Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En Microsoft Sentinel, el análisis y la normalización tienen lugar en el tiempo de consulta. Los analizadores se crean como funciones definidas por el usuario de KQL que transforman los datos de tablas existentes, como CommonSecurityLog, tablas de registros personalizados o Syslog, al esquema normalizado.
Los usuarios utilizan los analizadores del Modelo avanzado de información de seguridad (ASIM) en lugar de nombres de tabla en sus consultas a fin de ver los datos en un formato normalizado e incluir todos los datos pertinentes para el esquema en una consulta.
Para entender cómo encajan los analizadores en la arquitectura de ASIM, consulte el diagrama de la arquitectura de ASIM.
Analizadores de ASIM integrados y analizadores implementados en el área de trabajo
Los analizadores de ASIM están integrados y disponibles de serie en cada área de trabajo de Microsoft Sentinel.
ASIM también admite la implementación de analizadores en áreas de trabajo específicas de GitHub mediante una plantilla de ARM. Los analizadores implementados en el área de trabajo se usan para el desarrollo y la administración del analizador de ASIM. Los analizadores implementados en el área de trabajo son funcionalmente equivalentes, pero tienen convenciones de nomenclatura ligeramente diferentes, lo que permite que ambos conjuntos de analizadores coexistan con analizadores integrados en el mismo área de trabajo de Microsoft Sentinel. Obtenga más información sobre los analizadores implementados del área de trabajo para implementarlos, usarlos y administrarlos.
Se recomienda usar analizadores integrados al desarrollar contenido de ASIM. Los analizadores implementados en el área de trabajo se suelen usar durante el proceso de desarrollo del analizador o para proporcionar versiones modificadas de analizadores integrados, tal como se describe en administración de analizadores.
Jerarquía y nomenclatura del analizador
ASIM incluye dos niveles de analizadores: unificadores y específicos del origen. Normalmente, el usuario usa el analizador unificador para el esquema pertinente, lo que garantiza que se consultan todos los datos pertinentes para el esquema. A su vez, el analizador unificador llama a los analizadores específicos del origen para realizar el análisis real y la normalización, que es específica de cada origen.
El nombre del analizador unificante es _Im_<schema> donde <schema> representa el esquema específico que sirve. Los analizadores específicos de origen también se pueden usar de forma independiente. Su convención de nomenclatura es _Im_<schema>_<source>V<version>. Puede encontrar una lista de analizadores específicos del origen en la lista de analizadores de ASIM.
Nota:
Conjunto correspondiente de analizadores que usan _ASim_<schema>. Estos analizadores no admiten parámetros de filtrado y se proporcionan para la compatibilidad con versiones anteriores.
Sugerencia
La jerarquía del analizador agrega una capa para admitir la personalización. Vea Administración de los analizadores de ASIM para obtener más información.
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Uso de analizadores de ASIM
- Desarrollo de analizadores de ASIM personalizados
- Administración de analizadores de ASIM
- La lista de analizadores de ASIM
Para obtener más información sobre ASIM, en general, consulte:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)