Uso di Advanced Security Information Model (ASIM) (anteprima pubblica)

  • Articolo

Usare i parser advanced Security Information Model (ASIM) anziché i nomi di tabella nelle query di Microsoft Sentinel per visualizzare i dati in un formato normalizzato e includere tutti i dati pertinenti allo schema nella query. Fare riferimento alla tabella seguente per trovare il parser pertinente per ogni schema.

Importante

ASIM è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Parser di unificazione

Quando si usa ASIM nelle query, usare parser unificatori per combinare tutte le origini, normalizzate allo stesso schema e eseguire query usando campi normalizzati. Il nome del parser unificatore è _Im_<schema> per i parser predefiniti e im<schema> per i parser distribuiti nell'area di lavoro, in cui <schema> si trova lo schema specifico che serve.

Ad esempio, la query seguente usa il parser DNS predefinito per eseguire query sugli eventi DNS usando i ResponseCodeNamecampi , SrcIpAddre TimeGenerated normalizzati:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Nell'esempio vengono usati parametri di filtro, che migliorano le prestazioni di ASIM. Lo stesso esempio senza i parametri di filtro sarebbe simile al seguente:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Nota

Quando si usano i parser ASIM nella pagina Log , il selettore intervallo di tempo è impostato su custom. È comunque possibile impostare l'intervallo di tempo. In alternativa, specificare l'intervallo di tempo usando i parametri del parser.

Nella tabella seguente sono elencati i parser di unificazione disponibili:

SCHEMA Parser di unificazione
Evento di controllo _Im_AuditEvent
Authentication imAuthentication
DNS _Im_Dns
Evento File imFileEvent
Sessione di rete _Im_NetworkSession
Evento Processo - imProcessCreate
- imProcessTerminate
Evento Registro di sistema imRegistry
Sessione Web _Im_WebSession

Ottimizzazione dell'analisi tramite parametri

L'uso dei parser può influire sulle prestazioni delle query, principalmente in seguito all'applicazione di filtri ai risultati dopo l'analisi. Per questo motivo, molti parser hanno parametri di filtro facoltativi, che consentono di filtrare prima dell'analisi e migliorare le prestazioni delle query. Con l'ottimizzazione delle query e le funzionalità di pre-filtro, i parser ASIM offrono spesso prestazioni migliori rispetto a quando non si usa affatto la normalizzazione.

Quando si richiama il parser, usare sempre i parametri di filtro disponibili aggiungendo uno o più parametri denominati per garantire prestazioni ottimali dei parser ASIM.

Ogni schema ha un set standard di parametri di filtro documentati nella documentazione dello schema pertinente. I parametri di filtro sono completamente facoltativi. Gli schemi seguenti supportano i parametri di filtro:

Ogni schema che supporta i parametri di filtro supporta almeno i starttime parametri e endtime e li usa spesso è fondamentale per ottimizzare le prestazioni.

Per un esempio di uso dei parser di filtro, vedere Unifying parser sopra.

Parametro pack

Per garantire l'efficienza, i parser gestiscono solo campi normalizzati. I campi che non sono normalizzati hanno meno valore quando vengono combinati con altre origini. Alcuni parser supportano il parametro pack . Quando il parametro pack è impostato su true, il parser conterrà dati aggiuntivi nel campo dinamico AdditionalFields .

I parser elencano i parser di articoli che supportano il parametro pack .

Passaggi successivi

Altre informazioni sui parser ASIM:

Altre informazioni su ASIM in generale: