Správa analyzátorů ASIM (Advanced Security Information Model) (Public Preview)

Uživatelé modelu ASIM (Advanced Security Information Model) používají ve svých dotazech sjednocující analyzátory místo názvů tabulek k zobrazení dat v normalizovaném formátu a získání všech dat relevantních pro schéma v jednom dotazu. Každý sjednocující analyzátor používá více analyzátorů specifických pro zdroj, které zpracovávají konkrétní podrobnosti jednotlivých zdrojů.

Informace o tom, jak analyzátory zapadají do architektury ASIM, najdete v diagramu architektury ASIM.

Možná budete muset spravovat analyzátory specifické pro zdroj, které používají jednotlivé sjednocující analyzátory, abyste mohli:

• Přidání vlastního analyzátoru specifického pro zdroj do sjednocujícího analyzátoru

• Nahraďte integrovaný analyzátor specifický pro zdroj, který používá sjednocující analyzátor, vlastním analyzátorem pro konkrétní zdroj. Předdefinované analyzátory nahraďte, když chcete:

  • Použijte jinou verzi integrovaného analyzátoru, než je ta, která se používá ve výchozím nastavení v sjednocujícím analyzátoru.

  • Zabránit automatizovaným aktualizacím zachováním verze analyzátoru specifického pro zdroj, který používá sjednocující analyzátor.

  • Použijte upravenou verzi integrovaného analyzátoru.

• Nakonfigurujte analyzátor specifický pro zdroj, například pro definování zdrojů, které odesílají informace relevantní pro analyzátor.

Tento článek vás provede správou analyzátorů, ať už pomocí integrovaných, sjednocujících analyzátorů ASIM nebo sjednocovacích analyzátorů nasazených v pracovním prostoru.

Důležité

ASIM je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.

Požadavky

Postupy v tomto článku předpokládají, že všechny analyzátory specifické pro zdroje již byly nasazeny do pracovního prostoru služby Microsoft Sentinel.

Další informace najdete v tématu Vývoj analyzátorů ASIM.

Správa integrovaných sjednocujících analyzátorů

Nastavení pracovního prostoru

Uživatelé služby Microsoft Sentinel nemůžou upravovat integrované sjednocující analyzátory. Místo toho použijte následující mechanismy ke změně chování integrovaných sjednocujících analyzátorů:

• Pro podporu přidávání analyzátorů specifických pro zdroj používá ASIM sjednocující vlastní analyzátory. Tyto vlastní analyzátory jsou nasazené v pracovním prostoru, a proto se dají upravovat. Integrované sjednocující analyzátory tyto vlastní analyzátory automaticky vyberou, pokud existují.

  Do pracovního prostoru služby Microsoft Sentinel můžete nasadit počáteční, prázdné a sjednocující vlastní analyzátory pro všechna podporovaná schémata nebo jednotlivě pro konkrétní schémata. Další informace najdete v tématu Nasazení počátečních prázdných vlastních unifikačních analyzátorů ASIM v úložišti GitHub služby Microsoft Sentinel.

• Pro podporu vyloučení předdefinovaných analyzátorů specifických pro zdroj používá ASIM konsolidovaný seznam. Nasaďte seznam ke zhlédnutí do pracovního prostoru služby Microsoft Sentinel z úložiště GitHub služby Microsoft Sentinel.

• K definování typu zdroje pro předdefinované a vlastní analyzátory asim používá konsolidovaný seznam. Nasaďte seznam ke zhlédnutí do pracovního prostoru služby Microsoft Sentinel z úložiště GitHub služby Microsoft Sentinel.

Přidání vlastního analyzátoru do integrovaného unifikačního analyzátoru

Pokud chcete přidat vlastní analyzátor, vložte do vlastního sjednocujícího analyzátoru řádek, který bude odkazovat na nový vlastní analyzátor.

Nezapomeňte přidat vlastní analyzátor filtrování i vlastní analyzátor bez parametrů. Další informace o úpravách analyzátorů najdete v dokumentu Funkce v dotazech na protokoly služby Azure Monitor.

Syntaxe řádku, který se má přidat, se pro každé schéma liší:

Schéma	Analyzátor	Řádek, který se má přidat
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
Webovásession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Při přidávání dalšího analyzátoru do sjednocujícího vlastního analyzátoru, který už na analyzátory odkazuje, nezapomeňte na konec předchozího řádku přidat čárku.

Například následující kód ukazuje vlastní sjednocující analyzátor po přidání added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Použití upravené verze integrovaného analyzátoru

Úprava existujícího integrovaného analyzátoru specifického pro zdroj:

1. Vytvořte vlastní analyzátor založený na původním analyzátoru a přidejte ho do integrovaného analyzátoru.

2. Přidejte záznam do seznamu ke ASim Disabled Parsers zhlédnutí.

3. CallerContext Definujte hodnotu jako Exclude<parser name>, kde <parser name> je název sjednocujících analyzátorů, ze kterých chcete analyzátor vyloučit.

