Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Uživatelé advanced Security Information Model (ASIM) používají sjednocení analyzátorů místo názvů tabulek v dotazech k zobrazení dat v normalizovaném formátu a získání všech dat relevantních pro schéma v jednom dotazu. Každý analyzátor sjednocení používá několik analyzátorů specifických pro zdroj, které zpracovávají konkrétní podrobnosti jednotlivých zdrojů.
Informace o tom, jak parsery odpovídají architektuře ASIM, najdete v diagramu architektury ASIM.
Je možné, že budete muset spravovat analyzátory specifické pro zdroj, které každý analyzátor sjednocuje, aby:
Přidání vlastního analyzátoru specifického pro zdroj do unifikujícího analyzátoru
Nahraďte předdefinovaný analyzátor specifický pro zdroj, který používá unifikace analyzátoru vlastního analyzátoru specifického pro zdroj. Předdefinované analyzátory nahraďte, když chcete:
Použijte verzi integrovaného analyzátoru, který se ve výchozím nastavení používá v unifikačním analyzátoru.
Zabránit automatizovaným aktualizacím zachováním verze analyzátoru specifického pro zdroj, který používá unifikující analyzátor.
Použijte upravenou verzi integrovaného analyzátoru.
Nakonfigurujte analyzátor specifický pro zdroj, například pro definování zdrojů, které odesílají informace relevantní pro analyzátor.
Tento článek vás provede tím, jak spravovat analyzátory.
Požadavky
Postupy v tomto článku předpokládají, že všechny analyzátory specifické pro zdroj jsou již nasazené do vašeho pracovního prostoru Služby Microsoft Sentinel.
Další informace naleznete v tématu Vývoj analyzátorů ASIM.
Správa integrovaných jednotek analyzátorů
Nastavení pracovního prostoru
Uživatelé Služby Microsoft Sentinel nemůžou upravovat integrované unifikující analyzátory. Místo toho pomocí následujících mechanismů upravte chování předdefinovaných unifikačních analyzátorů:
Pro podporu přidávání analyzátorů specifických pro zdroje používá ASIM sjednocení vlastních analyzátorů. Tyto vlastní analyzátory jsou nasazené v pracovním prostoru, a proto je možné je upravovat. Integrované, sjednocení analyzátorů automaticky vyzvedne tyto vlastní analyzátory, pokud existují.
Do pracovního prostoru Služby Microsoft Sentinel můžete nasadit počáteční, prázdné, sjednocení vlastních analyzátorů pro všechna podporovaná schémata nebo jednotlivě pro konkrétní schémata. Další informace najdete v tématu Nasazení počátečního prázdného vlastního analyzátoru ASIM v úložišti Microsoft Sentinel Na GitHubu.
Pro podporu vyloučení předdefinovaných analyzátorů specifických pro zdroj používá ASIM seznam ke zhlédnutí. Nasaďte seznam ke zhlédnutí do pracovního prostoru Microsoft Sentinelu z úložiště GitHub pro Microsoft Sentinel.
K definování zdrojového typu pro předdefinované a vlastní analyzátory používá ASIM seznam ke zhlédnutí. Nasaďte seznam ke zhlédnutí do pracovního prostoru Microsoft Sentinelu z úložiště GitHub pro Microsoft Sentinel.
Přidání vlastního analyzátoru do integrovaného sjednocovacího analyzátoru
Pokud chcete přidat vlastní analyzátor, vložte řádek do vlastního analyzátoru sjednocení, který bude odkazovat na nový vlastní analyzátor.
Nezapomeňte přidat vlastní analyzátor i vlastní analyzátor bez parametrů. Další informace o úpravách analyzátorů najdete v dokumentových funkcích v dotazech protokolu služby Azure Monitor.
