Udostępnij przez

Zarządzanie analizatorami zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)

  • Artykuł

Użytkownicy zaawansowanego modelu informacji o zabezpieczeniach (ASIM) używają ujednolicających analizatorów zamiast nazw tabel w swoich zapytaniach, aby wyświetlać dane w znormalizowanym formacie i pobierać wszystkie dane istotne dla schematu w jednym zapytaniu. Każdy jednokrotny analizator używa wielu analizatorów specyficznych dla źródła, które obsługują szczegóły poszczególnych źródeł.

Aby dowiedzieć się, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.

Może być konieczne zarządzanie analizatorami specyficznymi dla źródła używanymi przez każdy jednokrotny analizator do:

  • Dodaj niestandardowy analizator specyficzny dla źródła do analizatora ujednolicania.

  • Zastąp wbudowany analizator specyficzny dla źródła , który jest używany przez analizator ujednolicania za pomocą niestandardowego analizatora specyficznego dla źródła. Zastąp wbudowane analizatory, gdy chcesz:

    • Użyj wersji wbudowanego analizatora innego niż używany domyślnie w ujednolicającym analizatorze.

    • Zapobiegaj automatycznym aktualizacjom, zachowując wersję analizatora specyficznego dla źródła używanego przez jednokrotny analizator.

    • Użyj zmodyfikowanej wersji wbudowanego analizatora.

  • Skonfiguruj analizator specyficzny dla źródła, na przykład, aby zdefiniować źródła, które wysyłają informacje istotne do analizatora.

W tym artykule opisano sposób zarządzania analizatorami, niezależnie od tego, czy używasz wbudowanych analizatorów karty ASIM, czy wdrożonych w obszarze roboczym parserów ujednolicających.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.

Wymagania wstępne

Procedury opisane w tym artykule zakładają, że wszystkie analizatory specyficzne dla źródła zostały już wdrożone w obszarze roboczym usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Develop ASIM parsers (Opracowywanie analizatorów ASIM).

Zarządzanie wbudowanymi analizatorami ujednolicania

Konfigurowanie obszaru roboczego

Użytkownicy usługi Microsoft Sentinel nie mogą edytować wbudowanych analizatorów ujednolicających. Zamiast tego użyj następujących mechanizmów, aby zmodyfikować zachowanie wbudowanych analizatorów ujednolicających:

  • Do obsługi dodawania analizatorów specyficznych dla źródła usługa ASIM używa analizatorów ujednolicających, niestandardowych analizatorów. Te niestandardowe analizatory są wdrażane w obszarze roboczym i dlatego można je edytować. Wbudowane, ujednolicające analizatory automatycznie pobierają te niestandardowe analizatory, jeśli istnieją.

    Możesz wdrożyć początkowe, puste, ujednolicające analizatory niestandardowe w obszarze roboczym usługi Microsoft Sentinel dla wszystkich obsługiwanych schematów lub indywidualnie dla określonych schematów. Aby uzyskać więcej informacji, zobacz Deploy initial ASIM empty ASIM empty custom unifying parsers in the Microsoft Sentinel GitHub repository (Wdrażanie początkowych analizatorów ujednolicających karty ASIM ) w repozytorium GitHub usługi Microsoft Sentinel.

  • Aby zapewnić obsługę wykluczania wbudowanych analizatorów specyficznych dla źródła, usługa ASIM używa listy obserwowanych. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.

  • Aby zdefiniować typ źródła dla wbudowanych i niestandardowych analizatorów, usługa ASIM używa listy obserwowanych. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.

Dodawanie analizatora niestandardowego do wbudowanego analizatora ujednolicania

Aby dodać analizator niestandardowy, wstaw wiersz do niestandardowego analizatora ujednolicania, aby odwołać się do nowego analizatora niestandardowego.

Pamiętaj o dodaniu analizatora niestandardowego filtrowania i analizatora niestandardowego bez parametrów. Aby dowiedzieć się więcej na temat edytowania analizatorów, zapoznaj się z dokumentem Funkcje w zapytaniach dziennika usługi Azure Monitor.

Składnia wiersza do dodania jest inna dla każdego schematu:

Schemat Parser Wiersz do dodania
DNS Im_DnsCustom _parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession Im_NetworkSessionCustom _parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession Im_WebSessionCustom _parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Podczas dodawania dodatkowego analizatora do jednokularnego analizatora niestandardowego, który już odwołuje się do analizatorów, upewnij się, że na końcu poprzedniego wiersza dodano przecinek.

Na przykład poniższy kod przedstawia niestandardowy analizator ujednolicania po dodaniu elementu added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Używanie zmodyfikowanej wersji wbudowanego analizatora

Aby zmodyfikować istniejący wbudowany analizator specyficzny dla źródła:

  1. Utwórz niestandardowy analizator na podstawie oryginalnego analizatora i dodaj go do wbudowanego analizatora.

  2. Dodaj rekord do listy obserwowanych ASim Disabled Parsers .

  3. Zdefiniuj CallerContext wartość jako Exclude<parser name>, gdzie <parser name> jest nazwą ujednolicających analizatorów, z których chcesz wykluczyć analizator.

  4. Zdefiniuj SourceSpecificParser wartość Exclude<parser name>, gdzie <parser name>jest nazwą analizatora, który chcesz wykluczyć, bez specyfikatora wersji.

Aby na przykład wykluczyć analizator DNS Azure Firewall, dodaj następujący rekord do listy obserwowanych:

CallerContext SourceSpecificParser
Exclude_Im_Dns Exclude_Im_Dns_AzureFirewall

Zapobieganie automatycznej aktualizacji wbudowanego analizatora

Użyj następującego procesu, aby zapobiec automatycznym aktualizacjom wbudowanych analizatorów specyficznych dla źródła:

  1. Dodaj wbudowaną wersję analizatora, której chcesz użyć, na przykład _Im_Dns_AzureFirewallV02, do niestandardowego analizatora ujednolicania. Aby uzyskać więcej informacji, zobacz powyżej , Dodawanie analizatora niestandardowego do wbudowanego analizatora ujednolicania.

  2. Dodaj wyjątek dla wbudowanego analizatora. Jeśli na przykład chcesz całkowicie zrezygnować z automatycznych aktualizacji, a zatem wykluczyć dużą liczbę wbudowanych analizatorów, dodaj:

  • Rekord z Any jako polem SourceSpecificParser , aby wykluczyć wszystkie analizatory dla elementu CallerContext.
  • Rekord dla Any elementu CallerContext i SourceSpecificParser pola do wykluczenia wszystkich wbudowanych analizatorów.

Aby uzyskać więcej informacji, zobacz Używanie zmodyfikowanej wersji wbudowanego analizatora.

Zarządzanie wdrożonym obszarem roboczym ujednolicania analizatorów

Dodawanie analizatora niestandardowego do wdrożonego w obszarze roboczym analizatora ujednolicania

Aby dodać analizator niestandardowy, wstaw wiersz do instrukcji w module roboczym, który odwołuje się do union nowego analizatora niestandardowego.

Pamiętaj o dodaniu analizatora niestandardowego filtrowania i analizatora niestandardowego bez parametrów. Składnia wiersza do dodania jest inna dla każdego schematu:

Schemat Parser Wiersz do dodania
Authentication ImAuthentication _parser_name_ (starttime, endtime, targetusername_has)
DNS ImDns _parser_name_ (starttime, endtime, srcipaddr, domain_has_any,
responsecodename, response_has_ipv4, response_has_any_prefix,
eventtype)
Zdarzenie pliku imFileEvent _parser_name_
Sesja sieciowa imNetworkSession _parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any,
httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Zdarzenie procesu - imProcess
- imProcessCreate
- imProcessTerminate		 _parser_name_
Zdarzenie rejestru imRegistry

 _parser_name_
Sesja sieci Web imWebSession

 _parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Podczas dodawania dodatkowego analizatora do ujednolicania analizatora upewnij się, że na końcu poprzedniego wiersza dodano przecinek.

Na przykład w poniższym przykładzie przedstawiono filtrowanie DNS ujednolicające analizator, po dodaniu niestandardowego added_parserelementu :

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Używanie zmodyfikowanej wersji analizatora wdrożonego w obszarze roboczym

Użytkownicy usługi Microsoft Sentinel mogą bezpośrednio modyfikować analizatory wdrożone w obszarze roboczym. Utwórz analizator na podstawie oryginału, oznacz jako komentarz oryginalny, a następnie dodaj zmodyfikowaną wersję do wdrożonego analizatora ujednolicania obszaru roboczego.

Na przykład poniższy kod przedstawia filtrowanie DNS ujednolicające analizator, po zastąpieniu vimDnsAzureFirewall analizatora zmodyfikowaną wersją:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Konfigurowanie źródeł istotnych dla analizatora specyficznego dla źródła

Niektóre analizatory wymagają zaktualizowania listy źródeł, które są istotne dla analizatora. Na przykład analizator używający danych dziennika systemowego może nie być w stanie określić, jakie zdarzenia dziennika systemowego są istotne dla analizatora. Taki analizator może użyć listy kontrolnej Sources_by_SourceType , aby określić, które źródła wysyłają informacje istotne do analizatora. W przypadku takich analiz dodaj rekord dla każdego odpowiedniego źródła do listy obserwowanych:

  • SourceType Ustaw pole na wartość specyficzną analizatora określoną w dokumentacji analizatora.
  • Source Ustaw pole na identyfikator źródła używanego w zdarzeniach. Aby określić poprawną wartość, może być konieczne wysłanie zapytania do oryginalnej tabeli, takiej jak Syslog.

Jeśli system nie ma wdrożonej Sources_by_SourceType listy obserwowanych, wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.

Następne kroki

W tym artykule omówiono zarządzanie analizatorami advanced Security Information Model (ASIM).

Dowiedz się więcej o analizatorach ASIM:

Dowiedz się więcej na temat ogólnej karty ASIM: