Analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM) (publiczna wersja zapoznawcza)
W usłudze Microsoft Sentinel analizowanie i normalizacja są wykonywane w czasie wykonywania zapytań. Analizatory są tworzone jako funkcje zdefiniowane przez użytkownika języka KQL , które przekształcają dane w istniejących tabelach, takich jak CommonSecurityLog, niestandardowe tabele dzienników lub Dziennik systemu, w znormalizowany schemat.
Użytkownicy używają analizatorów ASIM (Advanced Security Information Model) zamiast nazw tabel w swoich zapytaniach w celu wyświetlania danych w znormalizowanym formacie i uwzględnienia wszystkich danych istotnych dla schematu w zapytaniu.
Aby dowiedzieć się, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.
Ważne
ASIM jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym
Wiele analizatorów ASIM jest wbudowanych i dostępnych standardowo w każdym obszarze roboczym usługi Microsoft Sentinel. Usługa ASIM obsługuje również wdrażanie analizatorów w określonych obszarach roboczych z usługi GitHub przy użyciu szablonu usługi ARM lub ręcznie. Zarówno standardowe, jak i wdrożone w obszarze roboczym analizatory są funkcjonalnie równoważne, ale mają nieco inne konwencje nazewnicze, o pozwala na współistnienie obu zestawów analizatorów w tym samym obszarze roboczym usługi Microsoft Sentinel.
Każda metoda ma przewagę nad drugą:
| Porównaj | Wbudowane | Wdrożony obszar roboczy |
|---|---|---|
| Zalety | Istnieje w każdym wystąpieniu usługi Microsoft Sentinel. Można używać z inną wbudowaną zawartością. |
Nowe analizatory są często dostarczane jako analizatory wdrożone w obszarze roboczym. |
| Wady | Użytkownicy nie mogą modyfikować ich bezpośrednio. Mniejsza liczba dostępnych analizatorów. |
Nieużytowane przez wbudowaną zawartość. |
| Kiedy stosować | W większości przypadków potrzebne są analizatory ASIM. | Użyj polecenia podczas wdrażania nowych analizatorów lub analizatorów, które nie są jeszcze dostępne. |
Zaleca się używanie wbudowanych analizatorów dla schematów, dla których dostępne są wbudowane analizatory.
Hierarchia i nazewnictwo analizatora
Usługa ASIM zawiera dwa poziomy analizatorów: ujednolicanie analizatorów i analizatorów specyficznych dla źródła . Użytkownik zwykle używa analizatora ujednolicania dla odpowiedniego schematu, zapewniając, że zapytania dotyczące wszystkich danych dotyczących schematu. Analizator ujednolicania z kolei wywołuje analizatory specyficzne dla źródła w celu wykonania rzeczywistej analizy i normalizacji, która jest specyficzna dla każdego źródła.
Nazwa analizatora ujednolicania dotyczy _Im_<schema> wbudowanych analizatorów oraz im<schema> analizatorów wdrożonych w obszarze roboczym, gdzie <schema> oznacza określony schemat, który służy. Analizatory specyficzne dla źródła mogą być również używane niezależnie. Służy _Im_<schema>_<source> do wbudowanych analizatorów i vim<schema><source> dla wdrożonych analizatorów obszaru roboczego. Na przykład w skoroszycie specyficznym dla programu Infoblox użyj analizatora specyficznego _Im_Dns_InfobloxNIOS dla źródła. Listę analizatorów specyficznych dla źródła można znaleźć na liście analizatorów ASIM.
Porada
Odpowiedni zestaw analizatorów, które używają _ASim_<schema> i ASim<Schema> są również dostępne. Analizatory te nie obsługują parametrów filtrowania i są udostępniane w celu ograniczenia problemu z selektorem czasu ustawionym na zakres niestandardowy . Używaj tych analizatorów tylko interaktywnie na ekranie dzienników, ale nie w innych miejscach, na przykład w regułach analitycznych lub skoroszytach. Te analizatory mogą nie zostać usunięte po rozwiązaniu problemu.
Porada
Wbudowana hierarchia analizatora dodaje warstwę do obsługi dostosowywania. Aby uzyskać więcej informacji, zobacz Zarządzanie analizatorami ASIM.
Następne kroki
Dowiedz się więcej o analizatorach ASIM:
- Korzystanie z analizatorów ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Zarządzanie analizatorami ASIM
- Lista analizatorów ASIM
Aby uzyskać więcej informacji na temat karty ASIM, zobacz:
- Obejrzyj szczegółowe seminarium internetowe dotyczące normalizacji analizatorów i znormalizowanej zawartości w usłudze Microsoft Sentinel lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość zaawansowanego modelu informacji o zabezpieczeniach (ASIM)