Syntaxe řádku, který se má přidat, se pro každé schéma liší:
| Schéma | Syntaktický analyzátor | Řádek pro přidání |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Autentizace | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Správa uživatelů | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Při přidávání dalšího analyzátoru do unifikujícího vlastního analyzátoru, který již odkazuje na analyzátory, nezapomeňte na konec předchozího řádku přidat čárku.
Například následující kód zobrazí vlastní unifikační analyzátor po přidání added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Použití upravené verze integrovaného analyzátoru
Úprava existujícího integrovaného analyzátoru specifického pro zdroj:
Vytvořte vlastní analyzátor založený na původním analyzátoru a přidejte ho do integrovaného analyzátoru. Jako výchozí bod můžete použít verzi analyzátoru nasazenou v pracovním prostoru .
Přidejte záznam do seznamu ke zhlédnutí
ASim Disabled Parsers.CallerContextDefinujte hodnotu jakoExclude<parser name>, kde<parser name>je název unifikujících analyzátorů, ze kterých chcete analyzátor vyloučit.SourceSpecificParserDefinujte hodnotuExclude<parser name>, kde<parser name>je název analyzátoru, který chcete vyloučit, bez specifikátoru verze.
Pokud chcete například vyloučit analyzátor DNS služby Azure Firewall, přidejte do seznamu ke zhlédnutí následující záznam:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Zabránění automatizované aktualizaci integrovaného analyzátoru
Pokud chcete zabránit automatickým aktualizacím integrovaných analyzátorů specifických pro zdroje, použijte následující postup:
Přidejte integrovanou verzi analyzátoru, kterou chcete použít, například
_Im_Dns_AzureFirewallV02do vlastního analyzátoru sjednocení. Další informace najdete výše v tématu Přidání vlastního analyzátoru do integrovaného sjednocovacího analyzátoru.Přidejte výjimku pro integrovaný analyzátor. Pokud například chcete úplně vyjádřit výslovný nesouhlas s automatickými aktualizacemi, a proto vyloučit velký počet předdefinovaných analyzátorů, přidejte:
- Záznam s polem
AnySourceSpecificParserpro vyloučení všech analyzátorů pro poleCallerContext. - Záznam pro
AnycallerContext aSourceSpecificParserpole pro vyloučení všech předdefinovaných analyzátorů.
Další informace najdete v tématu Použití upravené verze integrovaného analyzátoru.
Konfigurace zdrojů relevantních pro analyzátor specifický pro zdroj
Některé analyzátory vyžadují aktualizaci seznamu zdrojů, které jsou pro analyzátor relevantní. Například analyzátor, který používá data Syslog, nemusí být schopen určit, jaké události Syslog jsou relevantní pro analyzátor. Takový analyzátor může pomocí Sources_by_SourceType seznamu ke zhlédnutí určit, které zdroje odesílají informace relevantní pro analyzátor. Pro takové analýzy přidejte záznam pro každý relevantní zdroj do seznamu ke zhlédnutí:
-
SourceTypeNastavte pole na konkrétní hodnotu analyzátoru zadanou v dokumentaci analyzátoru. -
SourceNastavte pole na identifikátor zdroje použitého v událostech. Možná budete muset zadat dotaz na původní tabulku, například Syslog, abyste zjistili správnou hodnotu.
Pokud váš systém nemá nasazený Sources_by_SourceType seznam ke zhlédnutí, nasaďte tento seznam ke zhlédnutí do pracovního prostoru Microsoft Sentinelu z úložiště GitHub pro Microsoft Sentinel.
Další kroky
Tento článek popisuje správu analyzátorů advanced security information model (ASIM).
Další informace o analyzátorech ASIM:
- Přehled analyzátorů ASIM
- Použití analyzátorů ASIM
- Vývoj vlastních analyzátorů ASIM
- Seznam analyzátorů ASIM
Další informace o ASIM obecně:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
- Přehled rozšířeného modelu informací o zabezpečení (ASIM)
- Schémata advanced Security Information Model (ASIM)
- Obsah rozšířeného modelu informací o zabezpečení (ASIM)