Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V Microsoft Sentinel probíhá analýza a normalizace v době dotazu. Analyzátory jsou sestavené jako uživatelem definované funkce KQL , které transformují data v existujících tabulkách, jako je CommonSecurityLog, tabulky vlastních protokolů nebo Syslog, do normalizovaného schématu.
Uživatelé používají analyzátory ADVANCED Security Information Model (ASIM) místo názvů tabulek ve svých dotazech k zobrazení dat v normalizovaném formátu a k zahrnutí všech dat relevantních pro schéma do dotazu.
Informace o tom, jak analyzátory zapadají do architektury ASIM, najdete v diagramu architektury ASIM.
Integrované analyzátory ASIM a analyzátory nasazené v pracovním prostoru
Analyzátory ASIM jsou integrované a dostupné předem v každém pracovním prostoru Microsoft Sentinel.
ASIM také podporuje nasazení analyzátorů do konkrétních pracovních prostorů z GitHubu pomocí šablony ARM. Nasazené analyzátory pracovního prostoru se používají pro vývoj a správu analyzátoru ASIM. Nasazené analyzátory pracovního prostoru jsou funkčně ekvivalentní, ale mají mírně odlišné zásady vytváření názvů, což umožňuje, aby obě sady analyzátorů mohly existovat společně s integrovanými analyzátory ve stejném Microsoft Sentinel pracovním prostoru. Přečtěte si další informace o analyzátorech nasazených v pracovním prostoru, které je nasazují, používají a spravují.
Při vývoji obsahu ASIM se doporučuje používat integrované analyzátory. Nasazené analyzátory pracovního prostoru se obvykle používají během procesu vývoje analyzátoru nebo k poskytování upravených verzí předdefinovaných analyzátorů, jak je popsáno v tématu správa analyzátorů.
Hierarchie analyzátoru a pojmenování
ASIM obsahuje dvě úrovně analyzátorů: sjednocující analyzátor a analyzátory specifické pro zdroj . Uživatel obvykle používá sjednocující analyzátor pro příslušné schéma, aby se zajistilo, že jsou dotazována všechna data relevantní pro schéma. Sjednocující analyzátor zase volá analyzátory specifické pro zdroj, aby provedly skutečnou analýzu a normalizaci, které jsou specifické pro každý zdroj.
Název sjednocujícího analyzátoru označuje _Im_<schema> konkrétní schéma, které <schema> slouží. Analyzátory specifické pro zdroje je také možné použít nezávisle. Jejich zásady vytváření názvů jsou _Im_<schema>_<source>V<version>. Seznam analyzátorů specifických pro zdroje najdete v seznamu analyzátorů ASIM.
Poznámka
Odpovídající sada analyzátorů, které používají _ASim_<schema>. Tyto analyzátory nepodporují parametry filtrování a jsou k dispozici pro zpětnou kompatibilitu.
Tip
Hierarchie analyzátoru přidá vrstvu pro podporu přizpůsobení. Další informace najdete v tématu Správa analyzátorů ASIM.
Další kroky
Další informace o analyzátorech ASIM:
- Použití analyzátorů ASIM
- Vývoj vlastních analyzátorů ASIM
- Správa analyzátorů ASIM
- Seznam analyzátorů ASIM
Další informace o ASIM obecně najdete tady:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu Microsoft Sentinel nebo si prohlédněte snímky.
- Přehled modelu ASIM (Advanced Security Information Model)
- Schémata modelu ASIM (Advanced Security Information Model)
- Obsah modelu ASIM (Advanced Security Information Model)