Zarządzanie analizatorami zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)
Użytkownicy zaawansowanego modelu informacji o zabezpieczeniach (ASIM) używają ujednolicających analizatorów zamiast nazw tabel w swoich zapytaniach, aby wyświetlać dane w znormalizowanym formacie i pobierać wszystkie dane istotne dla schematu w jednym zapytaniu. Każdy jednokrotny analizator używa wielu analizatorów specyficznych dla źródła, które obsługują szczegóły poszczególnych źródeł.
Aby dowiedzieć się, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.
Może być konieczne zarządzanie analizatorami specyficznymi dla źródła używanymi przez każdy jednokrotny analizator do:
Dodaj niestandardowy analizator specyficzny dla źródła do analizatora ujednolicania.
Zastąp wbudowany analizator specyficzny dla źródła , który jest używany przez analizator ujednolicania za pomocą niestandardowego analizatora specyficznego dla źródła. Zastąp wbudowane analizatory, gdy chcesz:
Użyj wersji wbudowanego analizatora innego niż używany domyślnie w ujednolicającym analizatorze.
Zapobiegaj automatycznym aktualizacjom, zachowując wersję analizatora specyficznego dla źródła używanego przez jednokrotny analizator.
Użyj zmodyfikowanej wersji wbudowanego analizatora.
Skonfiguruj analizator specyficzny dla źródła, na przykład, aby zdefiniować źródła, które wysyłają informacje istotne do analizatora.
W tym artykule opisano sposób zarządzania analizatorami, niezależnie od tego, czy używasz wbudowanych analizatorów karty ASIM, czy wdrożonych w obszarze roboczym parserów ujednolicających.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.
Wymagania wstępne
Procedury opisane w tym artykule zakładają, że wszystkie analizatory specyficzne dla źródła zostały już wdrożone w obszarze roboczym usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Develop ASIM parsers (Opracowywanie analizatorów ASIM).
Zarządzanie wbudowanymi analizatorami ujednolicania
Konfigurowanie obszaru roboczego
Użytkownicy usługi Microsoft Sentinel nie mogą edytować wbudowanych analizatorów ujednolicających. Zamiast tego użyj następujących mechanizmów, aby zmodyfikować zachowanie wbudowanych analizatorów ujednolicających:
Do obsługi dodawania analizatorów specyficznych dla źródła usługa ASIM używa analizatorów ujednolicających, niestandardowych analizatorów. Te niestandardowe analizatory są wdrażane w obszarze roboczym i dlatego można je edytować. Wbudowane, ujednolicające analizatory automatycznie pobierają te niestandardowe analizatory, jeśli istnieją.
Możesz wdrożyć początkowe, puste, ujednolicające analizatory niestandardowe w obszarze roboczym usługi Microsoft Sentinel dla wszystkich obsługiwanych schematów lub indywidualnie dla określonych schematów. Aby uzyskać więcej informacji, zobacz Deploy initial ASIM empty ASIM empty custom unifying parsers in the Microsoft Sentinel GitHub repository (Wdrażanie początkowych analizatorów ujednolicających karty ASIM ) w repozytorium GitHub usługi Microsoft Sentinel.
Aby zapewnić obsługę wykluczania wbudowanych analizatorów specyficznych dla źródła, usługa ASIM używa listy obserwowanych. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.
Aby zdefiniować typ źródła dla wbudowanych i niestandardowych analizatorów, usługa ASIM używa listy obserwowanych. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.
Dodawanie analizatora niestandardowego do wbudowanego analizatora ujednolicania
Aby dodać analizator niestandardowy, wstaw wiersz do niestandardowego analizatora ujednolicania, aby odwołać się do nowego analizatora niestandardowego.
Pamiętaj o dodaniu analizatora niestandardowego filtrowania i analizatora niestandardowego bez parametrów. Aby dowiedzieć się więcej na temat edytowania analizatorów, zapoznaj się z dokumentem Funkcje w zapytaniach dziennika usługi Azure Monitor.
Składnia wiersza do dodania jest inna dla każdego schematu:
Schemat | Parser | Wiersz do dodania |
---|---|---|
DNS | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Podczas dodawania dodatkowego analizatora do jednokularnego analizatora niestandardowego, który już odwołuje się do analizatorów, upewnij się, że na końcu poprzedniego wiersza dodano przecinek.
Na przykład poniższy kod przedstawia niestandardowy analizator ujednolicania po dodaniu elementu added_parser
:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Używanie zmodyfikowanej wersji wbudowanego analizatora
Aby zmodyfikować istniejący wbudowany analizator specyficzny dla źródła:
Utwórz niestandardowy analizator na podstawie oryginalnego analizatora i dodaj go do wbudowanego analizatora.
Dodaj rekord do listy obserwowanych
ASim Disabled Parsers
.Zdefiniuj
CallerContext
wartość jakoExclude<parser name>
, gdzie<parser name>
jest nazwą ujednolicających analizatorów, z których chcesz wykluczyć analizator.Zdefiniuj
SourceSpecificParser
wartośćExclude<parser name>
, gdzie<parser name>
jest nazwą analizatora, który chcesz wykluczyć, bez specyfikatora wersji.
Aby na przykład wykluczyć analizator DNS Azure Firewall, dodaj następujący rekord do listy obserwowanych:
CallerContext | SourceSpecificParser |
---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Zapobieganie automatycznej aktualizacji wbudowanego analizatora
Użyj następującego procesu, aby zapobiec automatycznym aktualizacjom wbudowanych analizatorów specyficznych dla źródła:
Dodaj wbudowaną wersję analizatora, której chcesz użyć, na przykład
_Im_Dns_AzureFirewallV02
, do niestandardowego analizatora ujednolicania. Aby uzyskać więcej informacji, zobacz powyżej , Dodawanie analizatora niestandardowego do wbudowanego analizatora ujednolicania.Dodaj wyjątek dla wbudowanego analizatora. Jeśli na przykład chcesz całkowicie zrezygnować z automatycznych aktualizacji, a zatem wykluczyć dużą liczbę wbudowanych analizatorów, dodaj:
- Rekord z
Any
jako polemSourceSpecificParser
, aby wykluczyć wszystkie analizatory dla elementuCallerContext
. - Rekord dla
Any
elementu CallerContext iSourceSpecificParser
pola do wykluczenia wszystkich wbudowanych analizatorów.
Aby uzyskać więcej informacji, zobacz Używanie zmodyfikowanej wersji wbudowanego analizatora.
Zarządzanie wdrożonym obszarem roboczym ujednolicania analizatorów
Dodawanie analizatora niestandardowego do wdrożonego w obszarze roboczym analizatora ujednolicania
Aby dodać analizator niestandardowy, wstaw wiersz do instrukcji w module roboczym, który odwołuje się do union
nowego analizatora niestandardowego.
Pamiętaj o dodaniu analizatora niestandardowego filtrowania i analizatora niestandardowego bez parametrów. Składnia wiersza do dodania jest inna dla każdego schematu:
Schemat | Parser | Wiersz do dodania |
---|---|---|
Authentication | ImAuthentication |
_parser_name_ (starttime, endtime, targetusername_has) |
DNS | ImDns |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
Zdarzenie pliku | imFileEvent |
_parser_name_ |
Sesja sieciowa | imNetworkSession |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult) |
Zdarzenie procesu | - imProcess - imProcessCreate - imProcessTerminate |
_parser_name_ |
Zdarzenie rejestru | imRegistry |
_parser_name_ |
Sesja sieci Web | imWebSession |
_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Podczas dodawania dodatkowego analizatora do ujednolicania analizatora upewnij się, że na końcu poprzedniego wiersza dodano przecinek.
Na przykład w poniższym przykładzie przedstawiono filtrowanie DNS ujednolicające analizator, po dodaniu niestandardowego added_parser
elementu :
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
, vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Używanie zmodyfikowanej wersji analizatora wdrożonego w obszarze roboczym
Użytkownicy usługi Microsoft Sentinel mogą bezpośrednio modyfikować analizatory wdrożone w obszarze roboczym. Utwórz analizator na podstawie oryginału, oznacz jako komentarz oryginalny, a następnie dodaj zmodyfikowaną wersję do wdrożonego analizatora ujednolicania obszaru roboczego.
Na przykład poniższy kod przedstawia filtrowanie DNS ujednolicające analizator, po zastąpieniu vimDnsAzureFirewall
analizatora zmodyfikowaną wersją:
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
// , vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Konfigurowanie źródeł istotnych dla analizatora specyficznego dla źródła
Niektóre analizatory wymagają zaktualizowania listy źródeł, które są istotne dla analizatora. Na przykład analizator używający danych dziennika systemowego może nie być w stanie określić, jakie zdarzenia dziennika systemowego są istotne dla analizatora. Taki analizator może użyć listy kontrolnej Sources_by_SourceType
, aby określić, które źródła wysyłają informacje istotne do analizatora. W przypadku takich analiz dodaj rekord dla każdego odpowiedniego źródła do listy obserwowanych:
SourceType
Ustaw pole na wartość specyficzną analizatora określoną w dokumentacji analizatora.Source
Ustaw pole na identyfikator źródła używanego w zdarzeniach. Aby określić poprawną wartość, może być konieczne wysłanie zapytania do oryginalnej tabeli, takiej jak Syslog.
Jeśli system nie ma wdrożonej Sources_by_SourceType
listy obserwowanych, wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.
Następne kroki
W tym artykule omówiono zarządzanie analizatorami advanced Security Information Model (ASIM).
Dowiedz się więcej o analizatorach ASIM:
- Omówienie analizatorów ASIM
- Korzystanie z analizatorów ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Lista analizatorów ASIM
Dowiedz się więcej na temat ogólnej karty ASIM:
- Obejrzyj szczegółowe seminarium internetowe dotyczące normalizacji analizatorów i znormalizowanej zawartości w usłudze Microsoft Sentinel lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)