Usar analisadores do ASIM
No Microsoft Sentinel, a análise e a normalização acontecem no momento da consulta. Os analisadores são criados como funções KQL definidas pelo usuário que transformam dados de tabelas existentes, como CommonSecurityLog, tabelas de logs personalizadas ou Syslog, em esquema normalizado.
Os usuários usam os analisadores do ASIM (Modelo de Informações de Segurança Avançado), em vez de nomes de tabela nas consultas, para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema na consulta.
Analisadores do ASIM integrados e analisadores implantados no espaço de trabalho
Muitos analisadores do ASIM são integrados e de operações imediata em cada espaço de trabalho do Microsoft Sentinel. O ASIM também dá suporte à implantação de analisadores em espaço de trabalho específicos do GitHub, usando um modelo do ARM ou manualmente. Os analisadores de operações imediata e implantados no espaço de trabalho são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam no mesmo espaço de trabalho do Microsoft Sentinel.
Cada método tem vantagens em relação ao outro:
| Comparar | Interno | Espaço de trabalho implantado |
|---|---|---|
| Vantagens | Existem em todas as instâncias do Microsoft Sentinel. Acessível com outro conteúdo integrado. | Novos analisadores geralmente são entregues primeiro como analisadores implantados no espaço de trabalho. |
| Desvantagens | Não pode ser modificado diretamente pelos usuários. Menos analisadores disponíveis. | Não usado pelo conteúdo integrado. |
| Quando usar | Use na maioria dos casos em que você precisa de analisadores ASIM. | Use ao implantar novos analisadores ou para analisadores que ainda não estão disponíveis. |
Recomenda-se usar analisadores internos para esquemas aos quais os analisadores internos estão disponíveis.
Hierarquia do analisador
O ASIM inclui dois níveis de analisadores: analisador unificador e analisadores específicos da origem. O usuário geralmente usa o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema são consultados. O analisador unificador, por sua vez, chama os analisadores específicos da origem para executar a análise e a normalização reais, que é específica para cada fonte.
O nome do analisador unificador é _Im_Schema para analisadores internos e imSchema para analisadores implantados no workspace. Em que Schema é o esquema específico que ele atende. Os analisadores específicos da origem também podem ser usados de maneira independente. Por exemplo, em uma pasta de trabalho específica do Infoblox, use o analisador específico da origem vimDnsInfobloxNIOS.
Unificando analisadores
Ao usar o ASIM em suas consultas, use analisadores unificados para combinar todas as fontes, normalizadas para o mesmo esquema e consultá-las usando campos normalizados.
Por exemplo, a seguinte consulta usa o analisador DNS unificador interno para consultar eventos DNS usando os campos normalizados ResponseCodeName, SrcIpAddr e TimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
O exemplo usa parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem filtrar parâmetros seria assim:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
A seguinte tabela lista os analisadores unificadores disponíveis:
| Esquema | Unificando analisadores |
|---|---|
| Autenticação | imAuthentication |
| DNS | _Im_Dns |
| Evento de Arquivo | imFileEvent |
| Sessão de rede | _Im_NetworkSession |
| Evento de processo | imProcessCreate e imProcessTerminate |
| Evento de registro | imRegistry |
| Sessão da Web | _Im_WebSession |
Otimização da análise com parâmetros
O uso de analisadores pode afetar o desempenho da consulta, principalmente a partir da filtragem dos resultados após a análise. Por esse motivo, muitos analisadores têm parâmetros de filtragem opcionais, que permitem filtrar antes de analisar e aprimorar o desempenho da consulta. Com o trabalho de otimização de consulta e de filtragem prévia, os analisadores do ASIM geralmente têm melhor desempenho do que não usar a normalização.
Ao chamar o analisador, sempre use os parâmetros de filtragem disponíveis adicionando um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores ASIM.
Cada esquema tem um conjunto padrão de parâmetros de filtragem documentados na documentação do esquema relevante. Os parâmetros de filtragem são totalmente opcionais. Os esquemas a seguir dão suporte a parâmetros de filtragem:
- Autenticação
- DNS
- Sessão de rede
- Sessão da Web
Todo esquema compatível com parâmetros de filtragem dá suporte a pelo menos os parâmetros de horário de início e de término e usá-los geralmente é fundamental para otimizar o desempenho.