ASIM-elemzők használata
A Microsoft Sentinelben az elemzés és a normalizálás lekérdezéskor történik. Az elemzők KQL felhasználó által definiált függvényekként vannak létrehozva, amelyek átalakítják a meglévő táblák adatait, például a CommonSecurityLogot, az egyéni naplótáblákat vagy a Syslogot a normalizált sémába.
A felhasználók a lekérdezésekben szereplő táblanevek helyett az Advanced Security Information Model (ASIM) elemzőket használják az adatok normalizált formátumban való megtekintéséhez, valamint a sémához kapcsolódó összes adat lekérdezésbe való belefoglalásához.
Beépített ASIM-elemzők és munkaterület által üzembe helyezett elemzők
Számos ASIM-elemző beépített, és minden Microsoft Sentinel-munkaterületen gyárilag elérhető. Az ASIM emellett támogatja az elemzők gitHub-munkaterületeken való üzembe helyezését ARM-sablonnal vagy manuálisan. Mind a beépített, mind a munkaterületen üzembe helyezett elemzők funkcionálisan egyenértékűek, de némileg eltérő elnevezési szabályaik vannak, így mindkét elemzőkészlet egyidejűleg létezhet ugyanazon a Microsoft Sentinel-munkaterületen.
Mindegyik módszernek vannak előnyei a másikhoz képest:
Összehasonlítás | Beépítve | Munkaterület üzembe helyezése |
---|---|---|
Előnyök | Minden Microsoft Sentinel-példányban létezik. Más beépített tartalommal használható. | Az új elemzők gyakran először munkaterületen üzembe helyezett elemzőkként jelennek meg. |
Hátrányok | A felhasználók nem módosíthatják közvetlenül. Kevesebb elemző érhető el. | A beépített tartalom nem használja. |
Mikor érdemes használni? | A legtöbb esetben ASIM-elemzőkre van szüksége. | Új elemzők üzembe helyezésekor vagy olyan elemzők esetén használható, amely még nem érhető el a dobozon kívül. |
Ajánlott beépített elemzőket használni olyan sémákhoz, amelyekhez beépített elemzők érhetők el.
Elemzési hierarchia
Az ASIM két elemzőszintet tartalmaz: az elemző és a forrásspecifikus elemzők egyesítése. A felhasználó általában az egyesítő elemzőt használja a megfelelő sémához, így biztosítva a sémához kapcsolódó összes adat lekérdezését. Az egyesítő elemző a forrásspecifikus elemzőket hívja meg a tényleges elemzés és normalizálás végrehajtásához, amely az egyes forrásokra jellemző.
Az egyesítő elemző neve _Im_Schema a beépített elemzőkhöz, az imSchema pedig a munkaterületen üzembe helyezett elemzőkhöz. Ahol a séma az általa kiszolgált sémát jelöli. A forrásspecifikus elemzők egymástól függetlenül is használhatók. Egy Infoblox-specifikus munkafüzetben például használja a vimDnsInfobloxNIOS forrásspecifikus elemzőt.
Elemzők egyesítése
Ha az ASIM-et használja a lekérdezésekben, egyesítő elemzőkkel egyesítheti az összes forrást, normalizálhatja ugyanahhoz a sémához, és normalizált mezőkkel kérdezheti le őket.
Az alábbi lekérdezés például a beépített egységesítő DNS-elemzővel kérdezi le a DNS-eseményeket a ResponseCodeName, a SrcIpAddr és a TimeGenerated normalizált mezők használatával:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
A példa szűrési paramétereket használ, amelyek javítják az ASIM teljesítményét. Ugyanez a példa a paraméterek szűrése nélkül a következőképpen nézne ki:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Az alábbi táblázat az elérhető egyesítő elemzőket sorolja fel:
Schema | Elemző egységesítése |
---|---|
Hitelesítés | imAuthentication |
DNS | _Im_Dns |
Fájlesemény | imFileEvent |
Hálózati munkamenet | _Im_NetworkSession |
Folyamatesemény | imProcessCreate és imProcessTerminate |
Beállításjegyzék-esemény | imRegistry |
Webes munkamenet | _Im_WebSession |
Elemzés optimalizálása paraméterekkel
Az elemzők használata hatással lehet a lekérdezés teljesítményére, elsősorban az eredmények elemzés utáni szűréséből. Emiatt számos elemző opcionális szűrési paraméterekkel rendelkezik, amelyek lehetővé teszik a szűrést a lekérdezési teljesítmény elemzése és javítása előtt. A lekérdezésoptimalizálás és az előszűrés során az ASIM-elemzők gyakran jobb teljesítményt nyújtanak, ha nem használnak normalizálást.
Az elemző meghívásakor mindig használjon elérhető szűrési paramétereket egy vagy több elnevezett paraméter hozzáadásával az ASIM-elemzők optimális teljesítményének biztosítása érdekében.
Minden séma rendelkezik a vonatkozó sémadokumentációban dokumentált szabványos szűrési paraméterekkel. A szűrési paraméterek nem kötelezőek. A következő sémák támogatják a szűrési paramétereket:
- Hitelesítés
- DNS
- Hálózati munkamenet
- Webes munkamenet
Minden olyan séma, amely támogatja a szűrési paramétereket, legalább az indítási és enttime paramétereket támogatja, és ezek használata gyakran kritikus fontosságú a teljesítmény optimalizálásához.