Gerir analisadores do Modelo de Informação de Segurança Avançada (ASIM) (Pré-visualização pública)

Os utilizadores do Advanced Security Information Model (ASIM) utilizam analisadores unificadores em vez de nomes de tabelas nas suas consultas, para ver dados num formato normalizado e obter todos os dados relevantes para o esquema numa única consulta. Cada analisador unificador utiliza vários analisadores específicos da origem que processam os detalhes específicos de cada origem.

Para compreender como os analisadores se encaixam na arquitetura ASIM, veja o diagrama de arquitetura asIM.

Poderá ter de gerir os analisadores específicos da origem utilizados por cada analisador unificador para:

• Adicione um analisador personalizado e específico de origem a um analisador unificador.

• Substitua um analisador incorporado específico da origem que é utilizado por um analisador unificador por um analisador personalizado e específico da origem. Substitua os analisadores incorporados quando quiser:

  • Utilize uma versão do analisador incorporado que não seja a utilizada por predefinição no analisador unificador.

  • Impeça atualizações automatizadas preservando a versão do analisador específico da origem utilizado pelo analisador unificador.

  • Utilize uma versão modificada de um analisador incorporado.

• Configure um analisador específico da origem, por exemplo, para definir as origens que enviam informações relevantes para o analisador.

Este artigo orienta-o ao longo da gestão dos seus parsers, seja através da utilização de analisadores asim incorporados, unificadores unificadores ou analisadores unificadores implementados na área de trabalho.

Importante

O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Pré-requisitos

Os procedimentos neste artigo partem do princípio de que todos os analisadores específicos da origem já foram implementados na área de trabalho do Microsoft Sentinel.

Para obter mais informações, veja Desenvolver analisadores ASIM.

Gerir analisadores unificadores unificadores incorporados

Configurar a área de trabalho

Os utilizadores do Microsoft Sentinel não podem editar analisadores unificadores unificadores incorporados. Em vez disso, utilize os seguintes mecanismos para modificar o comportamento dos analisadores unificadores unificadores incorporados:

• Para suportar a adição de analisadores específicos da origem, o ASIM utiliza analisadores personalizados unificadores. Estes analisadores personalizados são implementados na área de trabalho e, portanto, editáveis. Os analisadores unificadores unificadores incorporados recolhem automaticamente estes analisadores personalizados, se existirem.

  Pode implementar analisadores personalizados iniciais, vazios e unificadores na área de trabalho do Microsoft Sentinel para todos os esquemas suportados ou individualmente para esquemas específicos. Para obter mais informações, veja Deploy initial ASIM empty custom unifiing parsers in the Microsoft Sentinel GitHub repository (Implementar analisadores unificadores personalizados vazios do ASIM inicial no repositório gitHub do Microsoft Sentinel).

• Para suportar a exclusão de parsers específicos de origem incorporados, o ASIM utiliza uma lista de observação. Implemente a lista de observação na área de trabalho do Microsoft Sentinel a partir do repositório do GitHub do Microsoft Sentinel.

• Para definir o tipo de origem para parsers incorporados e personalizados, o ASIM utiliza uma lista de observação. Implemente a lista de observação na área de trabalho do Microsoft Sentinel a partir do repositório do GitHub do Microsoft Sentinel.

Adicionar um analisador personalizado a um analisador unificador incorporado

Para adicionar um analisador personalizado, insira uma linha ao analisador unificador unificador personalizado para referenciar o novo analisador personalizado.

Certifique-se de que adiciona um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. Para saber mais sobre como editar analisadores, veja o documento Funções nas consultas de registo do Azure Monitor.

A sintaxe da linha a adicionar é diferente para cada esquema:

Esquema	Analisador	Linha a adicionar
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ao adicionar um analisador adicional a um analisador personalizado unificador que já referencia parsers, certifique-se de que adiciona uma vírgula no final da linha anterior.

Por exemplo, o código seguinte mostra um analisador unificador unificador personalizado depois de ter adicionado o added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Utilizar uma versão modificada de um analisador incorporado

Para modificar um analisador específico de origem incorporado existente:

1. Crie um analisador personalizado com base no analisador original e adicione-o ao analisador incorporado.

2. Adicione um registo à lista ASim Disabled Parsers de observação.

3. Defina o CallerContext valor como Exclude<parser name>, em que <parser name> é o nome dos analisadores unificadores dos quais pretende excluir o analisador.

4. Defina o SourceSpecificParser valor Exclude<parser name>, em que <parser name>é o nome do analisador que pretende excluir, sem um especificador de versão.

Por exemplo, para excluir o Azure Firewall analisador DNS, adicione o seguinte registo à lista de observação:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Impedir uma atualização automatizada de um analisador incorporado

Utilize o seguinte processo para impedir atualizações automáticas para analisadores incorporados e específicos da origem:

1. Adicione a versão incorporada do analisador que pretende utilizar, como _Im_Dns_AzureFirewallV02, ao analisador unificador unificador personalizado. Para obter mais informações, veja acima Adicionar um analisador personalizado a um analisador unificador incorporado.

2. Adicione uma exceção para o analisador incorporado. Por exemplo, quando quiser optar ativamente por não participar nas atualizações automáticas e, por conseguinte, excluir um grande número de analisadores incorporados, adicione:

• Um registo com Any como campo SourceSpecificParser , para excluir todos os parsers para o CallerContext.
• Um registo para Any no CallerContext e os SourceSpecificParser campos para excluir todos os analisadores incorporados.

Para obter mais informações, veja Utilizar uma versão modificada de um analisador incorporado.

Gerir analisadores unificadores unificadores implementados na área de trabalho

Adicionar um analisador personalizado a um analisador unificador implementado na área de trabalho

Para adicionar um analisador personalizado, insira uma linha na union instrução no analisador unificador implementado na área de trabalho que referencia o novo analisador personalizado.

Certifique-se de que adiciona um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. A sintaxe da linha a adicionar é diferente para cada esquema:

Esquema	Analisador	Linha a adicionar
Autenticação	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Evento de Ficheiro	imFileEvent	_parser_name_
Sessão de Rede	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Evento de Processo	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Evento de Registo	imRegistry	_parser_name_
Sessão Web	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ao adicionar um analisador adicional a um analisador unificador, certifique-se de que adiciona uma vírgula no final da linha anterior.

Por exemplo, o exemplo seguinte mostra o analisador unificador de filtragem DNS, depois de ter adicionado o :added_parser

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Utilizar uma versão modificada de um analisador implementado na área de trabalho

Os utilizadores do Microsoft Sentinel podem modificar diretamente os analisadores implementados na área de trabalho. Crie um analisador com base no original, comente o original e, em seguida, adicione a sua versão modificada ao analisador unificador implementado na área de trabalho.

Por exemplo, o código seguinte mostra um analisador unificador de filtragem DNS, tendo substituído o vimDnsAzureFirewall analisador por uma versão modificada:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Configurar as origens relevantes para um analisador específico da origem

Alguns analisadores exigem que atualize a lista de origens que são relevantes para o analisador. Por exemplo, um analisador que utiliza dados do Syslog poderá não conseguir determinar que eventos do Syslog são relevantes para o analisador. Esse analisador pode utilizar a Sources_by_SourceType lista de observação para determinar que origens enviam informações relevantes para o analisador. Para essas análises, adicione um registo para cada origem relevante à lista de observação:

• Defina o SourceType campo para o valor específico do analisador especificado na documentação do analisador.
• Defina o Source campo para o identificador da origem utilizada nos eventos. Poderá ter de consultar a tabela original, como o Syslog, para determinar o valor correto.

Se o sistema não tiver a Sources_by_SourceType lista de observação implementada, implemente a lista de observação na área de trabalho do Microsoft Sentinel a partir do repositório do GitHub do Microsoft Sentinel.

Passos seguintes

Este artigo aborda a gestão dos analisadores do Advanced Security Information Model (ASIM).

Saiba mais sobre os analisadores do ASIM:

• Descrição geral dos analisadores do ASIM
• Utilizar analisadores do ASIM
• Desenvolver analisadores do ASIM personalizados
• A lista de analisadores do ASIM

Saiba mais sobre o ASIM em geral:

• Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
• Descrição geral do Advanced Security Information Model (ASIM)
• Esquemas do Advanced Security Information Model (ASIM)
• Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)