Analyseurs de l’Advanced SIEM Information Model (ASIM) (préversion publique)
Dans Microsoft Sentinel, l’analyse et la normalisation se produisent au moment de la requête. Les analyseurs sont créés en tant que fonctions définies par l’utilisateur KQL qui transforment les données des tables existantes, telles que CommonSecurityLog, les tables de journaux personnalisées ou Syslog, dans le schéma normalisé.
Les utilisateurs se servent des analyseurs de l’Advanced SIEM Information Model (ASIM) au lieu des noms de table dans leurs requêtes pour voir les données dans un format normalisé et ajouter toutes les données correspondant au schéma dans votre requête.
Pour comprendre comment les analyseurs s’intègrent dans l’architecture ASIM, consultez le Diagramme de l’architecture ASIM.
Important
ASIM n’est actuellement disponible qu’en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Analyseurs ASIM intégrés et analyseurs déployés par l’espace de travail
De nombreux analyseurs ASIM sont intégrés et prêts à l’emploi dans chaque espace de travail Microsoft Sentinel. ASIM prend également en charge le déploiement d’analyseurs sur des espaces de travail spécifiques de GitHub, à partir d’un modèle ARM ou manuellement. Les analyseurs prêts à l’emploi et les analyseurs déployés par l’espace de travail sont fonctionnellement équivalents, mais ont des conventions de nommage légèrement différentes, ce qui permet aux deux ensembles d’analyseurs de coexister dans le même espace de travail Microsoft Sentinel.
Chaque méthode a des avantages par rapport à l’autre :
| Comparer | Intégré | Déployé par l’espace de travail |
|---|---|---|
| Avantages | Existe dans chaque instance Microsoft Sentinel. Utilisable avec un autre contenu intégré. |
Les nouveaux analyseurs sont souvent livrés d’abord comme des analyseurs déployés par l’espace de travail. |
| Inconvénients | Ne peut pas être directement modifié par les utilisateurs. Moins d’analyseurs disponibles. |
Non utilisé par le contenu intégré. |
| Quand utiliser | Dans la plupart des cas où vous avez besoin d’analyseurs ASIM. | Pendant le déploiement de nouveaux analyseurs ou pour les analyseurs qui ne sont pas encore disponibles prêts à l’emploi. |
Il est recommandé d’utiliser des analyseurs intégrés pour les schémas pour lesquels les analyseurs intégrés sont disponibles.
Hiérarchie et nommage des analyseurs
ASIM comprend deux niveaux d’analyseurs : les analyseurs d’unification et les analyseurs spécifiques de la source. L’utilisateur se sert généralement de l’analyseur d’unification pour le schéma correspondant, garantissant l’interrogation de toutes les données correspondant au schéma. À son tour, l’analyseur d’unification appelle des analyseurs spécifiques de la source pour effectuer l’analyse et la normalisation réelles, qui sont spécifiques pour chaque source.
Le nom de l’analyseur d’unification est _Im_<schema> pour les analyseurs intégrés et im<schema> pour les analyseurs déployés par l’espace de travail, où <schema> correspond au schéma spécifique qu’il sert. Les analyseurs spécifiques à la source peuvent également être utilisés indépendamment. Utilisez _Im_<schema>_<source> pour les analyseurs intégrés et vim<schema><source> pour les analyseurs déployés par l’espace de travail. Par exemple, dans un workbook propre à Infoblox, utilisez l’analyseur spécifique de la source _Im_Dns_InfobloxNIOS. Vous trouverez une liste d’analyseurs spécifiques à la source dans la liste des analyseurs ASIM.
Conseil
Un ensemble correspondant d’analyseurs qui utilisent _ASim_<schema> et ASim<Schema> sont également disponibles. Ces analyseurs ne prennent pas en charge les paramètres de filtrage et sont fournis pour aider à atténuer le problème de électeur de temps défini sur une plage personnalisée. Utilisez ces analyseurs uniquement de manière interactive dans l’écran des journaux, et nulle part ailleurs, comme dans des classeurs ou des règles analytiques. Il est possible que ces analyseurs ne soient pas supprimés une fois le problème résolu.
Conseil
La hiérarchie des analyseurs intégrés ajoute une couche qui prend en charge la personnalisation. Pour plus d’informations, consultez Gestion des analyseurs ASIM.
Étapes suivantes
En savoir plus sur les analyseurs ASIM :
- Utiliser des analyseurs ASIM
- Développer des analyseurs ASIM
- Gérer les analyseurs ASIM
- Liste des analyseurs ASIM
Pour plus d’informations sur ASIM en général, consultez :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Schémas de l’Advanced SIEM Information Model (ASIM)
- Contenu de l’Advanced SIEM Information Model (ASIM)