Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use analizadores del Modelo de información de seguridad avanzada (ASIM) en lugar de nombres de tabla en las consultas de Microsoft Sentinel para ver los datos en un formato normalizado e incluir todos los datos relevantes para el esquema de la consulta. Consulte la tabla siguiente para buscar el analizador pertinente para cada esquema.
Unificación de analizadores
Al usar ASIM en las consultas, use analizadores unificantes para combinar todos los orígenes, normalizados en el mismo esquema y consultarlos mediante campos normalizados. El nombre del analizador unificante es _Im_<schema>, donde <schema> significa el esquema específico que sirve.
Por ejemplo, la consulta siguiente utiliza el analizador unificador DNS embebido para consultar eventos DNS mediante los campos normalizados ResponseCodeName, SrcIpAddr y TimeGenerated.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En el ejemplo se usan parámetros de filtrado, que mejoran el rendimiento de ASIM. El mismo ejemplo sin filtrar parámetros tendría este aspecto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En la tabla siguiente se enumeran los analizadores de unificación disponibles:
| Schema | Unificación del analizador |
|---|---|
| Evento de alerta | _Im_AlertEvent |
| Evento de auditoría | _Im_AuditEvent |
| Autenticación | _Im_Authentication |
| Evento DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Evento de archivo | _Im_FileEvent |
| Sesión de red | _Im_NetworkSession |
| Evento de Proceso | _Im_ProcessCreate _Im_ProcessTerminate |
| Evento del Registro | _Im_RegistryEvent |
| Administración de usuarios | _Im_UserManagement (Gestión de Usuarios) |
| Sesión web | _Im_WebSession |
Optimización del análisis mediante parámetros
El uso de analizadores puede afectar al rendimiento de las consultas, principalmente al filtrar los resultados después del análisis. Por este motivo, muchos analizadores tienen parámetros de filtrado opcionales que le permiten filtrar antes de analizar y mejoran el rendimiento de las consultas. Con la optimización de consultas y los esfuerzos de prefiltro, los analizadores de ASIM suelen proporcionar un mejor rendimiento en comparación con no usar la normalización en absoluto.
Al invocar el analizador, use siempre los parámetros de filtrado disponibles agregando uno o varios parámetros con nombre para garantizar un rendimiento óptimo de los analizadores de ASIM.
Cada esquema tiene un conjunto estándar de parámetros de filtrado documentados en la documentación de esquema pertinente. Los parámetros de filtrado son totalmente opcionales.
Para obtener un ejemplo de uso de analizadores de filtrado, vea Unify parsers.
Parámetro de paquete
Para garantizar la eficacia, los analizadores solo mantienen campos normalizados. Los campos que no están normalizados tienen menos valor cuando se combinan con otros orígenes. Algunos analizadores admiten el parámetro pack . Cuando el parámetro pack se establece en true, el analizador insertará datos adicionales en el campo dinámico AdditionalFields.
En el artículo de la lista de analizadores se indican analizadores que admiten el parámetro pack .
Contenido relacionado
Para obtener más información, consulte: