Utilizar o Modelo de Informações de Segurança Avançada (ASIM) (Pré-visualização pública)
Utilize analisadores do Modelo de Informação de Segurança Avançada (ASIM) em vez de nomes de tabelas nas suas consultas do Microsoft Sentinel para ver dados num formato normalizado e incluir todos os dados relevantes para o esquema na sua consulta. Consulte a tabela abaixo para encontrar o analisador relevante para cada esquema.
Importante
O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Analisadores unificadores unificadores
Ao utilizar o ASIM nas suas consultas, utilize analisadores unificadores para combinar todas as origens, normalizadas com o mesmo esquema e consulte-as com campos normalizados. O nome do analisador unificador destina-se _Im_<schema> a analisadores incorporados e im<schema> a parsers implementados na área de trabalho, onde <schema> significa o esquema específico que serve.
Por exemplo, a consulta seguinte utiliza o analisador DNS unificador incorporado para consultar eventos DNS com os ResponseCodeNamecampos , SrcIpAddre TimeGenerated normalizados:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
O exemplo utiliza parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem filtrar parâmetros teria o seguinte aspeto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Nota
Ao utilizar os analisadores ASIM na página Registos , o seletor de intervalo de tempo está definido como custom. Ainda pode definir o intervalo de tempo. Em alternativa, especifique o intervalo de tempo com parâmetros de analisador.
A tabela seguinte lista os analisadores unificadores unificadores disponíveis:
| Esquema | Analisador unificador |
|---|---|
| Evento de Auditoria | _Im_AuditEvent |
| Autenticação | imAuthentication |
| Dns | _Im_Dns |
| Evento de Ficheiro | imFileEvent |
| Sessão de Rede | _Im_NetworkSession |
| Evento de Processo | - imProcessCriar - imProcessTerminate |
| Evento de Registo | imRegistry |
| Sessão Web | _Im_WebSession |
Otimizar a análise com parâmetros
A utilização de analisadores pode afetar o desempenho da consulta, principalmente por filtrar os resultados após a análise. Por este motivo, muitos analisadores têm parâmetros de filtragem opcionais, que lhe permitem filtrar antes de analisar e melhorar o desempenho das consultas. Com a otimização de consultas e os esforços de pré-filtragem, os analisadores asIM proporcionam frequentemente um melhor desempenho quando comparados com a não utilização de normalização.
Ao invocar o analisador, utilize sempre os parâmetros de filtragem disponíveis ao adicionar um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores asIM.
Cada esquema tem um conjunto padrão de parâmetros de filtragem documentado na documentação de esquema relevante. Os parâmetros de filtragem são totalmente opcionais. Os seguintes esquemas suportam parâmetros de filtragem:
Todos os esquemas que suportam a filtragem de parâmetros suportam, pelo menos, os starttime parâmetros e endtime e utilizá-los são muitas vezes essenciais para otimizar o desempenho.
Para obter um exemplo de utilização de analisadores de filtragem, veja Unificar parsers acima.
O parâmetro do pacote
Para garantir a eficiência, os analisadores mantêm apenas campos normalizados. Os campos que não estão normalizados têm menos valor quando combinados com outras origens. Alguns analisadores suportam o parâmetro do pacote . Quando o parâmetro do pacote está definido como true, o analisador irá empacotar dados adicionais no campo dinâmico AdditionalFields .
Os analisadores listam os analisadores de notas do artigo que suportam o parâmetro do pacote .
Passos seguintes
Saiba mais sobre os analisadores do ASIM:
- Descrição geral dos analisadores do ASIM
- Gerir analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- A lista de analisadores do ASIM
Saiba mais sobre o ASIM em geral:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
- Descrição geral do Advanced Security Information Model (ASIM)
- Esquemas do Advanced Security Information Model (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)