Utiliser les analyseurs ASIM
Dans Microsoft Sentinel, l’analyse et la normalisation se produisent au moment de la requête. Les analyseurs sont construits sous forme de fonctions définies par l'utilisateur KQL qui transforment les données provenant de tables existantes, telles que CommonSecurityLog, des tables de journaux personnalisés ou Syslog, vers le schéma normalisé.
Les utilisateurs utilisent des analyseurs ASIM (Advanced Security Information Model) au lieu de noms de tables dans leurs requêtes pour afficher les données dans un format normalisé et inclure toutes les données pertinentes pour le schéma dans votre requête.
Analyseurs ASIM intégrés et analyseurs déployés par l’espace de travail
De nombreux analyseurs ASIM sont intégrés et prêts à l’emploi dans chaque espace de travail Microsoft Sentinel. ASIM prend également en charge le déploiement d’analyseurs sur des espaces de travail spécifiques à partir de GitHub, à l’aide d’un modèle ARM ou manuellement. Les analyseurs prêts à l’emploi et les analyseurs déployés par l’espace de travail sont fonctionnellement équivalents, mais ont des conventions de nommage légèrement différentes, ce qui permet aux deux ensembles d’analyseurs de coexister dans le même espace de travail Microsoft Sentinel.
Chaque méthode a des avantages par rapport à l’autre :
| Comparaison | Intégré | Déployé par l’espace de travail |
|---|---|---|
| Avantages | Existe dans chaque instance Microsoft Sentinel. Utilisable avec un autre contenu intégré. | Les nouveaux analyseurs sont souvent livrés d’abord comme des analyseurs déployés par l’espace de travail. |
| Inconvénients | Ne peut pas être modifié directement par les utilisateurs. Moins d’analyseurs disponibles. | Non utilisé par le contenu intégré. |
| Quand utiliser | Dans la plupart des cas où vous avez besoin d’analyseurs ASIM. | Pendant le déploiement de nouveaux analyseurs ou pour les analyseurs qui ne sont pas encore disponibles prêts à l’emploi. |
Il est recommandé d’utiliser des analyseurs intégrés pour les schémas pour lesquels les analyseurs intégrés sont disponibles.
Hiérarchie de l’analyseur
ASIM comprend deux niveaux d’analyseurs : l’analyseur unifiant et les analyseurs spécifiques à la source. L’utilisateur utilise généralement l’analyseur unifiant pour le schéma approprié, ce qui garantit que toutes les données pertinentes pour le schéma sont interrogées. L’analyseur unifiant appelle à son tour des analyseurs spécifiques à la source pour effectuer l’analyse et la normalisation réelles, qui est spécifique pour chaque source.
Le nom de l’analyseur unifiant est _Im_Schema pour les analyseurs intégrés et imSchema pour les analyseurs déployés dans l’espace de travail. Où Schema correspond au schéma spécifique qu’il sert. Les analyseurs spécifiques à la source peuvent également être utilisés indépendamment. Par exemple, dans un classeur propre à Infoblox, utilisez l’analyseur vimDnsInfobloxNIOS spécifique à la source.
Analyseurs d’unification
Lorsque vous utilisez ASIM dans vos requêtes, utilisez des analyseurs unifiants pour combiner toutes les sources, normalisés dans le même schéma et les interroger à l’aide de champs normalisés.
Par exemple, la requête suivante utilise l’analyseur DNS intégré pour interroger des événements DNS à l’aide des champs normalisés ResponseCodeName, SrcIpAddr et TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
L’exemple utilise des paramètres de filtrage, qui améliorent les performances ASIM. Le même exemple sans filtrage des paramètres ressemble à ceci :
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Le tableau suivant répertorie les analyseurs unifiants disponibles :
| Schéma | Analyseur unifiant |
|---|---|
| Authentification | imAuthentication |
| DNS | _Im_Dns |
| Événement de fichier | imFileEvent |
| Session réseau | _Im_NetworkSession |
| Événement de processus | imProcessCreate et imProcessTerminate |
| Événement de registre | imRegistry |
| Session web | _Im_WebSession |
Optimisation de l’analyse à l’aide de paramètres
L’utilisation d’analyseurs peut avoir un impact sur les performances de votre requête, principalement à partir du filtrage des résultats après l’analyse. Pour cette raison, de nombreux analyseurs ont des paramètres de filtrage facultatifs, ce qui vous permet de filtrer avant d’analyser et d’améliorer les performances des requêtes. Avec les efforts d'optimisation des requêtes et de pré-filtrage, les analyseurs ASIM offrent souvent de meilleures performances par rapport à l'absence totale de normalisation.
Lors de l’appel de l’analyseur, utilisez toujours les paramètres de filtrage disponibles en ajoutant un ou plusieurs paramètres nommés pour garantir des performances optimales des analyseurs ASIM.
Chaque schéma a un ensemble standard de paramètres de filtrage documentés dans la documentation de schéma appropriée. Les paramètres de filtrage sont entièrement facultatifs. Les schémas suivants prennent en charge le filtrage des paramètres :
- Authentification
- Système de noms de domaine (DNS)
- Session réseau
- Session web
Chaque schéma qui prend en charge les paramètres de filtrage prend en charge au moins les paramètres starttime et enttime et leur utilisation est souvent essentiel pour optimiser les performances.