Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użyj analizatorów zaawansowanego modelu informacji zabezpieczeń (ASIM) zamiast nazw tabel w zapytaniach Microsoft Sentinel, aby wyświetlić dane w znormalizowanym formacie i uwzględnić wszystkie dane istotne dla schematu w zapytaniu. Zapoznaj się z poniższą tabelą, aby znaleźć odpowiedni analizator dla każdego schematu.
Ujednolicanie analizatorów
W przypadku korzystania z usługi ASIM w zapytaniach użyj analizatorów ujednolicenia , aby połączyć wszystkie źródła znormalizowane z tym samym schematem i wykonać względem nich zapytanie przy użyciu znormalizowanych pól. Nazwa analizatora ujednolicenia to _Im_<schema>, gdzie <schema> oznacza określony schemat, który służy.
Na przykład następujące zapytanie używa wbudowanego ujednolicenia analizatora DNS do wykonywania zapytań dotyczących zdarzeń DNS przy użyciu ResponseCodeNamepól , SrcIpAddri TimeGenerated znormalizowanych:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W przykładzie użyto parametrów filtrowania, które zwiększają wydajność usługi ASIM. Ten sam przykład bez filtrowania parametrów wygląda następująco:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W poniższej tabeli wymieniono dostępne analizatory ujednolicenia:
| Schematu | Analizator ujednolicenia |
|---|---|
| Zdarzenie alertu | _Im_AlertEvent |
| Jednostka zasobu | _Im_AssetEntity |
| Zdarzenie inspekcji | _Im_AuditEvent |
| Uwierzytelnianie | _Im_Authentication |
| Zdarzenie DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Zdarzenie pliku | _Im_FileEvent |
| Sesja sieciowa | _Im_NetworkSession |
| Zdarzenie procesu | _Im_ProcessCreate _Im_ProcessTerminate |
| Zdarzenie rejestru | _Im_RegistryEvent |
| Zarządzanie użytkownikami | _Im_UserManagement |
| Sesja internetowa | _Im_WebSession |
Optymalizowanie analizowania przy użyciu parametrów
Użycie analizatorów może mieć wpływ na wydajność zapytania, przede wszystkim z filtrowania wyników po przeanalizowaniu. Z tego powodu wiele analizatorów ma opcjonalne parametry filtrowania, które umożliwiają filtrowanie przed analizą i zwiększanie wydajności zapytań. Dzięki optymalizacji zapytań i wstępnemu filtrowaniu analizatory ASIM często zapewniają lepszą wydajność w porównaniu z nieudowodnieniem normalizacji.
Podczas wywoływania analizatora zawsze używaj dostępnych parametrów filtrowania, dodając jeden lub więcej nazwanych parametrów, aby zapewnić optymalną wydajność analizatorów ASIM.
Każdy schemat ma standardowy zestaw parametrów filtrowania udokumentowany w odpowiedniej dokumentacji schematu. Parametry filtrowania są całkowicie opcjonalne.
Przykład użycia analizatorów filtrowania można znaleźć w temacie Ujednolicanie analizatorów.
Parametr pakietu
Aby zapewnić wydajność, analizatory obsługują tylko znormalizowane pola. Pola, które nie są znormalizowane, mają mniejszą wartość w połączeniu z innymi źródłami. Niektóre analizatory obsługują parametr pakietu . Gdy parametr pakietu jest ustawiony na truewartość , analizator zapakuje dodatkowe dane do pola dynamicznego AdditionalFields .
Analizatory list artykułów analizują analizatory, które obsługują parametr pakietu.
Zawartość pokrewna
Więcej informacji można znaleźć w następujących artykułach: