Korzystanie z analizatorów ASIM
W usłudze Microsoft Sentinel analizowanie i normalizacja są wykonywane w czasie wykonywania zapytań. Analizatory są tworzone jako funkcje zdefiniowane przez użytkownika języka KQL, które przekształcają dane w istniejących tabelach, takich jak CommonSecurityLog, niestandardowe tabele dzienników lub Dziennik systemu, w znormalizowany schemat.
Użytkownicy używają analizatorów advanced Security Information Model (ASIM) zamiast nazw tabel w swoich zapytaniach w celu wyświetlania danych w znormalizowanym formacie i uwzględnienia wszystkich danych istotnych dla schematu w zapytaniu.
Wbudowane analizatory ASIM i analizatory wdrożone w obszarze roboczym
Wiele analizatorów ASIM jest wbudowanych i dostępnych standardowo w każdym obszarze roboczym usługi Microsoft Sentinel. Usługa ASIM obsługuje również wdrażanie analizatorów w określonych obszarach roboczych z usługi GitHub przy użyciu szablonu usługi ARM lub ręcznie. Zarówno standardowe, jak i wdrożone w obszarze roboczym analizatory są funkcjonalnie równoważne, ale mają nieco inne konwencje nazewnicze, o pozwala na współistnienie obu zestawów analizatorów w tym samym obszarze roboczym usługi Microsoft Sentinel.
Każda metoda ma przewagę nad drugą:
Compare | Wbudowana | Wdrożony obszar roboczy |
---|---|---|
Zalety | Istnieje w każdym wystąpieniu usługi Microsoft Sentinel. Można używać z inną wbudowaną zawartością. | Nowe analizatory są często dostarczane jako analizatory wdrożone w obszarze roboczym. |
Wady | Nie można bezpośrednio modyfikować przez użytkowników. Mniejsza liczba dostępnych analizatorów. | Nieużytowane przez wbudowaną zawartość. |
Kiedy używać | W większości przypadków potrzebne są analizatory ASIM. | Użyj polecenia podczas wdrażania nowych analizatorów lub w przypadku analizatorów, które nie są jeszcze dostępne. |
Zaleca się używanie wbudowanych analizatorów dla schematów, dla których są dostępne wbudowane analizatory.
Hierarchia analizatora
Usługa ASIM zawiera dwa poziomy analizatorów: ujednolicanie analizatorów i analizatorów specyficznych dla źródła. Użytkownik zazwyczaj używa analizatora ujednolicania dla odpowiedniego schematu, zapewniając, że są odpytywane wszystkie dane istotne dla schematu. Ujednolicający analizator z kolei wywołuje analizatory specyficzne dla źródła, aby wykonać rzeczywiste analizowanie i normalizację, która jest specyficzna dla każdego źródła.
Jednocząca nazwa analizatora jest _Im_Schema dla wbudowanych analizatorów i imSchema dla wdrożonych analizatorów obszaru roboczego. Gdzie Schema oznacza określony schemat, który służy. Analizatory specyficzne dla źródła mogą być również używane niezależnie. Na przykład w skoroszycie specyficznym dla programu Infoblox użyj analizatora specyficznego dla źródła vimDnsInfobloxNIOS .
Ujednolicanie analizatorów
W przypadku korzystania z karty ASIM w zapytaniach użyj ujednolicających analizatorów, aby połączyć wszystkie źródła, znormalizować je do tego samego schematu i wykonywać względem nich zapytania przy użyciu znormalizowanych pól.
Na przykład następujące zapytanie używa wbudowanego jednokrotnego analizatora DNS do wykonywania zapytań o zdarzenia DNS przy użyciu pól ResponseCodeName, SrcIpAddr i TimeGenerated znormalizowanych:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W przykładzie użyto parametrów filtrowania, które zwiększają wydajność karty ASIM. Ten sam przykład bez filtrowania parametrów wygląda następująco:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W poniższej tabeli wymieniono dostępne analizatory ujednolicania:
Schemat | Ujednolicanie analizatora |
---|---|
Uwierzytelnianie | imAuthentication |
Dns | _Im_Dns |
Zdarzenie pliku | imFileEvent |
Sesja sieciowa | _Im_NetworkSession |
Zdarzenie procesu | imProcessCreate i imProcessTerminate |
Zdarzenie rejestru | imRegistry |
Sesja sieci Web | _Im_WebSession |
Optymalizowanie analizowania przy użyciu parametrów
Użycie analizatorów może mieć wpływ na wydajność zapytań, przede wszystkim od filtrowania wyników po przeanalizowaniu. Z tego powodu wiele analizatorów ma opcjonalne parametry filtrowania, które umożliwiają filtrowanie przed analizowaniem i zwiększanie wydajności zapytań. Dzięki optymalizacji zapytań i wstępnego filtrowania analizatory ASIM często zapewniają lepszą wydajność w porównaniu z brakiem normalizacji w ogóle.
Podczas wywoływania analizatora zawsze używaj dostępnych parametrów filtrowania, dodając co najmniej jeden nazwany parametr, aby zapewnić optymalną wydajność analizatorów ASIM.
Każdy schemat ma standardowy zestaw parametrów filtrowania udokumentowanych w odpowiedniej dokumentacji schematu. Parametry filtrowania są całkowicie opcjonalne. Następujące schematy obsługują parametry filtrowania:
- Uwierzytelnianie
- DNS
- Sesja sieciowa
- Sesja sieci Web
Każdy schemat, który obsługuje parametry filtrowania, obsługuje co najmniej parametry godzina rozpoczęcia i czasu enttime, a ich używanie często ma kluczowe znaczenie dla optymalizacji wydajności.