在Microsoft Sentinel查詢中使用先進安全資訊模型 (ASIM) 解析器,取代資料表名稱,以正規化格式查看資料,並將所有與結構相關的資料納入查詢中。 請參考下表,找出每個結構所需的解析器。
統一解析器
在查詢中使用 ASIM 時,請使用 統一解析器 將所有正規化成相同結構的來源合併,並用正規化欄位查詢。 統一的解析器名稱為 _Im_<schema>,其中 <schema> 代表其所服務的特定結構。
例如,以下查詢使用內建的統一 DNS 解析器來查詢 DNS 事件,使用、 ResponseCodeNameSrcIpAddr及TimeGenerated正規化欄位:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
範例中使用 了過濾參數,以提升 ASIM 效能。 同樣的例子如果沒有過濾參數,會是這樣:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
下表列出可用的統一解析器:
| Schema | 統一解析器 |
|---|---|
| 警報事件 | _Im_AlertEvent |
| 資產實體 | _Im_AssetEntity |
| 審核事件 | _Im_AuditEvent |
| 驗證 | _Im_Authentication |
| DHCP 事件 | _Im_DhcpEvent |
| DNS | _Im_Dns |
| 檔案事件 | _Im_FileEvent |
| 網路會議 | _Im_NetworkSession |
| 流程事件 | _Im_ProcessCreate _Im_ProcessTerminate |
| 登記處活動 | _Im_RegistryEvent |
| User Management | _Im_UserManagement |
| 網路會議 | _Im_WebSession |
利用參數優化解析
使用解析器可能會影響你的查詢效能,主要是因為解析後會過濾結果。 因此,許多解析器都有可選的過濾參數,讓你能在解析前先過濾,並提升查詢效能。 經過查詢優化與預過濾,ASIM 解析器通常比完全不使用正規化時提供更好的效能。
呼叫解析器時,務必使用現有的過濾參數,並加入一個或多個命名參數,以確保 ASIM 解析器的最佳效能。
每個結構架構都有一套標準的過濾參數,這些參數記錄在相關的結構文件中。 過濾參數完全是可選的。
關於使用過濾解析器的範例,請參見 統一解析器。
包參數
為了確保效率,解析器只維護正規化欄位。 未正規化的欄位與其他來源結合時價值較低。 有些解析器支援 pack 參數。 當 pack 參數設為 true時,解析器會將額外資料打包到 AdditionalFields 動態欄位。
解析器列出支援 pack 參數的文章筆記解析器。
相關內容
如需詳細資訊,請參閱: