Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los usuarios del Modelo avanzado de información de seguridad (ASIM) usan analizadores unificadores en lugar de nombres de tabla en sus consultas para ver los datos en un formato normalizado y obtener todos los datos pertinentes para el esquema en una sola consulta. Cada analizador unificado usa varios analizadores específicos del origen que controlan los detalles específicos de cada origen.
Para entender cómo encajan los analizadores en la arquitectura de ASIM, consulte el diagrama de la arquitectura de ASIM.
Es posible que tenga que administrar los analizadores específicos del origen que usa cada analizador unificador para lo siguiente:
Agregar un analizador personalizado específico del origen a un analizador unificado.
Reemplazar un analizador integrado específico del origen que usa un analizador unificado con un analizador personalizado específico del origen. Reemplace los analizadores integrados cuando quiera:
Usar una versión del analizador integrado que no sea la predeterminada en el analizador unificado.
Evitar las actualizaciones automatizadas conservando la versión del analizador específico del origen que usa el analizador unificado.
Usar una versión modificada de un analizador integrado.
Configure un analizador específico del origen, por ejemplo, para definir los orígenes que envían información relevante para el analizador.
Este artículo le guía a través de la administración de los analizadores.
Requisitos previos
En los procedimientos de este artículo se supone que todos los analizadores específicos del origen ya se han implementado en el área de trabajo de Microsoft Sentinel.
Para más información, vea Desarrollo de analizadores de ASIM.
Administración de analizadores unificados integrados
Configurar el área de trabajo
Los usuarios de Microsoft Sentinel no pueden editar analizadores unificados integrados. En su lugar, use los mecanismos siguientes para modificar el comportamiento de los analizadores unificados integrados:
Para admitir la adición de analizadores específicos del origen, ASIM usa analizadores unificados y personalizados. Estos analizadores personalizados se implementan en el área de trabajo y, por tanto, se pueden editar. Los analizadores unificados integrados adoptan automáticamente estos analizadores personalizados, si existen.
Puede implementar analizadores unificados personalizados iniciales, vacíos y en el área de trabajo de Microsoft Sentinel para todos los esquemas admitidos o de manera individual para esquemas específicos. Para más información, vea Implementación de analizadores de unificación personalizados vacíos de ASIM iniciales en el repositorio de Microsoft Sentinel en GitHub.
Para admitir la exclusión de analizadores específicos de origen integrados, ASIM usa una lista de reproducción. Implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio GitHub de Microsoft Sentinel.
Para definir el tipo de origen para los analizadores integrados y personalizados, ASIM usa una lista de reproducción. Implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio GitHub de Microsoft Sentinel.
Adición de un analizador personalizado a un analizador unificado integrado
Para agregar un analizador personalizado, inserte una línea en el analizador de unificación personalizado para hacer referencia al nuevo analizador personalizado.
Asegúrese de agregar un analizador personalizado de filtrado y un analizador personalizado sin parámetros. Para más información sobre cómo editar analizadores, consulte el documento Funciones en consultas de registro de Azure Monitor.
La sintaxis de la línea que se va a agregar es diferente para cada esquema:
| Schema | Analizador | Línea para agregar |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| Evento de Auditoría | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Autenticación | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Gestión de Usuarios | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Al agregar un analizador adicional a un analizador personalizado unificado que ya hace referencia a analizadores, asegúrese de agregar una coma al final de la línea anterior.
Por ejemplo, en el código siguiente se muestra un analizador de unificación personalizado después de haber agregado added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Uso de una versión modificada de un analizador integrado
Para modificar un analizador existente integrado y específico del origen:
Cree un analizador personalizado basado en el analizador original y agréguelo al analizador integrado. Puede usar la versión desplegada del área de trabajo del analizador como punto de partida.
Agregue un registro a la lista de reproducción
ASim Disabled Parsers.Defina el valor de
CallerContextcomoExclude<parser name>, donde<parser name>es el nombre de los analizadores de unificación de los que quiere excluir el analizador.Defina el valor de
SourceSpecificParsercomoExclude<parser name>, donde<parser name>es el nombre del analizador que quiere excluir, sin especificador de versión.
Por ejemplo, para excluir el analizador DNS de Azure Firewall, agregue el registro siguiente a la lista de reproducción:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Impedir una actualización automatizada de un analizador integrado
Use el proceso siguiente a fin de evitar actualizaciones automáticas para analizadores integrados específicos del origen:
Agregue la versión del analizador integrado que quiere usar, como
_Im_Dns_AzureFirewallV02, al analizador unificado personalizado. Para más información, vea Adición de un analizador personalizado a un analizador unificado integrado más arriba.Agregue una excepción para el analizador integrado. Por ejemplo, si quiere rechazar completamente las actualizaciones automáticas y, por tanto, excluir un gran número de analizadores integrados, agregue lo siguiente:
- Un registro con
Anycomo campoSourceSpecificParser, para excluir todos los analizadores deCallerContext. - Un registro para
Anyen CallerContext y los camposSourceSpecificParserpara excluir todos los analizadores integrados.
Para más información, vea Uso de una versión modificada de un analizador integrado.
Configuración de los orígenes pertinentes para un analizador específico del origen
Algunos analizadores requieren que actualice la lista de orígenes que son relevantes para el analizador. Por ejemplo, un analizador que usa datos de Syslog puede no ser capaz de determinar qué eventos de Syslog son relevantes para el analizador. Este analizador puede usar la lista de reproducción Sources_by_SourceType para determinar qué orígenes envían información relevante para el analizador. Para estos análisis, agregue un registro para cada origen pertinente a la lista de reproducción:
- Establezca el campo
SourceTypeen el valor específico del analizador especificado en la documentación del analizador. - Establezca el campo
Sourceen el identificador del origen utilizado en los eventos. Es posible que tenga que consultar la tabla original, como Syslog, para determinar el valor correcto.
Si su sistema no tiene desplegada la Sources_by_SourceType lista de vigilancia, despliegue la lista de vigilancia en su área de trabajo de Microsoft Sentinel desde el repositorio de GitHub de Microsoft Sentinel.
Pasos siguientes
En este artículo se describe la administración de analizadores del Modelo avanzado de información de seguridad (ASIM).
Más información sobre los analizadores de ASIM:
- Introducción a los analizadores de ASIM
- Uso de analizadores de ASIM
- Desarrollo de analizadores de ASIM personalizados
- La lista de analizadores de ASIM
Obtenga más información sobre ASIM en general:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)