Sjednocující název analyzátoru je _Im_<schema>, kde představuje konkrétní schéma, které <schema> slouží.
Například následující dotaz používá integrovaný sjednocovací analyzátor DNS k dotazování událostí DNS pomocí ResponseCodeNamenormalizovaných polí , SrcIpAddra TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
V příkladu se používají parametry filtrování, které zlepšují výkon ASIM. Stejný příklad bez parametrů filtrování by vypadal takto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Následující tabulka uvádí dostupné sjednocující analyzátory:
| Schématu | Sjednocující analyzátor |
|---|---|
| Událost upozornění | _Im_AlertEvent |
| Entita assetu | _Im_AssetEntity |
| Událost auditu | _Im_AuditEvent |
| Ověřování | _Im_Authentication |
| Událost DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Událost souboru | _Im_FileEvent |
| Síťová relace | _Im_NetworkSession |
| Událost procesu | _Im_ProcessCreate _Im_ProcessTerminate |
| Událost registru | _Im_RegistryEvent |
| Správa uživatelů | _Im_UserManagement |
| Webová relace | _Im_WebSession |
Optimalizace analýzy pomocí parametrů
Použití analyzátorů může mít vliv na výkon dotazů, především kvůli filtrování výsledků po parsování. Z tohoto důvodu má mnoho analyzátorů volitelné parametry filtrování, které umožňují filtrovat před analýzou a zvýšit výkon dotazů. Díky optimalizaci dotazů a předběžnému filtrování poskytují analyzátory ASIM často lepší výkon v porovnání s tím, že se vůbec nepoužívají normalizace.
Při vyvolání analyzátoru vždy používejte dostupné parametry filtrování přidáním jednoho nebo více pojmenovaných parametrů, abyste zajistili optimální výkon analyzátorů ASIM.
Každé schéma má standardní sadu parametrů filtrování, které jsou popsané v příslušné dokumentaci ke schématu. Parametry filtrování jsou zcela volitelné.
Příklad použití filtrovacích analyzátorů najdete v tématu Sjednocení analyzátorů.
Parametr balíčku
Aby byla zajištěna efektivita, analyzátory udržují pouze normalizovaná pole. Pole, která nejsou normalizována, mají v kombinaci s jinými zdroji menší hodnotu. Některé analyzátory podporují parametr balíčku . Pokud je parametr packu nastavený na truehodnotu , analyzátor zabalí další data do dynamického pole AdditionalFields .
Analyzátory se seznamem článků poznámek, které podporují parametr balíčku.
Související obsah
Další informace najdete tady: