Gunakan Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)
Gunakan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) dari pada nama tabel dalam kueri Microsoft Azure Sentinel Anda untuk melihat data dalam format yang dinormalisasi dan untuk menyertakan semua data yang relevan dengan skema dalam kueri Anda. Lihat tabel di bawah ini untuk menemukan pengurai yang relevan untuk setiap skema.
Penting
ASIM saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Pengurai Pemersatu
Saat menggunakan ASIM dalam kueri Anda, gunakan Pengurai Pemersatu untuk menggabungkan semua sumber, dinormalisasi ke skema yang sama, dan kueri menggunakan bidang yang dinormalisasi. Nama pengurai pemersatu adalah _Im_<schema>
untuk pengurai bawaan dan im<schema>
untuk pengurai yang disebarkan di ruang kerja, di mana <schema>
singkatan dari skema spesifik yang dilayaninya.
Misalnya, kueri berikut menggunakan pengurai DNS pemersatu bawaan untuk mengkueri kejadian DNS menggunakan bidang ResponseCodeName
, SrcIpAddr
, dan TimeGenerated
yang dinormalisasi:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Contohnya menggunakan parameter penyaringan, yang meningkatkan performa ASIM. Contoh yang sama tanpa parameter penyaringan akan terlihat seperti ini:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Catatan
Saat menggunakan parser ASIM di halaman Log, pemilih rentang waktu diatur ke custom
. Anda masih dapat mengatur rentang waktu sendiri. Atau, tentukan rentang waktu menggunakan parameter pengurai.
Tabel berikut mencantumkan parser pemersatu yang tersedia:
Skema | Menyatukan parser |
---|---|
Peristiwa Audit | _Im_AuditEvent |
Autentikasi | imAuthentication |
Dns | _Im_Dns |
Acara File | imFileEvent |
Sesi Jaringan | _Im_NetworkSession |
Peristiwa Proses | - imProcessCreate - imProcessTerminate |
Peristiwa Registri | imRegistry |
Sesi Web | _Im_WebSession |
Mengoptimalkan penguraian menggunakan parameter
Menggunakan pengurai dapat memengaruhi performa kueri Anda, terutama dari pemfilteran hasil setelah penguraian. Untuk alasan ini, banyak pengurai memiliki parameter penyaringan opsional, yang memungkinkan Anda memfilter sebelum mengurai dan meningkatkan performa kueri. Dengan Pengoptimalan kueri dan upaya pra-pemfilteran, pengurai ASIM sering memberikan performa yang lebih baik jika dibandingkan dengan tidak menggunakan normalisasi sama sekali.
Saat memanggil parser, selalu gunakan penyaringan parameter yang tersedia dengan menambahkan satu atau beberapa parameter bernama untuk memastikan performa parser ASIM yang optimal.
Setiap skema memiliki satu set standar parameter pemfilteran yang didokumentasikan dalam dokumentasi skema yang relevan. Parameter pemfilteran sepenuhnya opsional. Skema berikut mendukung parameter pemfilteran:
Setiap skema yang mendukung parameter penyaringan mendukung setidaknya starttime
dan endtime
parameter dan menggunakannya sering kali sangat penting untuk mengoptimalkan performa.
Untuk contoh penggunaan penyaringan parser, lihat Menyatukan parser di atas.
Parameter paket
Untuk memastikan efisiensi, pengurai hanya mempertahankan bidang yang dinormalisasi. Bidang yang tidak dinormalisasi memiliki nilai lebih sedikit jika dikombinasikan dengan sumber lain. Beberapa pengurai mendukung parameter paket . Ketika parameter paket diatur ke true
, pengurai akan mengemas data tambahan ke dalam bidang dinamis AdditionalFields .
Artikel daftar pengurai mencatat pengurai yang mendukung parameter paket .
Langkah berikutnya
Pelajari selengkapnya tentang parser ASIM:
- Gambaran umum pengurai ASIM
- Mengelola pengurai ASIM
- Mengembangkan pengurai ASIM kustom
- Daftar parser ASIM
Pelajari selengkapnya tentang ASIM secara umum: