Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W Microsoft Sentinel analizowanie i normalizacja odbywa się w czasie wykonywania zapytania. Analizatory są tworzone jako funkcje zdefiniowane przez użytkownika KQL , które przekształcają dane w istniejących tabelach, takich jak CommonSecurityLog, tabele dzienników niestandardowych lub dziennikI Syslog, w znormalizowany schemat.
Użytkownicy używają analizatorów ASIM (Advanced Security Information Model) zamiast nazw tabel w zapytaniach, aby wyświetlać dane w znormalizowanym formacie i uwzględniać wszystkie dane istotne dla schematu w zapytaniu.
Aby zrozumieć, jak analizatory mieszczą się w architekturze ASIM, zapoznaj się z diagramem architektury ASIM.
Wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym
Analizatory ASIM są wbudowane i dostępne w każdym Microsoft Sentinel obszarze roboczym.
Usługa ASIM obsługuje również wdrażanie analizatorów w określonych obszarach roboczych z usługi GitHub przy użyciu szablonu usługi ARM. Analizatory wdrożonego obszaru roboczego są używane do programowania analizatora ASIM i zarządzania nimi. Analizatory wdrożonego obszaru roboczego są funkcjonalnie równoważne, ale mają nieco inne konwencje nazewnictwa, dzięki czemu oba zestawy analizatorów mogą współistnieć z wbudowanymi analizatorami w tym samym Microsoft Sentinel obszarze roboczym. Przeczytaj więcej na temat analizatorów wdrożonych obszarów roboczych w celu ich wdrażania, używania i zarządzania nimi.
Zaleca się używanie wbudowanych analizatorów podczas tworzenia zawartości ASIM. Analizatory wdrożonego obszaru roboczego są zwykle używane podczas procesu programowania analizatora lub do dostarczania zmodyfikowanych wersji wbudowanych analizatorów zgodnie z opisem w temacie Zarządzanie analizatorami
Analizowanie hierarchii i nazewnictwa
Usługa ASIM zawiera dwa poziomy analizatorów: analizator jednoczący i analizatory specyficzne dla źródła . Użytkownik zwykle używa analizatora ujednolicenia dla odpowiedniego schematu, zapewniając, że wszystkie dane istotne dla schematu są wykonywane zapytania. Analizator ujednolicenia z kolei wywołuje analizatory specyficzne dla źródła w celu przeprowadzenia rzeczywistej analizy i normalizacji, która jest specyficzna dla każdego źródła.
Nazwa analizatora ujednolicenia to _Im_<schema> miejsce, w którym <schema> oznacza określony schemat, który służy. Analizatory specyficzne dla źródła mogą być również używane niezależnie. Ich konwencją nazewnictwa jest _Im_<schema>_<source>V<version>. Listę analizatorów specyficznych dla źródła można znaleźć na liście analizatorów ASIM.
Uwaga
Odpowiedni zestaw analizatorów korzystających z programu _ASim_<schema>. Te analizatory nie obsługują parametrów filtrowania i zapewniają zgodność z poprzednimi wersjami.
Porada
Hierarchia analizatora dodaje warstwę do obsługi dostosowywania. Aby uzyskać więcej informacji, zobacz Zarządzanie analizatorami ASIM.
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Korzystanie z analizatorów ASIM
- Opracowywanie niestandardowych analizatorów ASIM
- Zarządzanie analizatorami ASIM
- Lista analizatorów ASIM
Aby uzyskać więcej informacji na temat karty ASIM, zobacz:
- Obejrzyj seminarium internetowe deep dive na Microsoft Sentinel Normalizowanie analizatorów i znormalizowana zawartość lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)