Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
No Microsoft Sentinel, a análise e a normalização ocorrem no momento da consulta. Os analisadores são criados como funções definidas pelo utilizador KQL que transformam dados em tabelas existentes, como CommonSecurityLog, tabelas de registos personalizados ou Syslog, no esquema normalizado.
Os utilizadores utilizam analisadores do Modelo de Informação de Segurança Avançada (ASIM) em vez de nomes de tabelas nas consultas para ver dados num formato normalizado e para incluir todos os dados relevantes para o esquema na sua consulta.
Para compreender como os analisadores se encaixam na arquitetura ASIM, veja o diagrama de arquitetura ASIM.
Analisadores asim incorporados e analisadores implementados na área de trabalho
Os analisadores asim estão incorporados e disponíveis em todas as Microsoft Sentinel áreas de trabalho.
O ASIM também suporta a implementação de analisadores em áreas de trabalho específicas a partir do GitHub, através de um modelo do ARM. Os parsers implementados na área de trabalho são utilizados para o desenvolvimento e gestão do analisador ASIM. Os parsers implementados na área de trabalho são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisador coexistam com analisadores incorporados na mesma área de trabalho Microsoft Sentinel. Leia mais sobre os analisadores implementados na área de trabalho para os implementar, utilizar e gerir.
Recomenda-se a utilização de analisadores incorporados ao desenvolver conteúdo ASIM. Os parsers implementados na área de trabalho são normalmente utilizados durante o processo de desenvolvimento do analisador ou para fornecer versões modificadas de analisadores incorporados, conforme descrito na gestão de parsers
Hierarquia de analisador e nomenclatura
O ASIM inclui dois níveis de analisadores: parsers unificadores unificadores e específicos da origem . Normalmente, o utilizador utiliza o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema são consultados. Por sua vez, o analisador unificador chama os analisadores específicos da origem para efetuar a análise e normalização reais, que é específica para cada origem.
O nome unificador do analisador é _Im_<schema> onde <schema> se representa o esquema específico que serve. Os analisadores específicos da origem também podem ser utilizados de forma independente. A convenção de nomenclatura é _Im_<schema>_<source>V<version>. Pode encontrar uma lista de analisadores específicos da origem na lista de analisadores asIM.
Nota
Um conjunto correspondente de analisadores que utilizam _ASim_<schema>. Estes analisadores não suportam parâmetros de filtragem e são fornecidos para retrocompatibilidade.
Sugestão
A hierarquia do analisador adiciona uma camada para suportar a personalização. Para obter mais informações, veja Managing ASIM parsers (Gerir analisadores asIM).
Passos seguintes
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores ASIM
- Desenvolver analisadores ASIM personalizados
- Gerir analisadores asim
- A lista de analisadores do ASIM
Para obter mais informações sobre o ASIM, em geral, consulte:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)