Utilisation de l’Advanced SIEM Information Model (ASIM) (préversion publique)
Utilisez les analyseurs du modèle ASIM (Advanced Security Information Model) au lieu des noms de table dans vos requêtes Microsoft Sentinel pour voir les données dans un format normalisé et ajouter toutes les données correspondant au schéma dans votre requête. Consultez le tableau ci-dessous pour rechercher l’analyseur correspondant à chaque schéma.
Important
ASIM n’est actuellement disponible qu’en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Analyseurs d’unification
Quand vous utilisez ASIM dans vos requêtes, utilisez des analyseurs d’unification pour combiner toutes les sources, normalisées sur le même schéma, et les interroger en utilisant des champs normalisés. Le nom de l’analyseur d’unification est _Im_<schema> pour les analyseurs intégrés et im<schema> pour les analyseurs déployés par l’espace de travail, où <schema> correspond au schéma spécifique qu’il sert.
Par exemple, la requête suivante utilise l’analyseur DNS d’unification intégré pour interroger les événements DNS en utilisant les champs normalisés ResponseCodeName, SrcIpAddr et TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
L’exemple utilise des paramètres de filtrage, qui améliorent les performances ASIM. Le même exemple sans filtrage des paramètres se présente comme suit :
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Notes
Quand vous utilisez des analyseurs ASIM dans la page Journaux, le sélecteur de plage horaire est défini sur custom. Vous pouvez toujours définir l’intervalle de temps vous-même. Vous pouvez également spécifier l’intervalle de temps à l’aide des paramètres de l’analyseur.
Le tableau suivant répertorie les analyseurs d’unification disponibles :
| schéma | Analyseurs d’unification |
|---|---|
| Événement d’audit | _Im_AuditEvent |
| Authentification | imAuthentication |
| DNS | _Im_Dns |
| Événement de fichier | imFileEvent |
| Session réseau | _Im_NetworkSession |
| Événement de processus | - imProcessCreate - imProcessTerminate |
| Événement du Registre | imRegistry |
| Session web | _Im_WebSession |
Optimisation de l’analyse à l’aide de paramètres
L’utilisation d’analyseurs peut impacter les performances de vos requêtes, principalement par le filtrage des résultats après l’analyse. Pour cette raison, de nombreux analyseurs ont des paramètres de filtrage facultatifs qui vous permettent de filtrer avant d’analyser et d’améliorer les performances des requêtes. Avec l’optimisation des requêtes et les efforts de préfiltrage, les analyseurs ASIM offrent souvent de meilleures performances par rapport aux cas où la normalisation n’est pas du tout utilisée.
Lors de l’appel de l’analyseur, utilisez toujours les paramètres de filtrage disponibles en ajoutant un ou plusieurs paramètres nommés pour garantir des performances optimales des analyseurs ASIM.
Chaque schéma a un ensemble standard de paramètres de filtrage documentés dans la documentation de schéma appropriée. Les paramètres de filtrage sont entièrement facultatifs. Les schémas suivants prennent en charge les paramètres de filtrage :
Chaque schéma qui prend en charge les paramètres de filtrage prend en charge au moins les paramètres starttime et endtime et les utiliser est souvent essentiel pour optimiser les performances.
Pour obtenir un exemple d’utilisation des analyseurs de filtrage, consultez Analyseurs d’unification ci-dessus.
Paramètre pack
Pour garantir l’efficacité, les analyseurs assure la maintenance des champs normalisés uniquement. Les champs qui ne sont pas normalisés ont moins de valeur lorsqu’ils sont combinés avec d’autres sources. Certains analyseurs prennent en charge le paramètre pack. Lorsque le paramètre pack est défini sur true, l’analyseur compacte des données supplémentaires dans le champ dynamique AdditionalFields.
L’article Liste des analyseurs indique les analyseurs qui prennent en charge le paramètre pack.
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
- Vue d’ensemble des analyseurs ASIM
- Gérer les analyseurs ASIM
- Développer des analyseurs ASIM
- Liste des analyseurs ASIM
En savoir plus sur le modèle ASIM en général :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Schémas de l’Advanced SIEM Information Model (ASIM)
- Contenu de l’Advanced SIEM Information Model (ASIM)