Partilhar via

Gerenciar analisadores ASIM (Advanced Security Information Model) (visualização pública)

  • Artigo

Os usuários do ASIM (Advanced Security Information Model) usam analisadores unificadores em vez de nomes de tabelas em suas consultas, para exibir dados em um formato normalizado e obter todos os dados relevantes para o esquema em uma única consulta. Cada analisador unificador usa vários analisadores específicos da fonte que lidam com os detalhes específicos de cada fonte.

Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.

Talvez seja necessário gerenciar os analisadores específicos de origem usados por cada analisador unificador para:

  • Adicione um analisador personalizado e específico da fonte a um analisador unificador.

  • Substitua um analisador interno específico da fonte que é usado por um analisador unificador por um analisador personalizado e específico da fonte. Substitua os analisadores integrados quando quiser:

    • Use uma versão do analisador interno diferente daquela usada por padrão no analisador unificador.

    • Impeça atualizações automatizadas preservando a versão do analisador específico de origem usado pelo analisador unificador.

    • Use uma versão modificada de um analisador interno.

  • Configure um analisador específico da fonte, por exemplo, para definir as fontes que enviam informações relevantes para o analisador.

Este artigo orienta você no gerenciamento de seus analisadores, seja usando analisadores ASIM internos e unificadores ou analisadores unificadores implantados no espaço de trabalho.

Importante

ASIM está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

Os procedimentos neste artigo pressupõem que todos os analisadores específicos da origem já foram implantados no seu espaço de trabalho do Microsoft Sentinel.

Para obter mais informações, consulte Desenvolver analisadores ASIM.

Gerencie analisadores unificadores integrados

Configurar a sua área de trabalho

Os usuários do Microsoft Sentinel não podem editar analisadores unificadores internos. Em vez disso, use os seguintes mecanismos para modificar o comportamento dos analisadores unificadores internos:

  • Para dar suporte à adição de analisadores específicos da fonte, o ASIM usa analisadores unificadores e personalizados. Esses analisadores personalizados são implantados no espaço de trabalho e, portanto, editáveis. Os analisadores unificadores integrados captam automaticamente esses analisadores personalizados, se existirem.

    Você pode implantar analisadores personalizados iniciais, vazios e unificadores em seu espaço de trabalho do Microsoft Sentinel para todos os esquemas suportados ou individualmente para esquemas específicos. Para obter mais informações, consulte Implantar analisadores unificadores personalizados vazios iniciais do ASIM no repositório GitHub do Microsoft Sentinel.

  • Para oferecer suporte à exclusão de analisadores internos específicos da fonte, o ASIM usa uma lista de observação. Implante a lista de observação em seu espaço de trabalho do Microsoft Sentinel a partir do repositório GitHub do Microsoft Sentinel.

  • Para definir o tipo de origem para analisadores internos e personalizados, o ASIM usa uma lista de observação. Implante a lista de observação em seu espaço de trabalho do Microsoft Sentinel a partir do repositório GitHub do Microsoft Sentinel.

Adicionar um analisador personalizado a um analisador unificador integrado

Para adicionar um analisador personalizado, insira uma linha no analisador unificador personalizado para fazer referência ao novo analisador personalizado.

Certifique-se de adicionar um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. Para saber mais sobre como editar analisadores, consulte o documento Funções em consultas de log do Azure Monitor.

A sintaxe da linha a ser adicionada é diferente para cada esquema:

Esquema Analisador Linha a adicionar
DNS Im_DnsCustom _parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession Im_NetworkSessionCustom _parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession Im_WebSessionCustom _parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ao adicionar um analisador adicional a um analisador personalizado unificador que já faz referência a analisadores, certifique-se de adicionar uma vírgula no final da linha anterior.

Por exemplo, o código a seguir mostra um analisador unificador personalizado depois de ter adicionado o added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Usar uma versão modificada de um analisador interno

Para modificar um analisador interno existente e específico da fonte:

  1. Crie um analisador personalizado com base no analisador original e adicione-o ao analisador incorporado.

  2. Adicione um registro à ASim Disabled Parsers lista de observação.

  3. Defina o CallerContext valor como Exclude<parser name>, onde <parser name> é o nome dos analisadores unificadores dos quais você deseja excluir o analisador.

  4. Defina o SourceSpecificParser valor Exclude<parser name>, onde <parser name>é o nome do analisador que você deseja excluir, sem um especificador de versão.

Por exemplo, para excluir o analisador DNS do Firewall do Azure, adicione o seguinte registro à lista de observação:

CallerContext SourceSpecificParser
Exclude_Im_Dns Exclude_Im_Dns_AzureFirewall

Impedir uma atualização automatizada de um analisador integrado

Use o seguinte processo para impedir atualizações automáticas para analisadores internos específicos da origem:

  1. Adicione a versão interna do analisador que você deseja usar, como _Im_Dns_AzureFirewallV02, ao analisador unificador personalizado. Para obter mais informações, consulte acima, Adicionar um analisador personalizado a um analisador unificador interno.

  2. Adicione uma exceção para o analisador interno. Por exemplo, quando você quiser desativar totalmente as atualizações automáticas e, portanto, excluir um grande número de analisadores internos, adicione:

  • Um registro com Any como SourceSpecificParser campo, para excluir todos os analisadores para o CallerContext.
  • Um registro para Any no CallerContext e os SourceSpecificParser campos para excluir todos os analisadores internos.

Para obter mais informações, consulte Usar uma versão modificada de um analisador interno.

Gerenciar analisadores unificadores implantados no espaço de trabalho

Adicionar um analisador personalizado a um analisador unificador implantado no espaço de trabalho

Para adicionar um analisador personalizado, insira uma linha à union instrução no analisador unificador implantado no espaço de trabalho que faz referência ao novo analisador personalizado.

Certifique-se de adicionar um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. A sintaxe da linha a ser adicionada é diferente para cada esquema:

Esquema Analisador Linha a adicionar
Autenticação ImAuthentication _parser_name_ (starttime, endtime, targetusername_has)
DNS ImDns _parser_name_ (starttime, endtime, srcipaddr, domain_has_any,
responsecodename, response_has_ipv4, response_has_any_prefix,
eventtype)
Evento de arquivo imFileEvent _parser_name_
Sessão de rede imNetworkSession _parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any,
httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Evento do processo - imProcess
- imProcessCreate
- imProcessTerminate		 _parser_name_
Evento de registo imRegistry

 _parser_name_
Sessão Web imWebSession

 _parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ao adicionar um analisador adicional a um analisador unificador, certifique-se de adicionar uma vírgula no final da linha anterior.

Por exemplo, o exemplo a seguir mostra o analisador unificador de filtragem DNS, depois de ter adicionado o personalizado added_parser:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Usar uma versão modificada de um analisador implantado no espaço de trabalho

Os usuários do Microsoft Sentinel podem modificar diretamente os analisadores implantados no espaço de trabalho. Crie um analisador com base no original, comente o original e adicione sua versão modificada ao analisador unificador implantado no espaço de trabalho.

Por exemplo, o código a seguir mostra um analisador unificador de filtragem DNS, tendo substituído o vimDnsAzureFirewall analisador por uma versão modificada:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Configurar as fontes relevantes para um analisador específico da fonte

Alguns analisadores exigem que você atualize a lista de fontes relevantes para o analisador. Por exemplo, um analisador que usa dados Syslog pode não ser capaz de determinar quais eventos Syslog são relevantes para o analisador. Esse analisador pode usar a lista de Sources_by_SourceType vigilância para determinar quais fontes enviam informações relevantes para o analisador. Para tais análises, adicione um registro para cada fonte relevante à lista de observação:

  • Defina o SourceType campo para o valor específico do analisador especificado na documentação do analisador.
  • Defina o Source campo como o identificador da fonte usada nos eventos. Talvez seja necessário consultar a tabela original, como Syslog, para determinar o valor correto.

Se o seu sistema não tiver a Sources_by_SourceType lista de observação implantada, implante-a no espaço de trabalho do Microsoft Sentinel a partir do repositório GitHub do Microsoft Sentinel.

Próximos passos

Este artigo discute o gerenciamento dos analisadores ASIM (Advanced Security Information Model).

Saiba mais sobre os analisadores do ASIM:

Saiba mais sobre o ASIM em geral: