Zarządzanie analizatorami zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)

Użytkownicy usługi Advanced Security Information Model (ASIM) używają analizatorów ujednolicających zamiast nazw tabel w swoich zapytaniach, aby wyświetlać dane w znormalizowanym formacie i pobierać wszystkie dane istotne dla schematu w jednym zapytaniu. Każdy jednoczący analizator używa wielu analizatorów specyficznych dla źródła, które obsługują szczegóły poszczególnych źródeł.

Aby zrozumieć, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.

Może być konieczne zarządzanie analizatorami specyficznymi dla źródła używanymi przez poszczególne analizatory ujednolicające w celu:

• Dodaj analizator niestandardowy specyficzny dla źródła do analizatora ujednolicania.

• Zastąp wbudowany analizator specyficzny dla źródła, który jest używany przez analizator jednoczący z niestandardowym analizatorem specyficznym dla źródła. Zastąp wbudowane analizatory, gdy chcesz:

  • Użyj wersji wbudowanego analizatora innego niż używany domyślnie w jednoznaczącym analizatorze.

  • Zapobiegaj automatycznym aktualizacjom, zachowując wersję analizatora specyficznego dla źródła używanego przez analizator ujednolicania.

  • Użyj zmodyfikowanej wersji wbudowanego analizatora.

• Skonfiguruj analizator specyficzny dla źródła, na przykład w celu zdefiniowania źródeł, które wysyłają informacje istotne do analizatora.

Ten artykuł przeprowadzi Cię przez proces zarządzania analizatorami, niezależnie od tego, czy używasz wbudowanych, jednokrotnych analizatorów ASIM, czy analizatorów ujednolicania wdrożonych w obszarze roboczym.

Ważne

ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

W procedurach opisanych w tym artykule przyjęto założenie, że wszystkie analizatory specyficzne dla źródła zostały już wdrożone w obszarze roboczym usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Develop ASIM parsers (Opracowywanie analizatorów ASIM).

Zarządzanie wbudowanymi analizatorami ujednolicania

Skonfiguruj swoje miejsce pracy

Użytkownicy usługi Microsoft Sentinel nie mogą edytować wbudowanych analizatorów ujednolicających. Zamiast tego użyj następujących mechanizmów, aby zmodyfikować zachowanie wbudowanych analizatorów ujednolicających:

• Aby zapewnić obsługę dodawania analizatorów specyficznych dla źródła, usługa ASIM używa jednoczących, niestandardowych analizatorów. Te analizatory niestandardowe są wdrażane w obszarze roboczym i dlatego można je edytować. Wbudowane analizatory ujednolicające automatycznie pobierają te analizatory niestandardowe, jeśli istnieją.

  W obszarze roboczym usługi Microsoft Sentinel można wdrożyć początkowe, puste, ujednolicające analizatory niestandardowe dla wszystkich obsługiwanych schematów lub indywidualnie dla określonych schematów. Aby uzyskać więcej informacji, zobacz Deploy initial ASIM empty custom unifying parsers in the Microsoft Sentinel GitHub repository (Wdrażanie początkowego pustego analizatora niestandardowego karty ASIM) w repozytorium GitHub usługi Microsoft Sentinel.

• Aby obsługiwać wykluczanie wbudowanych analizatorów specyficznych dla źródła, usługa ASIM używa listy obserwowanych. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.

• Aby zdefiniować typ źródła dla wbudowanych i niestandardowych analizatorów, usługa ASIM używa listy kontrolnej. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.

Dodawanie analizatora niestandardowego do wbudowanego analizatora ujednolicania

Aby dodać analizator niestandardowy, wstaw wiersz do niestandardowego analizatora ujednolicania, aby odwoływać się do nowego analizatora niestandardowego.

Pamiętaj, aby dodać zarówno analizator niestandardowy filtrowania, jak i analizator niestandardowy bez parametrów. Aby dowiedzieć się więcej na temat edytowania analizatorów, zapoznaj się z dokumentem Funkcje w zapytaniach dziennika usługi Azure Monitor.

Składnia wiersza do dodania jest inna dla każdego schematu:

Schemat	Parser	Wiersz do dodania
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Podczas dodawania dodatkowego analizatora do jednoczącego analizatora niestandardowego, który już odwołuje się do analizatorów, upewnij się, że na końcu poprzedniego wiersza dodano przecinek.

Na przykład poniższy kod przedstawia niestandardowy analizator ujednolicający po dodaniu elementu added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Używanie zmodyfikowanej wersji wbudowanego analizatora

Aby zmodyfikować istniejący, wbudowany analizator specyficzny dla źródła:

1. Utwórz analizator niestandardowy na podstawie oryginalnego analizatora i dodaj go do wbudowanego analizatora.

2. Dodaj rekord do listy obserwowanych ASim Disabled Parsers .

3. Zdefiniuj CallerContext wartość jako Exclude<parser name>, gdzie <parser name> jest nazwą ujednolicających analizatorów, z których chcesz wykluczyć analizator.

4. Zdefiniuj SourceSpecificParser wartość Exclude<parser name>, gdzie <parser name>jest nazwą analizatora, który chcesz wykluczyć, bez specyfikatora wersji.

Aby na przykład wykluczyć analizator DNS usługi Azure Firewall, dodaj następujący rekord do listy obserwowanych:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Zapobieganie automatycznej aktualizacji wbudowanego analizatora

Użyj następującego procesu, aby zapobiec automatycznym aktualizacjom wbudowanych analizatorów specyficznych dla źródła:

1. Dodaj wbudowaną wersję analizatora, której chcesz użyć, na przykład _Im_Dns_AzureFirewallV02, do niestandardowego analizatora ujednolicania. Aby uzyskać więcej informacji, zobacz powyżej, Dodawanie analizatora niestandardowego do wbudowanego analizatora jednokrotnego.

2. Dodaj wyjątek dla wbudowanego analizatora. Jeśli na przykład chcesz całkowicie zrezygnować z automatycznych aktualizacji i wykluczyć dużą liczbę wbudowanych analizatorów, dodaj:

• Rekord z Any jako polem SourceSpecificParser , aby wykluczyć wszystkie analizatory dla elementu CallerContext.
• Rekord dla Any elementu CallerContext i SourceSpecificParser pól do wykluczenia wszystkich wbudowanych analizatorów.

Aby uzyskać więcej informacji, zobacz Use a modified version of a built-in parser (Używanie zmodyfikowanej wersji wbudowanego analizatora).

Zarządzanie analizatorami ujednolicania wdrożonych w obszarze roboczym

Dodawanie analizatora niestandardowego do modułu ujednolicania wdrożonego w obszarze roboczym

Aby dodać analizator niestandardowy, wstaw wiersz do instrukcji w module ujednolicania wdrożonym w obszarze roboczym, który odwołuje się do union nowego analizatora niestandardowego.

Pamiętaj, aby dodać zarówno analizator niestandardowy filtrowania, jak i analizator niestandardowy bez parametrów. Składnia wiersza do dodania jest inna dla każdego schematu:

Schemat	Parser	Wiersz do dodania
Authentication	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Zdarzenie pliku	imFileEvent	_parser_name_
Sesja sieciowa	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Zdarzenie procesu	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Zdarzenie rejestru	imRegistry	_parser_name_
Sesja sieci Web	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Podczas dodawania dodatkowego analizatora do analizatora ujednolicania upewnij się, że na końcu poprzedniego wiersza dodano przecinek.

Na przykład w poniższym przykładzie pokazano filtrowanie DNS ujednolicające analizator, po dodaniu niestandardowego added_parserelementu :

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Używanie zmodyfikowanej wersji analizatora wdrożonego w obszarze roboczym

Użytkownicy usługi Microsoft Sentinel mogą bezpośrednio modyfikować analizatory wdrożone w obszarze roboczym. Utwórz analizator na podstawie oryginalnego elementu, oznacz jako komentarz oryginalny, a następnie dodaj zmodyfikowaną wersję do modułu ujednolicania wdrożonego w obszarze roboczym.

Na przykład poniższy kod przedstawia filtrowanie DNS jednoczący analizator, po zastąpieniu vimDnsAzureFirewall analizatora zmodyfikowaną wersją:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Konfigurowanie źródeł istotnych dla analizatora specyficznego dla źródła

Niektóre analizatory wymagają zaktualizowania listy źródeł, które są istotne dla analizatora. Na przykład analizator używający danych dziennika systemowego może nie być w stanie określić, jakie zdarzenia dziennika systemowego są istotne dla analizatora. Taki analizator może użyć Sources_by_SourceType listy do obejrzenia, aby określić, które źródła wysyłają informacje istotne do analizatora. W przypadku takich analiz dodaj rekord dla każdego odpowiedniego źródła do listy obserwowanych:

• SourceType Ustaw pole na wartość specyficzną analizatora określoną w dokumentacji analizatora.
• Source Ustaw pole na identyfikator źródła używanego w zdarzeniach. Aby określić poprawną wartość, może być konieczne wysłanie zapytania do oryginalnej tabeli, takiej jak Syslog.

Jeśli system nie ma wdrożonej Sources_by_SourceType listy obserwowanych, wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.

Następne kroki

W tym artykule omówiono zarządzanie analizatorami advanced Security Information Model (ASIM).

Dowiedz się więcej o analizatorach ASIM:

• Omówienie analizatorów ASIM
• Korzystanie z analizatorów ASIM
• Tworzenie niestandardowych analizatorów ASIM
• Lista analizatorów ASIM

Dowiedz się więcej na temat ogólnej karty ASIM:

• Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
• Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Zawartość usługi Advanced Security Information Model (ASIM)