Korzystanie z zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)

  • Artykuł

Użyj analizatorów Advanced Security Information Model (ASIM) zamiast nazw tabel w zapytaniach usługi Microsoft Sentinel, aby wyświetlić dane w znormalizowanym formacie i uwzględnić wszystkie dane istotne dla schematu w zapytaniu. Zapoznaj się z poniższą tabelą, aby znaleźć odpowiedni analizator dla każdego schematu.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.

Ujednolicanie analizatorów

W przypadku korzystania z karty ASIM w zapytaniach użyj ujednolicających analizatorów , aby połączyć wszystkie źródła, znormalizowane do tego samego schematu i wykonywać zapytania względem nich przy użyciu znormalizowanych pól. Jednokrotna nazwa analizatora jest _Im_<schema> przeznaczona dla wbudowanych analizatorów i im<schema> dla wdrożonych analizatorów obszaru roboczego, gdzie oznacza określony schemat, który <schema> obsługuje.

Na przykład następujące zapytanie używa wbudowanego konsolidatora DNS do wykonywania zapytań dotyczących zdarzeń DNS przy użyciu ResponseCodeNamepól , SrcIpAddri TimeGenerated znormalizowanych:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

W przykładzie użyto parametrów filtrowania, które zwiększają wydajność karty ASIM. Ten sam przykład bez filtrowania parametrów wygląda następująco:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Uwaga

W przypadku korzystania z analizatorów ASIM na stronie Dzienniki selektor zakresu czasu jest ustawiony na customwartość . Nadal możesz ustawić zakres czasu samodzielnie. Alternatywnie określ zakres czasu przy użyciu parametrów analizatora.

W poniższej tabeli wymieniono dostępne ujednolicające analizatory:

Schemat Ujednolicanie analizatora
Zdarzenie inspekcji _Im_AuditEvent
Authentication imAuthentication
Dns _Im_Dns
Zdarzenie pliku imFileEvent
Sesja sieciowa _Im_NetworkSession
Zdarzenie procesu — imProcessTworzenie
- imProcessTerminate
Zdarzenie rejestru imRegistry
Sesja sieci Web _Im_WebSession

Optymalizowanie analizowania przy użyciu parametrów

Użycie analizatorów może mieć wpływ na wydajność zapytań, przede wszystkim od filtrowania wyników po przeanalizowaniu. Z tego powodu wiele analizatorów ma opcjonalne parametry filtrowania, które umożliwiają filtrowanie przed analizowaniem i zwiększanie wydajności zapytań. W przypadku optymalizacji zapytań i wstępnego filtrowania analizatory ASIM często zapewniają lepszą wydajność w porównaniu do braku normalizacji w ogóle.

Podczas wywoływania analizatora zawsze używaj dostępnych parametrów filtrowania, dodając co najmniej jeden nazwany parametr, aby zapewnić optymalną wydajność analizatorów ASIM.

Każdy schemat ma standardowy zestaw parametrów filtrowania udokumentowanych w odpowiedniej dokumentacji schematu. Parametry filtrowania są całkowicie opcjonalne. Następujące schematy obsługują parametry filtrowania:

Każdy schemat obsługujący parametry filtrowania obsługuje co najmniej starttime parametry i i endtime i jest często krytyczny dla optymalizacji wydajności.

Aby zapoznać się z przykładem używania analizatorów filtrowania, zobacz Ujednolicanie analizatorów powyżej.

Parametr pakietu

Aby zapewnić wydajność, analizatory zachowują tylko znormalizowane pola. Pola, które nie są znormalizowane, mają mniejszą wartość w połączeniu z innymi źródłami. Niektóre analizatory obsługują parametr pakietu . Gdy parametr pakietu jest ustawiony na truewartość , analizator spakuje dodatkowe dane do pola dynamicznego AdditionalFields .

Analizatory listy notatek artykułu, które obsługują parametr pakietu.

Następne kroki

Dowiedz się więcej o analizatorach ASIM:

Dowiedz się więcej na temat ogólnej karty ASIM: