使用 ASIM 剖析器
在 Microsoft Sentinel 中,剖析和正規化會在查詢時間發生。 剖析器會建置為 KQL 使用者定義函式,可將現有資料表中的資料 (例如 CommonSecurityLog、自訂記錄資料表或 Syslog) 轉換成正規化結構描述。
使用者在其查詢中使用進階安全性資訊模型 (ASIM) 剖析器,而不是使用資料表名稱,檢視正規化格式的資料,並在查詢中納入與結構描述相關的所有資料。
內建 ASIM 剖析器和工作區部署的剖析器
許多 ASIM 剖析器都是內建在每個 Microsoft Sentinel 工作區且現成可用。 ASIM 也支援使用 ARM 範本或以手動方式,將剖析器從 GitHub 部署到特定工作區。 現成和工作區部署的剖析器功能相同,但使用的命名慣例略有不同,讓這兩個剖析器組合可以在相同的 Microsoft Sentinel 工作區中共存。
每個方法都比其他方法有優勢:
| 比較 | 內建 | 工作區部署 |
|---|---|---|
| 優點 | 存在於每個 Microsoft Sentinel 實例中。 可搭配其他內建內容使用。 | 新的剖析器通常會先傳遞為工作區部署的剖析器。 |
| 缺點 | 使用者無法直接修改。 可用的剖析器較少。 | 內建內容不使用。 |
| 使用時機 | 在大部分情況下使用您需要 ASIM 剖析器。 | 在部署新的剖析器時使用,或針對尚未現用的剖析器使用。 |
建議針對可使用內建剖析器的結構描述使用內建剖析器。
剖析器階層
ASIM 包含兩個層級的剖析器:整合剖析器和來源特定剖析器。 使用者通常會針對相關的結構描述使用整合剖析器,以確保查詢與該結構描述相關的所有資料。 整合剖析器會因此呼叫來源特定剖析器,以執行每個來源專屬的實際剖析和正規化。
若為內建剖析器,則整合剖析器名稱為 _Im_Schema,若為工作區部署的剖析器,則為 imSchema。 其中 Schema 代表其所提供的特定結構描述。 來源特定剖析器也可以單獨使用。 例如,在 Infoblox 特定活頁簿中,使用 vimDnsInfobloxNIOS 來源特定剖析器。
統一剖析器
在查詢中使用 ASIM 時,請使用整合剖析器來合併所有來源、正規化為相同的結構描述,以及使用正規化欄位進行查詢。
例如,下列查詢透過內建的整合 DNS 剖析器,使用 ResponseCodeName、SrcIpAddr 和 TimeGenerated 正規化欄位來查詢 DNS 事件:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
此範例使用篩選參數來改善 ASIM 效能。 沒有篩選參數的相同範例看起來會像這樣:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
下表列出可用的整合剖析器:
| 結構描述 | 整合剖析器 |
|---|---|
| 驗證 | imAuthentication |
| Dns | _Im_Dns |
| 檔案事件 | imFileEvent |
| 網路會話 | _Im_NetworkSession |
| Process 事件 | imProcessCreate 和 imProcessTerminate |
| 登錄事件 | imRegistry |
| Web 工作階段 | _Im_WebSession |
使用參數優化剖析
使用剖析器可能會影響查詢效能,主要是在剖析之後篩選結果。 因此,許多剖析器都可使用選用的篩選參數,讓您在剖析之前篩選以加強查詢效能。 透過查詢優化和預先篩選工作,相較於完全不使用正規化,ASIM 剖析器通常會提供更好的效能。
叫用剖析器時,請一律新增一或多個具名參數來使用可用的篩選參數,以確保 ASIM 剖析器的最佳效能。
每個架構都有一組標準篩選參數,記載於相關架構檔中。 篩選參數是完全選擇性的。 下列架構支援篩選參數:
- 驗證
- DNS
- 網路會話
- Web 工作階段
每個支援篩選參數的結構描述至少都支援 starttime 和 enttime 參數,而使用這些參數通常對於最佳化效能而言至關重要。