Az Advanced Security Information Model (ASIM) elemzői (nyilvános előzetes verzió)

  • Cikk

A Microsoft Sentinelben az elemzés és a normalizálás lekérdezéskor történik. Az elemzők KQL felhasználó által definiált függvényekként vannak létrehozva, amelyek a meglévő táblákban lévő adatokat( például CommonSecurityLog, egyéni naplótáblák vagy Syslog) normalizált sémává alakítják.

A felhasználók a lekérdezésekben szereplő táblanevek helyett az Advanced Security Information Model (ASIM) elemzőket használják az adatok normalizált formátumban való megtekintéséhez, valamint a sémához kapcsolódó összes adat lekérdezésbe való belefoglalásához.

Az elemzők ASIM-architektúrán belüli illeszkedéséről az ASIM-architektúra diagramjában tájékozódhat.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

Beépített ASIM-elemzők és munkaterület által üzembe helyezett elemzők

Számos ASIM-elemző beépített, és minden Microsoft Sentinel-munkaterületen gyárilag elérhető. Az ASIM támogatja az elemzők gitHubról történő üzembe helyezését is egy ARM-sablon használatával vagy manuálisan. Mind a beépített, mind a munkaterületen üzembe helyezett elemzők funkcionálisan egyenértékűek, de némileg eltérő elnevezési szabályaik vannak, így mindkét elemzőkészlet egyidejűleg létezhet ugyanazon a Microsoft Sentinel-munkaterületen.

Mindegyik módszernek vannak előnyei a másikhoz képest:

Összehasonlítás Beépített Munkaterület üzembe helyezése
Előnyök Minden Microsoft Sentinel-példányban létezik.

Más beépített tartalommal használható.		 Az új elemzőket gyakran először munkaterületen üzembe helyezett elemzőkként kézbesítik.
Hátrányok A felhasználók nem módosíthatják közvetlenül.

Kevesebb elemző érhető el.		 A beépített tartalom nem használja.
A következő esetekben használja A legtöbb esetben ASIM-elemzőkre van szüksége. Új elemzők üzembe helyezésekor vagy olyan elemzőknél használható, amelyek még nem érhetők el a dobozon kívül.

Javasoljuk, hogy beépített elemzőket használjon olyan sémákhoz, amelyekhez beépített elemzők érhetők el.

Elemzési hierarchia és elnevezés

Az ASIM két elemzőszintet tartalmaz: az elemző és a forrásspecifikus elemzők egységesítését. A felhasználó általában az egységesítő elemzőt használja a megfelelő sémához, így biztosítva, hogy a séma szempontjából releváns összes adat lekérdezhető legyen. Az egyesítő elemzők pedig forrásspecifikus elemzőket hívnak meg a tényleges elemzés és normalizálás végrehajtásához, amely az egyes forrásokra jellemző.

Az egységesítő elemző neve _Im_<schema> a beépített elemzőkhöz és im<schema> a munkaterületen üzembe helyezett elemzőkhöz tartozik, ahol <schema> az adott sémát jelöli. A forrásspecifikus elemzők egymástól függetlenül is használhatók. Beépített elemzőkhöz és vim<schema><source> munkaterületen üzembe helyezett elemzőkhöz használható_Im_<schema>_<source>. Egy Infoblox-specifikus munkafüzetben például használja a _Im_Dns_InfobloxNIOS forrásspecifikus elemzőt. Az ASIM-elemzők listájában megtalálhatja a forrásspecifikus elemzők listáját.

Tipp

A és a használható elemzők _ASim_<schema>ASim<Schema> megfelelő készlete. A tetszetős elemzők nem támogatják a szűrési paramétereket, és az egyéni tartományra beállított időválasztó megoldásához nyújtanak segítséget. Ezeket az elemzőket csak interaktív módon használja a naplók képernyőjén, máshol azonban nem, például elemzési szabályokban vagy munkafüzetekben. Előfordulhat, hogy a probléma megoldásakor az elemzők nem lesznek eltávolítva.

Tipp

A beépített elemzési hierarchia hozzáad egy réteget a testreszabás támogatásához. További információ: ASIM-elemzők kezelése.

Következő lépések

További információk az ASIM-elemzőkről:

Az ASIM-ről általában az alábbiakban olvashat bővebben: