進階安全性資訊模型 (ASIM) 剖析器 (公開預覽)
在 Microsoft Sentinel 中,剖析和正規化會在查詢時間發生。 剖析器會建置為 KQL 使用者定義函式,可將現有資料表中的資料 (例如 CommonSecurityLog、自訂記錄資料表或 Syslog) 轉換成正規化結構描述。
使用者在其查詢中使用進階安全性資訊模型 (ASIM) 剖析器,而不是使用資料表名稱,檢視正規化格式的資料,並在查詢中納入與結構描述相關的所有資料。
若要了解剖析器如何融入 ASIM 架構內,請參閱 ASIM 架構圖。
重要
ASIM 目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
內建 ASIM 剖析器和工作區部署的剖析器
許多 ASIM 剖析器都是內建在每個 Microsoft Sentinel 工作區且現成可用。 ASIM 也支援使用 ARM 範本或以手動方式,將剖析器從 GitHub 部署到特定工作區。 現成和工作區部署的剖析器功能相同,但使用的命名慣例略有不同,讓這兩個剖析器組合可以在相同的 Microsoft Sentinel 工作區中共存。
每一種方法都有勝過其他方法的優點:
比較 | 內建 | 工作區部署 |
---|---|---|
優點 | 存在於每個 Microsoft Sentinel 執行個體中。 可搭配其他內建內容使用。 |
新的剖析器通常會先當成工作區部署的剖析器傳遞。 |
缺點 | 使用者無法直接修改。 可用的剖析器較少。 |
內建內容無法使用。 |
使用時機 | 在大部分需要 ASIM 剖析器的情況下使用。 | 在部署新的剖析器時使用,或用於尚無法立即可用的剖析器。 |
建議針對可使用內建剖析器的結構描述使用內建剖析器。
剖析器階層和命名
ASIM 包含兩個層級的剖析器:整合剖析器和來源特定剖析器。 使用者通常會針對相關的結構描述使用整合剖析器,以確保查詢與該結構描述相關的所有資料。 整合剖析器會因此呼叫來源特定剖析器,以執行每個來源專屬的實際剖析和正規化。
若為內建剖析器,則整合剖析器名稱為 _Im_<schema>
,若為工作區部署的剖析器,則為 im<schema>
,其中 <schema>
代表所使用的特定結構描述。 來源特定剖析器也可以單獨使用。 用於 _Im_<schema>_<source>
內建剖析器和 vim<schema><source>
工作區部署剖析器。 例如,在 Infoblox 特定活頁簿中,使用 _Im_Dns_InfobloxNIOS
來源特定剖析器。 您可以在 ASIM 剖析器清單中找到來源特定剖析器的清單。
提示
使用 和 ASim<Schema>
的對應剖析器集合也可供使用 _ASim_<schema>
。 這些剖析器不支援篩選參數,並提供來協助減輕設定 為自訂範圍問題的時間選擇器 。 只在記錄畫面中以互動方式使用這些剖析器,但不在其他地方使用,例如分析規則或活頁簿。 當問題解決時,可能無法移除此剖析器。
提示
內建剖析器階層會新增一層以支援自訂。 如需詳細資訊,請參閱管理 ASIM 剖析器。
下一步
深入了解 ASIM 剖析器:
如需 ASIM 的一般相關資訊,請參閱: