Gelişmiş Güvenlik Bilgileri Modeli'ni (ASIM) Kullanma (Genel önizleme)

  • Makale

Verileri normalleştirilmiş biçimde görüntülemek ve şemayla ilgili tüm verileri sorgunuza eklemek için Microsoft Sentinel sorgularınızda tablo adları yerine Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını kullanın. Her şema için uygun ayrıştırıcıyı bulmak için aşağıdaki tabloya bakın.

Önemli

ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Ayrıştırıcıları birleştirme

Sorgularınızda ASIM kullanırken, tüm kaynakları birleştirmek, aynı şemaya normalleştirmek ve normalleştirilmiş alanları kullanarak bunları sorgulamak için birleştirici ayrıştırıcıları kullanın. Birleştirici ayrıştırıcı adı _Im_<schema> , yerleşik ayrıştırıcılar ve im<schema> çalışma alanı tarafından dağıtılan ayrıştırıcılar içindir; burada <schema> hizmet ettiği şemanın kısaltmasıdır.

Örneğin, aşağıdaki sorgu, , SrcIpAddrve TimeGenerated normalleştirilmiş alanları kullanarak DNS olaylarını sorgulamak için yerleşik birleştirici DNS ayrıştırıcısını ResponseCodeNamekullanır:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Örnekte ASIM performansını geliştiren filtreleme parametreleri kullanılır. Parametreleri filtrelemeden aynı örnek şöyle görünür:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Not

Günlükler sayfasında ASIM ayrıştırıcılarını kullanırken zaman aralığı seçicisi olarak customayarlanır. Yine de zaman aralığını kendiniz ayarlayabilirsiniz. Alternatif olarak, ayrıştırıcı parametrelerini kullanarak zaman aralığını belirtin.

Aşağıdaki tabloda kullanılabilir birleştirici ayrıştırıcılar listelenir:

Şema Ayrıştırıcıyı birleştirme
Denetim Olayı _Im_AuditEvent
Kimlik Doğrulaması imAuthentication
Dns _Im_Dns
Dosya Olayı imFileEvent
Ağ Oturumu _Im_NetworkSession
İşlem Olayı - imProcessCreate
- imProcessTerminate
Kayıt Defteri Olayı imRegistry
Web Oturumu _Im_WebSession

Parametreleri kullanarak ayrıştırmayı iyileştirme

Ayrıştırıcıları kullanmak, öncelikle ayrıştırma sonrasında sonuçları filtrelemek için sorgu performansınızı etkileyebilir. Bu nedenle, birçok ayrıştırıcının isteğe bağlı filtreleme parametreleri vardır ve bu parametreler sorgu performansını ayrıştırmadan ve geliştirmeden önce filtrelemenizi sağlar. Sorgu iyileştirme ve ön filtreleme çalışmalarıyla, ASIM ayrıştırıcıları normalleştirmeyi hiç kullanmamayla karşılaştırıldığında genellikle daha iyi performans sağlar.

Ayrıştırıcıyı çağırırken, ASIM ayrıştırıcılarının en iyi performansını sağlamak için her zaman bir veya daha fazla adlandırılmış parametre ekleyerek kullanılabilir filtreleme parametrelerini kullanın.

Her şema, ilgili şema belgelerinde belgelenen standart bir filtreleme parametreleri kümesine sahiptir. Filtreleme parametreleri tamamen isteğe bağlıdır. Aşağıdaki şemalar filtreleme parametrelerini destekler:

Filtreleme parametrelerini destekleyen her şema en azından starttime ve endtime parametrelerini destekler ve bunları kullanmak genellikle performansı iyileştirmek için kritik önem taşır.

Filtreleme ayrıştırıcılarını kullanma örneği için yukarıdaki Ayrıştırıcıları birleştirme bölümüne bakın.

Pack parametresi

Verimliliği sağlamak için ayrıştırıcılar yalnızca normalleştirilmiş alanları korur. Normalleştirilmeyen alanlar, diğer kaynaklarla birleştirildiğinde daha az değere sahiptir. Bazı ayrıştırıcılar paket parametresini destekler. Paket parametresi olarak trueayarlandığında, ayrıştırıcı EkAlanlar dinamik alanına ek veriler paketler.

Ayrıştırıcılar,paket parametresini destekleyen makale not ayrıştırıcılarını listeler.

Sonraki adımlar

ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:

ASIM hakkında genel olarak daha fazla bilgi edinin: