Gerir analisadores do Modelo de Informação de Segurança Avançada (ASIM) (Pré-visualização pública)
Os utilizadores do Advanced Security Information Model (ASIM) utilizam analisadores unificadores em vez de nomes de tabelas nas suas consultas, para ver dados num formato normalizado e obter todos os dados relevantes para o esquema numa única consulta. Cada analisador unificador utiliza vários analisadores específicos da origem que processam os detalhes específicos de cada origem.
Para compreender como os analisadores se encaixam na arquitetura ASIM, veja o diagrama de arquitetura asIM.
Poderá ter de gerir os analisadores específicos da origem utilizados por cada analisador unificador para:
Adicione um analisador personalizado e específico de origem a um analisador unificador.
Substitua um analisador incorporado específico da origem que é utilizado por um analisador unificador por um analisador personalizado e específico da origem. Substitua os analisadores incorporados quando quiser:
Utilize uma versão do analisador incorporado que não seja a utilizada por predefinição no analisador unificador.
Impeça atualizações automatizadas preservando a versão do analisador específico da origem utilizado pelo analisador unificador.
Utilize uma versão modificada de um analisador incorporado.
Configure um analisador específico da origem, por exemplo, para definir as origens que enviam informações relevantes para o analisador.
Este artigo orienta-o ao longo da gestão dos seus parsers, seja através da utilização de analisadores asim incorporados, unificadores unificadores ou analisadores unificadores implementados na área de trabalho.
Importante
O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Pré-requisitos
Os procedimentos neste artigo partem do princípio de que todos os analisadores específicos da origem já foram implementados na área de trabalho do Microsoft Sentinel.
Para obter mais informações, veja Desenvolver analisadores ASIM.
Gerir analisadores unificadores unificadores incorporados
Configurar a área de trabalho
Os utilizadores do Microsoft Sentinel não podem editar analisadores unificadores unificadores incorporados. Em vez disso, utilize os seguintes mecanismos para modificar o comportamento dos analisadores unificadores unificadores incorporados:
Para suportar a adição de analisadores específicos da origem, o ASIM utiliza analisadores personalizados unificadores. Estes analisadores personalizados são implementados na área de trabalho e, portanto, editáveis. Os analisadores unificadores unificadores incorporados recolhem automaticamente estes analisadores personalizados, se existirem.
Pode implementar analisadores personalizados iniciais, vazios e unificadores na área de trabalho do Microsoft Sentinel para todos os esquemas suportados ou individualmente para esquemas específicos. Para obter mais informações, veja Deploy initial ASIM empty custom unifiing parsers in the Microsoft Sentinel GitHub repository (Implementar analisadores unificadores personalizados vazios do ASIM inicial no repositório gitHub do Microsoft Sentinel).
Para suportar a exclusão de parsers específicos de origem incorporados, o ASIM utiliza uma lista de observação. Implemente a lista de observação na área de trabalho do Microsoft Sentinel a partir do repositório do GitHub do Microsoft Sentinel.
Para definir o tipo de origem para parsers incorporados e personalizados, o ASIM utiliza uma lista de observação. Implemente a lista de observação na área de trabalho do Microsoft Sentinel a partir do repositório do GitHub do Microsoft Sentinel.
Adicionar um analisador personalizado a um analisador unificador incorporado
Para adicionar um analisador personalizado, insira uma linha ao analisador unificador unificador personalizado para referenciar o novo analisador personalizado.
Certifique-se de que adiciona um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. Para saber mais sobre como editar analisadores, veja o documento Funções nas consultas de registo do Azure Monitor.
A sintaxe da linha a adicionar é diferente para cada esquema:
Esquema | Analisador | Linha a adicionar |
---|---|---|
DNS | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Ao adicionar um analisador adicional a um analisador personalizado unificador que já referencia parsers, certifique-se de que adiciona uma vírgula no final da linha anterior.
Por exemplo, o código seguinte mostra um analisador unificador unificador personalizado depois de ter adicionado o added_parser
:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Utilizar uma versão modificada de um analisador incorporado
Para modificar um analisador específico de origem incorporado existente:
Crie um analisador personalizado com base no analisador original e adicione-o ao analisador incorporado.
Adicione um registo à lista
ASim Disabled Parsers
de observação.Defina o
CallerContext
valor comoExclude<parser name>
, em que<parser name>
é o nome dos analisadores unificadores dos quais pretende excluir o analisador.Defina o
SourceSpecificParser
valorExclude<parser name>
, em que<parser name>
é o nome do analisador que pretende excluir, sem um especificador de versão.
Por exemplo, para excluir o Azure Firewall analisador DNS, adicione o seguinte registo à lista de observação:
CallerContext | SourceSpecificParser |
---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Impedir uma atualização automatizada de um analisador incorporado
Utilize o seguinte processo para impedir atualizações automáticas para analisadores incorporados e específicos da origem:
Adicione a versão incorporada do analisador que pretende utilizar, como
_Im_Dns_AzureFirewallV02
, ao analisador unificador unificador personalizado. Para obter mais informações, veja acima Adicionar um analisador personalizado a um analisador unificador incorporado.Adicione uma exceção para o analisador incorporado. Por exemplo, quando quiser optar ativamente por não participar nas atualizações automáticas e, por conseguinte, excluir um grande número de analisadores incorporados, adicione:
- Um registo com
Any
como campoSourceSpecificParser
, para excluir todos os parsers para oCallerContext
. - Um registo para
Any
no CallerContext e osSourceSpecificParser
campos para excluir todos os analisadores incorporados.
Para obter mais informações, veja Utilizar uma versão modificada de um analisador incorporado.
Gerir analisadores unificadores unificadores implementados na área de trabalho
Adicionar um analisador personalizado a um analisador unificador implementado na área de trabalho
Para adicionar um analisador personalizado, insira uma linha na union
instrução no analisador unificador implementado na área de trabalho que referencia o novo analisador personalizado.
Certifique-se de que adiciona um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. A sintaxe da linha a adicionar é diferente para cada esquema:
Esquema | Analisador | Linha a adicionar |
---|---|---|
Autenticação | ImAuthentication |
_parser_name_ (starttime, endtime, targetusername_has) |
DNS | ImDns |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
Evento de Ficheiro | imFileEvent |
_parser_name_ |
Sessão de Rede | imNetworkSession |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult) |
Evento de Processo | - imProcess - imProcessCreate - imProcessTerminate |
_parser_name_ |
Evento de Registo | imRegistry |
_parser_name_ |
Sessão Web | imWebSession |
_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Ao adicionar um analisador adicional a um analisador unificador, certifique-se de que adiciona uma vírgula no final da linha anterior.
Por exemplo, o exemplo seguinte mostra o analisador unificador de filtragem DNS, depois de ter adicionado o :added_parser
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
, vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Utilizar uma versão modificada de um analisador implementado na área de trabalho
Os utilizadores do Microsoft Sentinel podem modificar diretamente os analisadores implementados na área de trabalho. Crie um analisador com base no original, comente o original e, em seguida, adicione a sua versão modificada ao analisador unificador implementado na área de trabalho.
Por exemplo, o código seguinte mostra um analisador unificador de filtragem DNS, tendo substituído o vimDnsAzureFirewall
analisador por uma versão modificada:
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
// , vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Configurar as origens relevantes para um analisador específico da origem
Alguns analisadores exigem que atualize a lista de origens que são relevantes para o analisador. Por exemplo, um analisador que utiliza dados do Syslog poderá não conseguir determinar que eventos do Syslog são relevantes para o analisador. Esse analisador pode utilizar a Sources_by_SourceType
lista de observação para determinar que origens enviam informações relevantes para o analisador. Para essas análises, adicione um registo para cada origem relevante à lista de observação:
- Defina o
SourceType
campo para o valor específico do analisador especificado na documentação do analisador. - Defina o
Source
campo para o identificador da origem utilizada nos eventos. Poderá ter de consultar a tabela original, como o Syslog, para determinar o valor correto.
Se o sistema não tiver a Sources_by_SourceType
lista de observação implementada, implemente a lista de observação na área de trabalho do Microsoft Sentinel a partir do repositório do GitHub do Microsoft Sentinel.
Passos seguintes
Este artigo aborda a gestão dos analisadores do Advanced Security Information Model (ASIM).
Saiba mais sobre os analisadores do ASIM:
- Descrição geral dos analisadores do ASIM
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- A lista de analisadores do ASIM
Saiba mais sobre o ASIM em geral:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
- Descrição geral do Advanced Security Information Model (ASIM)
- Esquemas do Advanced Security Information Model (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)