Analyzátory ADVANCED Security Information Model (ASIM) (Public Preview)
Ve službě Microsoft Sentinel probíhá analýza a normalizace v době dotazu. Analyzátory jsou vytvořené jako uživatelem definované funkce KQL , které transformují data v existujících tabulkách, jako je CommonSecurityLog, vlastní tabulky protokolů nebo Syslog, do normalizovaného schématu.
Uživatelé místo názvů tabulek ve svých dotazech používají analyzátory ADVANCED Security Information Model (ASIM) k zobrazení dat v normalizovaném formátu a k zahrnutí všech dat relevantních pro schéma do dotazu.
Informace o tom, jak se analyzátory hodí do architektury ASIM, najdete v diagramu architektury ASIM.
Důležité
ASIM je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.
Integrované analyzátory ASIM a analyzátory nasazené v pracovním prostoru
V každém pracovním prostoru služby Microsoft Sentinel je k dispozici řada integrovaných a předem připravených analyzátorů ASIM. ASIM také podporuje nasazení analyzátorů do konkrétních pracovních prostorů z GitHubu pomocí šablony ARM nebo ručně. Předem připravené analyzátory i analyzátory nasazené v pracovním prostoru jsou funkčně ekvivalentní, ale mají mírně odlišné zásady vytváření názvů, což umožňuje současnou existenci obou sad analyzátorů ve stejném pracovním prostoru služby Microsoft Sentinel.
Každá metoda má oproti druhé výhody:
| Porovnání | Integrované | Nasazený pracovní prostor |
|---|---|---|
| Výhody | Existují v každé instanci služby Microsoft Sentinel. Použitelné s jiným integrovaným obsahem. |
Nové analyzátory se často doručují jako první jako analyzátory nasazené v pracovním prostoru. |
| Nevýhody | Uživatelé je nemůžou přímo upravovat. K dispozici je méně analyzátorů. |
Nepoužívá se v integrovaném obsahu. |
| Kdy použít | Ve většině případů použijte analyzátory ASIM. | Použijte při nasazování nových analyzátorů nebo pro analyzátory, které ještě nejsou k dispozici. |
Pro schémata, pro která jsou k dispozici předdefinované analyzátory, se doporučuje používat integrované analyzátory.
Analýza hierarchie a pojmenování
ASIM obsahuje dvě úrovně analyzátorů: sjednocující analyzátor a analyzátory specifické pro zdroj . Uživatel obvykle používá sjednocující analyzátor pro příslušné schéma a zajišťuje, aby se dotazovala všechna data související se schématem. Unifikační analyzátor zase volá analyzátory specifické pro zdroj, aby provedly skutečnou analýzu a normalizaci, což je specifické pro každý zdroj.
Název sjednocujícího analyzátoru je _Im_<schema> pro předdefinované analyzátory a im<schema> pro nasazené analyzátory pracovního prostoru, kde je zkratkou pro konkrétní schéma, které <schema> slouží. Analyzátory specifické pro zdroje je také možné použít nezávisle. Slouží _Im_<schema>_<source> pro předdefinované analyzátory a vim<schema><source> pro analyzátory nasazené v pracovním prostoru. Například v sešitu specifickém pro Infoblox použijte _Im_Dns_InfobloxNIOS analyzátor specifický pro zdroj. Seznam analyzátorů specifických pro zdroje najdete v seznamu analyzátorů ASIM.
Tip
Odpovídající sada analyzátorů, které používají _ASim_<schema> a ASim<Schema> jsou také k dispozici. Tyto analyzátory nepodporují parametry filtrování a pomáhají zmírnit problém s výběrem času nastaveným na vlastní rozsah . Tyto analyzátory používejte pouze interaktivně na obrazovce protokolů, ale ne jinde, například v analytických pravidlech nebo sešitech. Tento analyzátor nemusí být odebrán, jakmile se problém vyřeší.
Tip
Integrovaná hierarchie analyzátoru přidává vrstvu, která podporuje přizpůsobení. Další informace najdete v tématu Správa analyzátorů ASIM.
Další kroky
Další informace o analyzátorech ASIM:
- Použití analyzátorů ASIM
- Vývoj vlastních analyzátorů ASIM
- Správa analyzátorů ASIM
- Seznam analyzátorů ASIM
Další informace o ASIM obecně najdete tady: