Поделиться через


Средства синтаксического анализа расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)

В Microsoft Sentinel синтаксический анализ и нормализация выполняются во время запроса. Средства синтаксического анализа создаются как определяемые пользователем функции KQL, которые преобразуют в нормализованную схему данные в существующих таблицах, таких как CommonSecurityLog, таблицы пользовательских журналов или syslog.

Пользователи используют расширенную информационную модель безопасности (ASIM) вместо имен таблиц в своих запросах, чтобы просматривать данные в нормализованном формате и включать в запрос все данные, относящиеся к схеме.

Чтобы понять, как средства синтаксического анализа вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.

Важно!

ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Встроенные средства синтаксического анализа анализаторы ASIM и средства синтаксического анализа, развернутые в рабочей области

Многие средства синтаксического анализа ASIM встроены в каждую рабочую область Microsoft Sentinel и не требуют дополнительной установки и настройки. ASIM также поддерживает развертывание средств синтаксического анализа в конкретных рабочих областях из GitHub, с помощью шаблона ARM или вручную. Встроенные средства синтаксического анализа и средства, развернутые в рабочей области, предлагают одинаковые функции, но используют соглашения об именовании с некоторыми различиями, что позволяет использовать оба средства в одной рабочей области Microsoft Sentinel.

У каждого метода есть свои преимущества:

Сравнение Встроено Развернутый в рабочей области
Преимущества Существует в каждом экземпляре Microsoft Sentinel.

Можно использовать с другим встроенным содержимым.
Новые средства синтаксического анализа часто сначала предоставляются в версии, развернутой в рабочей области.
Недостатки Не может быть напрямую изменен пользователями.

Доступно меньше средств синтаксического анализа.
Не используется встроенным содержимым.
Сценарии использования Используйте в большинстве случаев, когда требуются средства синтаксического анализа ASIM. Используйте при развертывании новых средств синтаксического анализа или средств, которые еще не доступны в готовой версии.

Для схем, для которых доступны встроенные средства синтаксического анализа, рекомендуется использовать эти средства.

Иерархия и именование средства синтаксического анализа

ASIM включает средства синтаксического анализа двух уровней: унифицирующие и связанные с конкретным источником. Пользователь обычно использует унифицирующее средство синтаксического анализа для соответствующей схемы, чтобы запрашивать все данные, относящиеся к схеме. Унифицирующее средство синтаксического анализа, в свою очередь, вызывает средства, связанные с конкретным источником, для выполнения фактического анализа и нормализации в соответствии с особенностями каждого источника.

Для унифицированного средства синтаксического анализа используется имя _Im_<schema> (для встроенных средств синтаксического анализа) или im<schema> (для средств синтаксического анализа, развернутых в рабочей области), где <schema> обозначает конкретную схему, которую обслуживает это средство. Анализаторы, специфичные для источника, также можно использовать независимо. Используйте _Im_<schema>_<source> для встроенных и vim<schema><source> развернутых в рабочей области синтаксического анализа. Например, в книге для источника Infoblox можно применить средство синтаксического анализа _Im_Dns_InfobloxNIOS. Список средств синтаксического анализа для конкретных источников можно найти в списке средств синтаксического анализа ASIM.

Совет

Также доступен соответствующий набор средств синтаксического анализа, использующих _ASim_<schema> и ASim<Schema> . Эти средства синтаксического анализа не поддерживают параметры фильтрации и предоставляются для устранения проблемы с пользовательским диапазоном для средства выбора времени . Используйте эти средства синтаксического анализа только в интерактивном режиме на экране журналов, но не в других местах, например в правилах аналитики или книгах. Эти средства синтаксического анализа не могут быть удалены при устранении проблемы.

Совет

Иерархия встроенных средств синтаксического анализа добавляет слой для поддержки настройки. Дополнительные сведения см. в статье Управление средствами синтаксического анализа ASIM.

Дальнейшие действия

Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:

Дополнительные сведения об ASIM см. в следующих статьях: