Usar o Modelo de Informações de Segurança Avançado (ASIM) (visualização pública)

  • Artigo

Use os analisadores do ASIM (Modelo de Informações de Segurança Avançado), em vez de nomes de tabela nas consultas do Microsoft Sentinel, para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema na consulta. Consulte a tabela abaixo para localizar o analisador relevante para cada esquema.

Importante

O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Unificando analisadores

Ao usar o ASIM em suas consultas, use analisadores unificados para combinar todas as fontes, normalizadas para o mesmo esquema e consultá-las usando campos normalizados. O nome do analisador unificado é _Im_<schema> para analisadores integrados e im<schema> analisadores implantados no espaço de trabalho, em que <schema> significa o esquema específico que ele atende.

Por exemplo, a consulta a seguir usa o analisador DNS unificador integrado para consultar eventos DNS usando os campos normalizados ResponseCodeName, SrcIpAddr e TimeGenerated:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

O exemplo usa parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem filtrar parâmetros seria assim:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Observação

Ao usar os analisadores ASIM na página Logs, o seletor de intervalo de tempo é definido como custom. Você ainda pode definir o intervalo de tempo por conta própria. Como alternativa, especifique o intervalo de tempo usando parâmetros do analisador.

A tabela a seguir lista os analisadores unificadores disponíveis:

Esquema Unificando analisadores
Auditar evento _Im_AuditEvent
Autenticação imAuthentication
DNS _Im_Dns
Evento de Arquivo imFileEvent
Sessão de rede _Im_NetworkSession
Evento de processo - imProcessCreate
- imProcessTerminate
Evento de registro imRegistry
Sessão da Web _Im_WebSession

Otimização da análise com parâmetros

O uso de analisadores pode afetar o desempenho da consulta, principalmente a partir da filtragem dos resultados após a análise. Por esse motivo, muitos analisadores têm parâmetros de filtragem opcionais, que permitem filtrar antes de analisar e aprimorar o desempenho da consulta. Com o trabalho de otimização de consulta e de filtragem prévia, os analisadores do ASIM geralmente têm melhor desempenho do que não usar a normalização.

Ao chamar o analisador, sempre use os parâmetros de filtragem disponíveis adicionando um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores ASIM.

Cada esquema tem um conjunto padrão de parâmetros de filtragem documentados na documentação do esquema relevante. Os parâmetros de filtragem são totalmente opcionais. Os esquemas a seguir dão suporte a parâmetros de filtragem:

Cada esquema que dá suporte a parâmetros de filtragem dá suporte a pelo menos os parâmetros starttimee endtimeusá-los geralmente é fundamental para otimizar o desempenho.

Para obter um exemplo de uso de analisadores de filtragem, consulte Unificar analisadores acima.

O parâmetro pack

Para garantir a eficiência, os analisadores mantêm apenas campos normalizados. Campos que não são normalizados têm menos valor quando combinados com outras fontes. Alguns analisadores dão suporte ao parâmetro pack. Quando o parâmetro pack for definido como true, o analisador empacotará dados adicionais no campo dinâmico AdditionalFields.

O artigo lista de analisadores observa analisadores que dão suporte ao parâmetro pack.

Próximas etapas

Saiba mais sobre analisadores do ASIM:

Saiba mais sobre o ASIM em geral: