Os analisadores do Advanced Security Information Model (ASIM) (Pré-visualização pública)
No Microsoft Sentinel, a análise e a normalização ocorrem no momento da consulta. Os parsers são criados como funções definidas pelo utilizador KQL que transformam dados em tabelas existentes, como CommonSecurityLog, tabelas de registos personalizados ou Syslog, no esquema normalizado.
Os utilizadores utilizam analisadores do Advanced Security Information Model (ASIM) em vez de nomes de tabelas nas respetivas consultas para ver dados num formato normalizado e para incluir todos os dados relevantes para o esquema na consulta.
Para compreender como os analisadores se encaixam na arquitetura ASIM, veja o diagrama de arquitetura ASIM.
Importante
O ASIM está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Analisadores do ASIM incorporados e analisadores implementados na área de trabalho
Muitos analisadores do ASIM estão incorporados e prontos a utilizar em todas as áreas de trabalho do Microsoft Sentinel. O ASIM também suporta a implementação de parsers em áreas de trabalho específicas a partir do GitHub, utilizando um modelo arm ou manualmente. Tanto os analisadores prontos a utilizar como os analisadores implementados na área de trabalho são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam na mesma área de trabalho do Microsoft Sentinel.
Cada método tem vantagens sobre o outro:
| Comparar | Incorporado | Implementada na área de trabalho |
|---|---|---|
| Vantagens | Existem em todas as instâncias do Microsoft Sentinel. Utilizável com outros conteúdos incorporados. |
Os novos parsers são, muitas vezes, entregues primeiro como parsers implementados na área de trabalho. |
| Desvantagens | Não é possível modificar diretamente os utilizadores. Menos analisadores disponíveis. |
Não utilizado por conteúdo incorporado. |
| Quando utilizar | Utilize na maioria dos casos que precisa de parsers ASIM. | Utilize quando implementar novos parsers ou para parsers ainda não disponíveis fora da caixa. |
Recomenda-se a utilização de analisadores incorporados para esquemas para os quais estão disponíveis parsers incorporados.
Hierarquia de analisador e nomenclatura
O ASIM inclui dois níveis de analisadores: parsers unificadores unificadores e parsers específicos da origem . Normalmente, o utilizador utiliza o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema são consultados. Por sua vez, o analisador unificador chama parsers específicos da origem para efetuar a análise e normalização reais, que é específica para cada origem.
O nome do analisador unificador destina-se _Im_<schema> a parsers incorporados e im<schema> a parsers implementados na área de trabalho, onde <schema> significa o esquema específico que serve. Os parsers específicos da origem também podem ser utilizados de forma independente. Utilize _Im_<schema>_<source> para parsers incorporados e vim<schema><source> para parsers implementados na área de trabalho. Por exemplo, num livro específico do Infoblox, utilize o analisador específico da origem _Im_Dns_InfobloxNIOS . Pode encontrar uma lista de parsers específicos de origem na lista de analisadores ASIM.
Dica
Um conjunto correspondente de parsers que utilizam _ASim_<schema> e ASim<Schema> também estão disponíveis. Os analisadores de teses não suportam parâmetros de filtragem e são fornecidos para ajudar a mitigar o seletor de tempo definido como um problema de intervalo personalizado . Utilize esses parsers apenas interativamente no ecrã de registos, mas não noutro local, por exemplo, em regras analíticas ou livros. Estes analisadores podem não ser removidos quando o problema for resolvido.
Dica
A hierarquia de analisador incorporada adiciona uma camada para suportar a personalização. Para obter mais informações, veja Gerir parsers ASIM.
Passos seguintes
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- Gerir analisadores do ASIM
- A lista de analisadores do ASIM
Para obter mais informações sobre o ASIM, em geral, consulte:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizar Os Analisadores e o Conteúdo Normalizado ) ou reveja os diapositivos
- Descrição geral do Advanced Security Information Model (ASIM)
- Esquemas do Advanced Security Information Model (ASIM)
- Conteúdo do Advanced Security Information Model (ASIM)