使用進階安全性資訊模型 (ASIM) (公開預覽)
在 Microsoft Sentinel 查詢中使用進階安全性資訊模型 (ASIM) 剖析器,而不是使用資料表名稱,檢視正規化格式的資料,並在查詢中納入與結構描述相關的所有資料。 請參閱下表,以尋找每個結構描述的相關剖析器。
重要
ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
整合剖析器
在查詢中使用 ASIM 時,請使用整合剖析器來合併所有來源、正規化為相同的結構描述,以及使用正規化欄位進行查詢。 若為內建剖析器,則整合剖析器名稱為 _Im_<schema>,若為工作區部署的剖析器,則為 im<schema>,其中 <schema> 代表所使用的特定結構描述。
例如,下列查詢透過內建的整合 DNS 剖析器,使用 ResponseCodeName、SrcIpAddr 和 TimeGenerated 正規化欄位來查詢 DNS 事件:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
此範例使用可改善 ASIM 效能的篩選參數。 沒有篩選參數的相同範例如下所示:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
注意
在 [記錄] 頁面使用 ASIM 剖析器時,時間範圍選取器會設定為 custom。 您仍然可以自行設定時間範圍。 或者,也可以使用剖析器參數來指定時間範圍。
下表列出可用的整合剖析器:
| 結構描述 | 整合剖析器 |
|---|---|
| 稽核事件 | _Im_AuditEvent |
| 驗證 | imAuthentication |
| Dns | _Im_Dns |
| 檔案事件 | imFileEvent |
| 網路工作階段 | _Im_NetworkSession |
| 處理事件 | - imProcessCreate - imProcessTerminate |
| 登錄事件 | imRegistry |
| Web 工作階段 | _Im_WebSession |
使用參數最佳化剖析
使用剖析器可能會影響查詢效能,主要是因為剖析之後會篩選結果。 因此,許多剖析器都可使用選用的篩選參數,讓您在剖析之前篩選以加強查詢效能。 透過查詢最佳化和預先篩選,ASIM 相較於完全不使用正規化的剖析器,通常可以提供更好的效能。
叫用剖析器時,請新增一或多個具名參數,一律使用可用的篩選參數,以確保 ASIM 剖析器的最佳效能。
每個結構描述都有一組標準篩選參數,記載於相關的結構描述文件中。 篩選參數完全是選用的。 下列結構描述支援篩選參數:
支援篩選參數的每個結構描述都至少支援 starttime 和 endtime 參數,而且使用這些結構描述通常對於最佳化效能至關重要。
如需使用篩選剖析器的範例,請參閱上述的整合剖析器。
pack 參數
為了確保效率,剖析器只會維護標準化欄位。 與其他來源結合時,未正規化的欄位具有較少的值。 某些剖析器支援 pack 參數。 當 pack 參數設定為 true 時,剖析器會將其他資料封裝到 AdditionalFields 動態欄位。
剖 析器清單 文章附注支援 pack 參數的剖 析 器。
下一步
深入了解 ASIM 剖析器:
整體而深入地了解 ASIM: