Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans Microsoft Sentinel, l’analyse et la normalisation se produisent au moment de la requête. Les analyseurs sont générés en tant que fonctions KQL définies par l’utilisateur qui transforment des données dans des tables existantes, telles que CommonSecurityLog, des tables de journaux personnalisées ou Syslog, dans le schéma normalisé.
Les utilisateurs utilisent des analyseurs ASIM (Advanced Security Information Model) au lieu de noms de table dans leurs requêtes pour afficher les données dans un format normalisé et inclure toutes les données pertinentes pour le schéma dans votre requête.
Pour comprendre comment les analyseurs s’intègrent dans l’architecture ASIM, reportez-vous au diagramme de l’architecture ASIM.
Analyseurs ASIM intégrés et analyseurs déployés dans l’espace de travail
Les analyseurs ASIM sont intégrés et disponibles prêtes à l’emploi dans chaque espace de travail Microsoft Sentinel.
ASIM prend également en charge le déploiement d’analyseurs dans des espaces de travail spécifiques à partir de GitHub, à l’aide d’un modèle ARM. Les analyseurs déployés par l’espace de travail sont utilisés pour le développement et la gestion de l’analyseur ASIM. Les analyseurs déployés par l’espace de travail sont fonctionnellement équivalents, mais ont des conventions d’affectation de noms légèrement différentes, ce qui permet aux deux jeux d’analyseurs de coexister avec des analyseurs intégrés dans le même Microsoft Sentinel’espace de travail. En savoir plus sur les analyseurs déployés par l’espace de travail pour les déployer, les utiliser et les gérer.
Il est recommandé d’utiliser des analyseurs intégrés lors du développement de contenu ASIM. Les analyseurs déployés par l’espace de travail sont généralement utilisés pendant le processus de développement de l’analyseur ou pour fournir des versions modifiées des analyseurs intégrés, comme décrit dans Gestion des analyseurs
Hiérarchie et nommage de l’analyseur
ASIM comprend deux niveaux d’analyseurs : l’analyseur d’unification et les analyseurs spécifiques à la source . L’utilisateur utilise généralement l’analyseur d’unification pour le schéma approprié, ce qui garantit que toutes les données pertinentes pour le schéma sont interrogées. L’analyseur d’unification appelle à son tour des analyseurs spécifiques à la source pour effectuer l’analyse et la normalisation réelles, qui sont spécifiques à chaque source.
Le nom de l’analyseur d’unification est l’emplacement _Im_<schema> correspondant <schema> au schéma spécifique qu’il sert. Les analyseurs spécifiques à la source peuvent également être utilisés indépendamment. Leur convention de nommage est _Im_<schema>_<source>V<version>. Vous trouverez une liste d’analyseurs spécifiques à la source dans la liste des analyseurs ASIM.
Remarque
Ensemble correspondant d’analyseurs qui utilisent _ASim_<schema>. Ces analyseurs ne prennent pas en charge les paramètres de filtrage et sont fournis à des fins de compatibilité descendante.
Conseil
La hiérarchie de l’analyseur ajoute une couche pour prendre en charge la personnalisation. Pour plus d’informations, consultez Gestion des analyseurs ASIM.
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
- Utiliser des analyseurs ASIM
- Développer des analyseurs ASIM personnalisés
- Gérer les analyseurs ASIM
- Liste des analyseurs ASIM
Pour plus d’informations sur ASIM, en général, consultez :
- Regardez le webinaire approfondi sur Microsoft Sentinel normalisation des analyseurs et du contenu normalisé ou passez en revue les diapositives
- Vue d’ensemble du modèle ASIM (Advanced Security Information Model)
- Schémas ASIM (Advanced Security Information Model)
- Contenu ASIM (Advanced Security Information Model)