Uso del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)
Use analizadores del Modelo avanzado de información de seguridad (ASIM), en lugar de nombres de tabla, en sus consultas de Microsoft Sentinel a fin de ver los datos en un formato normalizado e incluir todos los datos pertinentes para el esquema en una consulta. Consulte la tabla siguiente para encontrar el analizador pertinente para cada esquema.
Importante
ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Unificación de analizadores
Al usar ASIM en las consultas, use analizadores de unificación para combinar todos los orígenes, normalizados en el mismo esquema, y consultarlos mediante campos normalizados. El nombre del analizador de unificación es _Im_<schema> para los analizadores integrados y im<schema> para los analizadores implementados en el área de trabajo, donde <schema> representa el esquema específico al que sirve.
Por ejemplo, en la consulta siguiente se usa el analizador DNS de unificación integrado para consultar eventos de DNS mediante los campos normalizados ResponseCodeName, SrcIpAddr y TimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En el ejemplo se usan parámetros de filtrado, que mejoran el rendimiento de ASIM. El mismo ejemplo sin filtrar parámetros tendría este aspecto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Nota
Al usar los analizadores de ASIM en la página Registros, el selector de intervalo de tiempo se establece en custom. Puede seguir estableciendo el intervalo de tiempo por sí mismo. Como alternativa, puede especificar el intervalo de tiempo mediante parámetros de analizador.
En la tabla siguiente se muestran los analizadores de unificación disponibles:
| Schema | Unificación del analizador |
|---|---|
| Evento de auditoría | _Im_AuditEvent |
| Authentication | imAuthentication |
| Dns | _Im_Dns |
| Evento de archivo | imFileEvent |
| Sesión de red | _Im_NetworkSession |
| Evento de proceso | - imProcessCreate - imProcessTerminate |
| Evento del Registro | imRegistry |
| Sesión web | _Im_WebSession |
Optimización del análisis mediante parámetros
El uso de analizadores puede afectar al rendimiento de las consultas, principalmente por tener que filtrar los resultados después del análisis. Por este motivo, muchos analizadores tienen parámetros de filtrado opcionales que le permiten filtrar antes de analizar y mejoran el rendimiento de las consultas. Junto con los esfuerzos de optimización de consultas y filtrado previo, los analizadores de ASIM a menudo proporcionan un mejor rendimiento en comparación con la no utilización de la normalización en absoluto.
Al invocar el analizador, use siempre los parámetros de filtrado disponibles agregando uno o varios parámetros con nombre para garantizar un rendimiento óptimo de los analizadores de ASIM.
Cada esquema tiene documentado un conjunto estándar de parámetros de filtrado en la documentación de esquema pertinente. Los parámetros de filtrado son completamente opcionales. Los esquemas siguientes admiten parámetros de filtrado:
Cada esquema que admite parámetros de filtrado admite al menos los parámetros starttime y endtime y su uso suele ser fundamental para optimizar el rendimiento.
Para obtener un ejemplo del uso de analizadores de filtrado, vea la sección anteriorUnificación de analizadores.
El parámetro pack
Para garantizar la eficacia, los analizadores solo mantienen campos normalizados. Los campos que no se normalizan tienen menos valor cuando se combinan con otros orígenes. Algunos analizadores admiten el parámetro pack. Cuando el parámetro pack se establece en true, el analizador empaquetará datos adicionales en el campo dinámico AdditionalFields.
En el artículo de lista de analizadores se muestran analizadores que admiten el parámetro pack.
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Introducción a los analizadores de ASIM
- Administración de analizadores de ASIM
- Desarrollo de analizadores de ASIM personalizados
- La lista de analizadores de ASIM
Obtenga más información sobre ASIM en general:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)