Partekatu honen bidez:


Uso del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)

Use analizadores del Modelo avanzado de información de seguridad (ASIM), en lugar de nombres de tabla, en sus consultas de Microsoft Sentinel a fin de ver los datos en un formato normalizado e incluir todos los datos pertinentes para el esquema en una consulta. Consulte la tabla siguiente para encontrar el analizador pertinente para cada esquema.

Importante

ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Unificación de analizadores

Al usar ASIM en las consultas, use analizadores de unificación para combinar todos los orígenes, normalizados en el mismo esquema, y consultarlos mediante campos normalizados. El nombre del analizador de unificación es _Im_<schema> para los analizadores integrados y im<schema> para los analizadores implementados en el área de trabajo, donde <schema> representa el esquema específico al que sirve.

Por ejemplo, en la consulta siguiente se usa el analizador DNS de unificación integrado para consultar eventos de DNS mediante los campos normalizados ResponseCodeName, SrcIpAddr y TimeGenerated:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

En el ejemplo se usan parámetros de filtrado, que mejoran el rendimiento de ASIM. El mismo ejemplo sin filtrar parámetros tendría este aspecto:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Nota

Al usar los analizadores de ASIM en la página Registros, el selector de intervalo de tiempo se establece en custom. Puede seguir estableciendo el intervalo de tiempo por sí mismo. Como alternativa, puede especificar el intervalo de tiempo mediante parámetros de analizador.

En la tabla siguiente se muestran los analizadores de unificación disponibles:

Schema Unificación del analizador
Evento de auditoría _Im_AuditEvent
Authentication imAuthentication
Dns _Im_Dns
Evento de archivo imFileEvent
Sesión de red _Im_NetworkSession
Evento de proceso - imProcessCreate
- imProcessTerminate
Evento del Registro imRegistry
Sesión web _Im_WebSession

Optimización del análisis mediante parámetros

El uso de analizadores puede afectar al rendimiento de las consultas, principalmente por tener que filtrar los resultados después del análisis. Por este motivo, muchos analizadores tienen parámetros de filtrado opcionales que le permiten filtrar antes de analizar y mejoran el rendimiento de las consultas. Junto con los esfuerzos de optimización de consultas y filtrado previo, los analizadores de ASIM a menudo proporcionan un mejor rendimiento en comparación con la no utilización de la normalización en absoluto.

Al invocar el analizador, use siempre los parámetros de filtrado disponibles agregando uno o varios parámetros con nombre para garantizar un rendimiento óptimo de los analizadores de ASIM.

Cada esquema tiene documentado un conjunto estándar de parámetros de filtrado en la documentación de esquema pertinente. Los parámetros de filtrado son completamente opcionales. Los esquemas siguientes admiten parámetros de filtrado:

Cada esquema que admite parámetros de filtrado admite al menos los parámetros starttime y endtime y su uso suele ser fundamental para optimizar el rendimiento.

Para obtener un ejemplo del uso de analizadores de filtrado, vea la sección anteriorUnificación de analizadores.

El parámetro pack

Para garantizar la eficacia, los analizadores solo mantienen campos normalizados. Los campos que no se normalizan tienen menos valor cuando se combinan con otros orígenes. Algunos analizadores admiten el parámetro pack. Cuando el parámetro pack se establece en true, el analizador empaquetará datos adicionales en el campo dinámico AdditionalFields.

En el artículo de lista de analizadores se muestran analizadores que admiten el parámetro pack.

Pasos siguientes

Más información sobre los analizadores de ASIM:

Obtenga más información sobre ASIM en general: