Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Dans Microsoft Sentinel, l’analyse et la normalisation se produisent au moment de la requête. Les analyseurs sont créés en tant que fonctions définies par l’utilisateur KQL qui transforment les données des tables existantes, telles que CommonSecurityLog, les tables de journaux personnalisées ou Syslog, dans le schéma normalisé.
Les utilisateurs se servent des analyseurs de l’Advanced SIEM Information Model (ASIM) au lieu des noms de table dans leurs requêtes pour voir les données dans un format normalisé et ajouter toutes les données correspondant au schéma dans votre requête.
Pour comprendre comment les analyseurs s’intègrent dans l’architecture ASIM, consultez le Diagramme de l’architecture ASIM.
Analyseurs ASIM intégrés et analyseurs déployés par l’espace de travail
Les analyseurs ASIM sont intégrés et disponibles dans chaque espace de travail Microsoft Sentinel.
ASIM prend également en charge le déploiement d’analyseurs sur des espaces de travail spécifiques à partir de GitHub, à l’aide d’un modèle ARM. Les analyseurs déployés dans l’espace de travail sont utilisés pour le développement et la gestion de l’analyseur ASIM. Les analyseurs déployés dans l’espace de travail sont fonctionnellement équivalents, mais ont des conventions d’affectation de noms légèrement différentes, ce qui permet aux deux jeux d’analyseurs d’analyse de coexister avec les analyseurs intégrés dans le même espace de travail Microsoft Sentinel. En savoir plus sur les analyseurs déployés dans l’espace de travail pour les déployer, les utiliser et les gérer.
Il est recommandé d’utiliser des analyseurs intégrés lors du développement de contenu ASIM. Les analyseurs déployés dans l’espace de travail sont généralement utilisés pendant le processus de développement de l’analyseur ou pour fournir des versions modifiées des analyseurs intégrés, comme décrit dans la gestion des analyseurs
Hiérarchie et nommage des analyseurs
ASIM comprend deux niveaux d’analyseurs : les analyseurs d’unification et les analyseurs spécifiques de la source. L’utilisateur se sert généralement de l’analyseur d’unification pour le schéma correspondant, garantissant l’interrogation de toutes les données correspondant au schéma. À son tour, l’analyseur d’unification appelle des analyseurs spécifiques de la source pour effectuer l’analyse et la normalisation réelles, qui sont spécifiques pour chaque source.
Le nom de l’analyseur unifiant est _Im_<schema>, où <schema> représente le schéma spécifique qu’il sert. Les analyseurs spécifiques à la source peuvent également être utilisés indépendamment. Leur convention d’affectation de noms est _Im_<schema>_<source>V<version>. Vous trouverez une liste d’analyseurs spécifiques à la source dans la liste des analyseurs ASIM.
Note
Ensemble correspondant d’analyseurs qui utilisent _ASim_<schema>. Ces analyseurs ne prennent pas en charge les paramètres de filtrage et sont fournis pour la compatibilité descendante.
Conseil
La hiérarchie de l’analyseur ajoute une couche pour prendre en charge la personnalisation. Pour plus d’informations, consultez Gestion des analyseurs ASIM.
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
- Utiliser des analyseurs ASIM
- Développer des analyseurs ASIM
- Gérer les analyseurs ASIM
- Liste des analyseurs ASIM
Pour plus d’informations sur ASIM en général, consultez :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble du modèle ASIM (Advanced Security Information Model)
- Schémas du modèle ASIM (Advanced Security Information Model)
- Contenu du modèle ASIM (Advanced Security Information Model)