Gerenciar analisadores do ASIM (Modelo de Informações de Segurança Avançado) (Visualização pública)

Os usuários do ASIM (Modelo de Informações de Segurança Avançado) usam analisadores unificados, em vez de nomes de tabela nas respectivas consultas, para exibir dados em um formato normalizado e obter todos os dados relevantes para o esquema em uma consulta individual. Cada analisador unificador usa vários analisadores específicos a uma origem, que lidam com os detalhes específicos de cada origem.

Para entender como os analisadores se encaixam na arquitetura do ASIM, confira o diagrama de arquitetura do ASIM.

Talvez seja necessário gerenciar os analisadores específicos a uma origem usados por cada analisador unificador para:

• Adicionar um analisador personalizado e específico a uma origem a um analisador unificador.

• Substituir um analisador interno específico a uma origem que é usado por um analisador unificador por um analisador personalizado e específico a uma origem. Substitua analisadores internos quando você quiser:

  • Usar uma versão do analisador interno diferente da usada por padrão no analisador unificador.

  • Evitar atualizações automatizadas preservando a versão do analisador específico a uma origem usada pelo analisador unificador.

  • Usar uma versão modificada de um analisador interno.

• Configure um analisador específico da origem, por exemplo, para definir as origens que enviam informações relevantes para o analisador.

Este artigo orienta você pelo gerenciamento de seus analisadores, seja usando analisadores ASIM internos, analisadores unificadores ASIM ou analisadores unificadores implantados via workspace.

Importante

O ASIM está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

Os procedimentos neste artigo pressupõem que todos os analisadores específicos a uma origem já foram implantados em seu workspace do Microsoft Sentinel.

Para obter mais informações, confira Desenvolver analisadores do ASIM.

Gerenciar analisadores unificadores internos

Configurar seu workspace

Os usuários do Microsoft Sentinel não podem editar analisadores unificadores internos. Em vez disso, use os seguintes mecanismos para modificar o comportamento de analisadores unificadores internos:

• Para dar suporte à adição de analisadores específicos da origem, o ASIM usa analisadores unificadores personalizados. Esses analisadores personalizados são implantados via workspace e, portanto, editáveis. Analisadores unificadores internos escolherão automaticamente esses analisadores personalizados, se eles existirem.

  Você pode implantar analisadores unificadores personalizados iniciais e vazios em seu workspace do Microsoft Sentinel para todos os esquemas com suporte ou individualmente para esquemas específicos. Para obter mais informações, confira Implantar analisadores unificadores personalizados vazios do ASIM iniciais no repositório GitHub do Microsoft Sentinel.

• Para dar suporte à exclusão de analisadores internos específicos a uma origem, o ASIM usa uma watchlist. Implante a watchlist em seu workspace do Microsoft Sentinel no repositório GitHub do Microsoft Sentinel.

• Para definir o tipo de origem para analisadores internos e personalizados, o ASIM usa uma watchlist. Implante a watchlist em seu workspace do Microsoft Sentinel no repositório GitHub do Microsoft Sentinel.

Adicionar um analisador personalizado a um analisador unificador interno

Para adicionar um analisador personalizado, insira uma linha para o analisador unificador personalizado para referenciar o novo analisador personalizado.

Você deve adicionar um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. Para saber mais sobre como editar analisadores, confira o documento Funções nas consultas de log do Azure Monitor.

A sintaxe da linha a ser acrescentada é diferente para cada esquema:

Esquema	Analisador	Linha a ser acrescentada
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ao adicionar um analisador adicional a um analisador personalizado unificado que já faz referência aos analisadores, adicione uma vírgula ao final da linha anterior.

Por exemplo, o código a seguir mostra um analisador unificado personalizado depois de adicionar o added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Usar uma versão modificada de um analisador interno

Para modificar um analisador específico de origem existente e interno:

1. Crie um analisador personalizado com base no analisador original e adicione-o ao analisador interno.

2. Adicione um registro à watchlist ASim Disabled Parsers.

3. Defina o valor CallerContext como Exclude<parser name>, em que <parser name> é o nome dos analisadores unificados dos quais você deseja excluir o analisador.

