Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V Microsoft Sentinelu probíhá analýza a normalizace v době dotazu. Analyzátory jsou vytvořené jako KQL uživatelem definované funkce, které transformují data v existujících tabulkách, jako CommonSecurityLog, vlastní tabulky protokolů nebo Syslog, do normalizovaného schématu.
Uživatelé používají analyzátory ADVANCED Security Information Model (ASIM) místo názvů tabulek v dotazech k zobrazení dat v normalizovaném formátu a zahrnutí všech dat relevantních pro schéma v dotazu.
Informace o tom, jak parsery odpovídají architektuře ASIM, najdete v diagramu architektury ASIM.
Integrované analyzátory ASIM a analyzátory nasazené v pracovním prostoru
Analyzátory ASIM jsou integrované a dostupné předem v každém pracovním prostoru Služby Microsoft Sentinel.
ASIM také podporuje nasazování analyzátorů do konkrétních pracovních prostorů z GitHubu pomocí šablony ARM. Analyzátory nasazené v pracovním prostoru se používají pro vývoj a správu analýzy ASIM. Nasazené analyzátory pracovních prostorů jsou funkčně ekvivalentní, ale mají mírně odlišné zásady vytváření názvů, což umožňuje, aby obě sady analyzátorů spoluexistovaly s integrovanými analyzátory ve stejném pracovním prostoru Služby Microsoft Sentinel. Přečtěte si další informace o analyzátorech pracovního prostoru nasazených v rámci systému pro jejich nasazení, použití a správu.
Při vývoji obsahu ASIM se doporučuje používat integrované analyzátory. Nasazené parsery pracovního prostoru se obvykle používají během procesu vývoje parserů nebo k poskytování upravených verzí integrovaných parserů, jak je popsáno ve správě parserů.
Hierarchie parsování a pojmenování
ASIM zahrnuje dvě úrovně analyzátorů: sjednocující analyzátor a zdrojově specifické analyzátory. Uživatel obvykle používá unifikující parser pro příslušné schéma, čímž zajišťuje, že všechna data relevantní pro schéma jsou dotazována. Sjednocující analyzátor pak volá zdrojově specifické analyzátory, aby provedly skutečnou analýzu a normalizaci, což je specifické pro každý zdroj.
Název sjednocujícího analyzátoru je _Im_<schema>, kde <schema> označuje konkrétní schéma, kterému slouží. Analyzátory specifické pro zdroj lze použít také nezávisle. Jejich konvence pojmenování je _Im_<schema>_<source>V<version>. Seznam analyzátorů specifických pro zdroj najdete v seznamu analyzátorů ASIM.
Poznámka:
Odpovídající sada analyzátorů, které používají _ASim_<schema>. Tyto analyzátory nepodporují parametry filtrování a jsou poskytovány pro zpětnou kompatibilitu.
Návod
Hierarchie analyzátoru přidá vrstvu pro podporu přizpůsobení. Další informace naleznete v tématu Správa analyzátorů ASIM.
Další kroky
Další informace o analyzátorech ASIM:
- Použití analyzátorů ASIM
- Vývoj vlastních analyzátorů ASIM
- Správa analyzátorů ASIM
- Seznam analyzátorů ASIM
Další informace o ASIM obecně najdete tady:
- Podívejte se na podrobný webinář o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu nebo se podívejte na snímky.
- Přehled rozšířeného modelu informací o zabezpečení (ASIM)
- Schémata pokročilého modelu informací o zabezpečení (ASIM)
- Obsah rozšířeného modelu informací o zabezpečení (ASIM)