Uso de analizadores de ASIM
En Microsoft Sentinel, el análisis y la normalización tienen lugar en el tiempo de consulta. Los analizadores se crean como funciones definidas por el usuario de KQL que transforman los datos de tablas existentes, como CommonSecurityLog, tablas de registros personalizados o Syslog, al esquema normalizado.
Los usuarios utilizan los analizadores del Modelo avanzado de información de seguridad (ASIM) en lugar de nombres de tabla en sus consultas a fin de ver los datos en un formato normalizado e incluir todos los datos pertinentes para el esquema en una consulta.
Analizadores de ASIM integrados y analizadores implementados en el área de trabajo
Muchos analizadores de ASIM están integrados y disponibles de forma predeterminada en cada área de trabajo de Microsoft Sentinel. ASIM también admite la implementación de analizadores en áreas de trabajo específicas de GitHub mediante una plantilla de ARM o manualmente. Los analizadores integrados y los implementados en el área de trabajo son funcionalmente equivalentes, pero tienen convenciones de nomenclatura ligeramente diferentes, lo que permite que ambos conjuntos de analizadores coexistan en la misma área de trabajo de Microsoft Sentinel.
Cada método tiene ventajas respecto al otro:
| Comparar | Integrada | Implementados en el área de trabajo |
|---|---|---|
| Ventajas | Existen en todas las instancias de Microsoft Sentinel. Utilizables con otro contenido integrado. | A menudo, los nuevos analizadores se entregan primero como analizadores implementados en el área de trabajo. |
| Desventajas | Los usuarios no los pueden modificar directamente. Menos analizadores disponibles. | No los usa el contenido integrado. |
| Cuándo se usa | Se usan en la mayoría de los casos en que necesite analizadores de ASIM. | Se usan al implementar nuevos analizadores o para analizadores que aún no están disponibles de forma integrada. |
Se recomienda usar los analizadores integrados en los esquemas para los que se dispone de analizadores integrados.
Jerarquía del analizador
ASIM incluye dos niveles de analizadores: unificadores y específicos del origen. Normalmente, el usuario usa el analizador unificador para el esquema pertinente, lo que garantiza que se consultan todos los datos pertinentes para el esquema. A su vez, el analizador unificador llama a los analizadores específicos del origen para realizar el análisis real y la normalización, que es específica de cada origen.
El nombre del analizador de unificación es _Im_Schema para los analizadores integrados y imSchema para los analizadores implementados en el espacio de trabajo. Schema representa el esquema específico que sirve. Los analizadores específicos de origen también se pueden usar de forma independiente. Por ejemplo, en un libro específico de Infoblox, use el analizador específico de origen vimDnsInfobloxNIOS.
Unificación de analizadores
Al usar ASIM en las consultas, use analizadores de unificación para combinar todos los orígenes, normalizados en el mismo esquema, y consultarlos mediante campos normalizados.
Por ejemplo, la siguiente consulta usa el analizador DNS de unificación integrado para consultar eventos de DNS mediante los campos normalizados ResponseCodeName, SrcIpAddr y TimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En el ejemplo se usan parámetros de filtrado, que mejoran el rendimiento de ASIM. El mismo ejemplo sin filtrar parámetros tendría este aspecto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En la tabla siguiente se muestran los analizadores de unificación disponibles:
| Schema | Unificación del analizador |
|---|---|
| Authentication | imAuthentication |
| Dns | _Im_Dns |
| Evento de archivo | imFileEvent |
| Sesión de red | _Im_NetworkSession |
| Evento de proceso | imProcessCreate e imProcessTerminate |
| Evento del Registro | imRegistry |
| Sesión web | _Im_WebSession |
Optimización del análisis mediante parámetros
El uso de analizadores puede afectar al rendimiento de las consultas, principalmente por tener que filtrar los resultados después del análisis. Por este motivo, muchos analizadores tienen parámetros de filtrado opcionales que le permiten filtrar antes de analizar y mejoran el rendimiento de las consultas. Junto con los esfuerzos de optimización de consultas y filtrado previo, los analizadores de ASIM a menudo proporcionan un mejor rendimiento en comparación con la no utilización de la normalización en absoluto.
Al invocar el analizador, use siempre los parámetros de filtrado disponibles agregando uno o varios parámetros con nombre para garantizar un rendimiento óptimo de los analizadores de ASIM.
Cada esquema tiene documentado un conjunto estándar de parámetros de filtrado en la documentación de esquema pertinente. Los parámetros de filtrado son completamente opcionales. Los esquemas siguientes admiten parámetros de filtrado:
- Authentication
- DNS
- Sesión de red
- Sesión web
Cada esquema que admite parámetros de filtrado admite al menos los parámetros starttime y enttime, y su uso suele ser fundamental para optimizar el rendimiento.