4. SourceSpecificParser Definujte hodnotu Exclude<parser name>, kde <parser name>je název analyzátoru, který chcete vyloučit, bez specifikátoru verze.

Pokud chcete například vyloučit Azure Firewall analyzátor DNS, přidejte do seznamu ke zhlédnutí následující záznam:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Zabránění automatické aktualizaci integrovaného analyzátoru

Pomocí následujícího postupu zabráníte automatickým aktualizacím integrovaných analyzátorů specifických pro zdroj:

1. Do vlastního sjednocovacího analyzátoru přidejte integrovanou verzi, kterou chcete použít, například _Im_Dns_AzureFirewallV02. Další informace najdete výše v tématu Přidání vlastního analyzátoru do integrovaného sjednocujícího analyzátoru.

2. Přidejte výjimku pro předdefinovaný analyzátor. Pokud například chcete zcela zakázat automatické aktualizace a vyloučit tak velký počet předdefinovaných analyzátorů, přidejte:

• Záznam s polem AnySourceSpecificParser , který vyloučí všechny analyzátory pro CallerContext.
• Záznam v Any poli CallerContext a SourceSpecificParser pole pro vyloučení všech předdefinovaných analyzátorů.

Další informace najdete v tématu Použití upravené verze integrovaného analyzátoru.

Správa sjednocujících analyzátorů nasazených v pracovním prostoru

Přidání vlastního analyzátoru do sjednocujícího analyzátoru nasazeného v pracovním prostoru

Pokud chcete přidat vlastní analyzátor, vložte řádek do union příkazu v unifikačním analyzátoru nasazeného pracovním prostorem, který odkazuje na nový vlastní analyzátor.

Nezapomeňte přidat vlastní analyzátor filtrování i vlastní analyzátor bez parametrů. Syntaxe řádku, který se má přidat, se pro každé schéma liší:

Schéma	Analyzátor	Řádek, který se má přidat
Authentication	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Událost souboru	imFileEvent	_parser_name_
Síťová relace	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Událost procesu	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Událost registru	imRegistry	_parser_name_
Webová relace	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Při přidávání dalšího analyzátoru do sjednocujícího analyzátoru nezapomeňte na konec předchozího řádku přidat čárku.

Například následující příklad ukazuje sjednocující analyzátor filtrování DNS po přidání vlastního added_parser:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Použití upravené verze analyzátoru nasazeného v pracovním prostoru

Uživatelé služby Microsoft Sentinel můžou přímo upravovat analyzátory nasazené v pracovním prostoru. Vytvořte analyzátor založený na originálu, zakomentujte původní a pak přidejte upravenou verzi do sjednocovacího analyzátoru nasazeného v pracovním prostoru.

Například následující kód ukazuje sjednocující analyzátor filtrování DNS, který ho vimDnsAzureFirewall nahradil upravenou verzí:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Konfigurace zdrojů relevantních pro analyzátor specifický pro zdroj

Některé analyzátory vyžadují aktualizaci seznamu zdrojů, které jsou pro analyzátor relevantní. Například analyzátor, který používá data Syslogu, nemusí být schopen určit, které události Syslogu jsou pro analyzátor relevantní. Takový analyzátor může pomocí sledovaných Sources_by_SourceType seznamů určit, které zdroje odesílají informace relevantní pro analyzátor. Pro takové analýzy přidejte do seznamu ke zhlédnutí záznam pro každý relevantní zdroj:

• SourceType Nastavte pole na hodnotu specifickou pro analyzátor zadanou v dokumentaci k analyzátoru.
• Source Nastavte pole na identifikátor zdroje použitého v událostech. Možná budete muset zadat dotaz na původní tabulku, například Syslog, abyste zjistili správnou hodnotu.

Pokud váš systém nemá nasazený Sources_by_SourceType seznam ke zhlédnutí, nasaďte ho do pracovního prostoru služby Microsoft Sentinel z úložiště Microsoft Sentinel na GitHubu .

Další kroky

Tento článek popisuje správu analyzátorů ASIM (Advanced Security Information Model).

Další informace o analyzátorech ASIM:

• Přehled analyzátorů ASIM
• Použití analyzátorů ASIM
• Vývoj vlastních analyzátorů ASIM
• Seznam analyzátorů ASIM

Další informace o ASIM obecně:

• Podívejte se na podrobný webinář o normalizačních parserech a normalizovaném obsahu služby Microsoft Sentinel nebo si prohlédněte snímky.
• Přehled advanced Security Information Model (ASIM)
• Schémata ASIM (Advanced Security Information Model)
• Obsah modelu ASIM (Advanced Security Information Model)