Oharra
Baimena behar duzu orria atzitzeko. Direktorioetan saioa has dezakezu edo haiek alda ditzakezu.
Baimena behar duzu orria atzitzeko. Direktorioak alda ditzakezu.
En Microsoft Sentinel, el análisis y la normalización se producen en el momento de la consulta. Los analizadores se crean como funciones definidas por el usuario de KQL que transforman los datos de las tablas existentes, como CommonSecurityLog, tablas de registros personalizadas o Syslog, en el esquema normalizado.
Los usuarios usan analizadores del modelo de información de seguridad avanzada (ASIM) en lugar de nombres de tabla en sus consultas para ver los datos en un formato normalizado e incluir todos los datos relevantes para el esquema en la consulta.
Para comprender cómo encajan los analizadores dentro de la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
Analizadores de ASIM integrados y analizadores implementados en el área de trabajo
Los analizadores de ASIM están integrados y disponibles de forma integrada en cada área de trabajo Microsoft Sentinel.
ASIM también admite la implementación de analizadores en áreas de trabajo específicas desde GitHub mediante una plantilla de ARM. Los analizadores implementados en el área de trabajo se usan para el desarrollo y la administración del analizador de ASIM. Los analizadores implementados en el área de trabajo son funcionalmente equivalentes, pero tienen convenciones de nomenclatura ligeramente diferentes, lo que permite que ambos conjuntos de analizadores coexistan con analizadores integrados en el mismo área de trabajo Microsoft Sentinel. Obtenga más información sobre los analizadores implementados en el área de trabajo para implementarlos, usarlos y administrarlos.
Se recomienda usar analizadores integrados al desarrollar contenido de ASIM. Los analizadores implementados en el área de trabajo se usan normalmente durante el proceso de desarrollo del analizador o para proporcionar versiones modificadas de analizadores integrados, como se describe en administración de analizadores.
Jerarquía y nomenclatura del analizador
ASIM incluye dos niveles de analizadores: unificando analizadores y analizadores específicos de origen . El usuario suele usar el analizador de unificación para el esquema correspondiente, lo que garantiza que se consultan todos los datos relevantes para el esquema. A su vez, el analizador de unificación llama a analizadores específicos del origen para realizar el análisis y la normalización reales, que es específico para cada origen.
El nombre del analizador unificador es _Im_<schema> donde <schema> significa el esquema específico que sirve. Los analizadores específicos de origen también se pueden usar de forma independiente. Su convención de nomenclatura es _Im_<schema>_<source>V<version>. Puede encontrar una lista de analizadores específicos de origen en la lista de analizadores de ASIM.
Nota:
Conjunto correspondiente de analizadores que usan _ASim_<schema>. Estos analizadores no admiten parámetros de filtrado y se proporcionan para la compatibilidad con versiones anteriores.
Sugerencia
La jerarquía del analizador agrega una capa para admitir la personalización. Para obtener más información, consulte Administración de analizadores de ASIM.
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Uso de analizadores de ASIM
- Desarrollo de analizadores personalizados de ASIM
- Administración de analizadores de ASIM
- Lista de analizadores de ASIM
Para obtener más información sobre ASIM, en general, consulte:
- Vea el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)