4. Defina o valor SourceSpecificParser como Exclude<parser name>, em que <parser name> é o nome do analisador que você deseja excluir, sem um especificador de versão.

Por exemplo, para excluir o analisador de DNS do Firewall do Azure, adicione os seguintes registros à watchlist:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Impedir uma atualização automatizada de um analisador interno

Use o seguinte processo para impedir atualizações automáticas para analisadores internos específicos a uma origem:

1. Adicione a versão do analisador interno que você deseja usar, como _Im_Dns_AzureFirewallV02, ao analisador unificador personalizado. Para obter mais informações, confira acima, Adicionar um analisador personalizado a um analisador unificador interno.

2. Adicione uma exceção para o analisador interno. Por exemplo, quando você quiser optar totalmente por não receber atualizações automáticas e, portanto, excluir um grande número de analisadores internos, adicione:

• Um registro com Any como o campo SourceSpecificParser, para excluir todos os analisadores para o CallerContext.
• Um registro para Any no CallerContext e os campos SourceSpecificParser para excluir todos os analisadores internos.

Para obter mais informações, confira Usar uma versão modificada de um analisador interno.

Gerenciar analisadores unificadores implantados via workspace

Adicionar um analisador personalizado a um analisador unificador implantado via workspace

Para adicionar um analisador personalizado, insira uma linha à instrução union no analisador unificador implantado via workspace que faz referência ao novo analisador personalizado.

Você deve adicionar um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. A sintaxe da linha a ser acrescentada é diferente para cada esquema:

Esquema	Analisador	Linha a ser acrescentada
Autenticação	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Evento de Arquivo	imFileEvent	_parser_name_
Sessão de rede	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Evento de processo	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Evento de registro	imRegistry	_parser_name_
Sessão da Web	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ao adicionar um analisador a um analisador unificador, adicione uma vírgula ao final da linha anterior.

O seguinte exemplo mostra o analisador unificador de filtragem de DNS após a adição do added_parser personalizado:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Usar uma versão modificada de um analisador implantado via workspace

Os usuários do Microsoft Sentinel podem modificar diretamente os analisadores implantados via workspace. Crie um analisador com base no original, comente o original e, em seguida, adicione sua versão modificada ao analisador unificador implantado via workspace.

Por exemplo, o seguinte código mostra um analisador unificador de filtragem de DNS, com o analisador vimDnsAzureFirewall substituído por uma versão modificada:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Configurar as origens relevantes para um analisador específico da origem

Alguns analisadores exigem que você atualize a lista de origens relevantes para o analisador. Por exemplo, talvez um analisador que usa dados do Syslog não consiga determinar quais eventos do Syslog são relevantes para o analisador. Esse analisador pode usar a watchlist Sources_by_SourceType para determinar quais origens enviam informações relevantes para o analisador. Para essas análises, adicione à watchlist um registro para cada origem relevante:

• Defina o campo SourceType para o valor específico do analisador listado na documentação do analisador.
• Defina o campo Source como o identificador da origem usada nos eventos. Talvez seja necessário consultar a tabela original, como Syslog, para determinar o valor correto.

Se o sistema não tiver a watchlist Sources_by_SourceType implantada, implante-a no seu espaço de trabalho do Microsoft Sentinel a partir do repositório do Microsoft Sentinel no GitHub.

Próximas etapas

Este artigo discute o gerenciamento dos analisadores do ASIM (Modelo de Informações de Segurança Avançado).

Saiba mais sobre analisadores do ASIM:

• Visão geral dos analisadores do ASIM
• Usar analisadores do ASIM
• Desenvolver analisadores do ASIM privados
• A lista de analisadores do ASIM

Saiba mais sobre o ASIM em geral:

• Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
• Visão geral do ASIM (Modelo de Informações de Segurança Avançado)
• Esquemas do ASIM (Modelo de Informações de Segurança Avançado)
• Conteúdo do ASIM (Modelo de Informações de Segurança Avançado)