Использование расширенной информационной модели безопасности (ASIM) (общедоступная предварительная версия)

Используйте средства синтаксического анализа ASIM (расширенной информационной модели безопасности) вместо имен таблиц в запросах Microsoft Sentinel, чтобы просматривать данные в нормализованном формате и включать в запрос все данные, относящиеся к схеме. Чтобы найти средство синтаксического анализа для конкретной схемы, воспользуйтесь таблицей ниже.

Важно!

ASIM сейчас находится на стадии ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Объединение средств синтаксического анализа

При использовании ASIM в запросах примените унифицирующие средства синтаксического анализа, чтобы объединить все источники с нормализацией в одну схему, и выполняйте запросы к ним по нормализованным полям. Для унифицированного средства синтаксического анализа используется имя _Im_<schema> (для встроенных средств синтаксического анализа) или im<schema> (для средств синтаксического анализа, развернутых в рабочей области), где <schema> обозначает конкретную схему, которую обслуживает это средство.

Например, следующий запрос использует встроенное унифицированное средство синтаксического анализа DNS для запроса по событиям DNS с использованием нормализованных полей ResponseCodeName, SrcIpAddr и TimeGenerated.

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

В этом примере используются параметры фильтрации, которые улучшают работу ASIM. Тот же пример без фильтрации параметров будет выглядеть следующим образом:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Примечание

При использовании средств синтаксического анализа ASIM на странице Журналы следует установить селектор диапазона времени в значение custom. Вы можете задать этот диапазон времени самостоятельно. Кроме того, можно указать диапазон времени с помощью параметров в средстве синтаксического анализа.

В следующей таблице перечислены доступные объединяющие средства синтаксического анализа:

схема Объединяющее средство синтаксического анализа
Событие аудита _Im_AuditEvent
Проверка подлинности imAuthentication
DNS: _Im_Dns
Событие файла imFileEvent
Сетевой сеанс _Im_NetworkSession
Событие процесса - imProcessCreate
- imProcessTerminate
Событие реестра imRegistry
Веб-сеанс _Im_WebSession

Оптимизация синтаксического анализа с помощью параметров

Использование средств синтаксического анализа может повлиять на производительность запросов, что в первую очередь зависит от фильтрации результатов после синтаксического анализа. По этой причине у многих средств синтаксического анализа есть необязательные параметры фильтрации, которые позволяют выполнять фильтрацию до анализа и тем самым повысить производительность запросов. При использовании оптимизации запросов и предварительной фильтрации средства синтаксического анализа ASIM часто обеспечивают лучшую производительность по сравнению с отсутствием нормализации.

При вызове средства синтаксического анализа ASIM для улучшения его работы всегда используйте параметры фильтрации, добавляя один или несколько именованных параметров.

Каждая схема имеет стандартный набор параметров фильтрации, которые описаны в документации по этой схеме. Все параметры фильтрации являются необязательными. Следующие схемы поддерживают параметры фильтрации:

Каждая схема, поддерживающая фильтрацию параметров, поддерживает как минимум параметры starttime и endtime, и их использование часто играет критически важное значение с точки зрения оптимальной производительности.

Пример использования средств синтаксического анализа фильтрации см. в разделе Объединяющие средства синтаксического анализа выше.

Параметр pack

Для обеспечения эффективности средства синтаксического анализа поддерживают только нормализованные поля. Поля, которые не нормализованы, имеют меньшее значение в сочетании с другими источниками. Некоторые средства синтаксического анализа поддерживают параметр pack . Если для параметра pack задано значение true, средство синтаксического анализа упаковывает дополнительные данные в динамическое поле AdditionalFields .

В статье со списком синтаксического анализа содержатся заметки о средствах синтаксического анализа, поддерживающих параметр pack .

Дальнейшие действия

Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:

Для получения дополнительных сведений об ASIM в целом ознакомьтесь с приведенными ниже материалами.