Az Advanced Security Information Model (ASIM) használata (nyilvános előzetes verzió)

  • Cikk

A Microsoft Sentinel-lekérdezésekben szereplő táblanevek helyett használja az Advanced Security Information Model (ASIM) elemzőket az adatok normalizált formátumban való megtekintéséhez, valamint a sémához kapcsolódó összes adat lekérdezésbe való belefoglalásához. Az egyes sémákhoz tartozó elemzők megkereséséhez tekintse meg az alábbi táblázatot.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

Elemzők egyesítése

Ha az ASIM-et használja a lekérdezésekben, egyesítő elemzőkkel egyesítse az összes forrást, normalizálja ugyanazt a sémát, és normalizált mezőkkel kérdezze le őket. Az egységesítő elemző neve _Im_<schema> a beépített elemzőkhöz és im<schema> a munkaterületen üzembe helyezett elemzőkhöz tartozik, ahol <schema> az adott sémát jelöli.

A következő lekérdezés például a beépített egységesítő DNS-elemzőt használja a DNS-események lekérdezéséhez a , SrcIpAddrés TimeGenerated normalizált ResponseCodeNamemezők használatával:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

A példa szűrési paramétereket használ, amelyek javítják az ASIM teljesítményét. Ugyanez a példa a paraméterek szűrése nélkül a következőképpen nézne ki:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Megjegyzés

Ha az ASIM-elemzőket a Naplók lapon használja, az időtartomány-választó értéke custom. Az időtartományt saját maga is beállíthatja. Másik lehetőségként adja meg az időtartományt az elemzőparaméterek használatával.

Az alábbi táblázat az elérhető egységesítő elemzőket sorolja fel:

Séma Elemző egységesítése
Esemény naplózása _Im_AuditEvent
Hitelesítés imAuthentication
DNS _Im_Dns
Fájlesemény imFileEvent
Hálózati munkamenet _Im_NetworkSession
Folyamatesemény - imProcessCreate
- imProcessTerminate
Beállításjegyzék-esemény imRegistry
Webes munkamenet _Im_WebSession

Elemzés optimalizálása paraméterek használatával

Az elemzők használata hatással lehet a lekérdezés teljesítményére, elsősorban az eredmények elemzés utáni szűréséből. Emiatt számos elemző opcionális szűrési paraméterekkel rendelkezik, amelyek lehetővé teszik a szűrést az elemzés előtt, és javítják a lekérdezési teljesítményt. A lekérdezésoptimalizálás és az előszűrési erőfeszítések révén az ASIM-elemzők gyakran jobb teljesítményt nyújtanak, ha egyáltalán nem használnak normalizálást.

Az elemző meghívásakor mindig használjon elérhető szűrési paramétereket úgy, hogy hozzáad egy vagy több elnevezett paramétert az ASIM-elemzők optimális teljesítményének biztosításához.

Minden séma rendelkezik a vonatkozó sémadokumentációban dokumentált szabványos szűrési paraméterekkel. A szűrési paraméterek nem kötelezőek. A következő sémák támogatják a szűrési paramétereket:

Minden olyan séma, amely támogatja a szűrési paramétereket, legalább a és endtime a starttime paramétereket támogatja, és ezek használata gyakran kritikus fontosságú a teljesítmény optimalizálásához.

A szűrőelemzők használatára a fenti Elemzések egységesítése című témakörben talál példát.

A csomag paramétere

A hatékonyság biztosítása érdekében az elemzők csak normalizált mezőket tartanak fenn. A nem normalizált mezők más forrásokkal kombinálva kevesebb értékkel rendelkeznek. Egyes elemzők támogatják a csomagparamétert . Ha a csomagparaméter értéke true, az elemző további adatokat fog csomagolni az AdditionalFields dinamikus mezőbe.

Az elemzők listája acsomagparamétert támogató jegyzetelemzőket tartalmazza.

Következő lépések

További információk az ASIM-elemzőkről:

További információ az ASIM-ről általában: