Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les utilisateurs du modèle de l’Advanced SIEM Information Model (ASIM) utilisent des analyseurs d’unification plutôt que des noms de tables dans leurs requêtes, afin d’afficher les données dans un format normalisé et d’obtenir toutes les données en rapport avec le schéma dans une même requête. Chaque analyseur d’unification utilise plusieurs analyseurs propres à la source qui traitent les détails spécifiques de chaque source.
Pour comprendre comment les analyseurs s’intègrent dans l’architecture ASIM, consultez le diagramme d’architecture ASIM.
Vous devrez peut-être gérer les analyseurs propres à la source utilisés par chaque analyseur d’unification pour :
Ajouter un analyseur propre à la source personnalisé à un analyseur d’unification.
Remplacer un analyseur propre à la source intégré utilisé par un analyseur d’unification avec un analyseur propre à la source personnalisé. Vous pouvez remplacer des analyseurs intégrés quand vous souhaitez :
Utiliser une version de l’analyseur intégré autre que celle utilisée par défaut dans l’analyseur d’unification.
Empêcher les mises à jour automatisées en préservant la version de l’analyseur propre à la source utilisée par l’analyseur d’unification.
Utiliser une version modifiée d’un analyseur intégré.
Configurez un analyseur spécifique à la source, par exemple pour définir les sources qui envoient des informations pertinentes à l’analyseur.
Cet article vous guide tout au long de la gestion de vos analyseurs.
Prérequis
Les procédures décrites dans cet article partent du principe que tous les analyseurs propres à la source ont déjà été déployés dans votre espace de travail Microsoft Sentinel.
Pour plus d’informations, consultez Développer des analyseurs ASIM.
Gérer les analyseurs d’unification intégrés
Configurer votre espace de travail
Les utilisateurs de Microsoft Sentinel ne peuvent pas modifier les analyseurs d’unification intégrés. Pour modifier le comportement des analyseurs d’unification intégrés, il convient de faire appel les mécanismes suivants :
Pour prendre en charge l’ajout d’analyseurs propres à la source, ASIM utilise des analyseurs d’unification personnalisés. Ces analyseurs personnalisés sont déployés par l’espace de travail et peuvent donc être modifiés. Les analyseurs d’unification intégrés récupèrent automatiquement ces analyseurs personnalisés, s’ils existent.
Vous pouvez déployer les analyseurs d’unification personnalisés initiaux et vides dans votre espace de travail Microsoft Sentinel pour tous les schémas pris en charge ou individuellement pour des schémas spécifiques. Pour plus d’informations, consultez Deploy initial ASIM empty custom unifying parsers dans le dépôt GitHub de Microsoft Sentinel.
Pour prendre en charge l’exclusion des analyseurs intégrés propres à la source, ASIM utilise une Watchlist. Déployez la Watchlist dans votre espace de travail Microsoft Sentinel à partir du dépôt GitHub de Microsoft Sentinel.
Pour définir le type de source des analyseurs intégrés et personnalisés, ASIM utilise une Watchlist. Déployez la Watchlist dans votre espace de travail Microsoft Sentinel à partir du dépôt GitHub de Microsoft Sentinel.
Ajouter un analyseur personnalisé à un analyseur d’unification intégré
Pour ajouter un analyseur personnalisé, insérez une ligne à l’analyseur d’unification personnalisé pour référencer le nouvel analyseur personnalisé.
Veillez à ajouter un analyseur personnalisé de filtrage et un analyseur personnalisé sans paramètre. Pour en savoir plus sur la façon de modifier les analyseurs, consultez le document Fonctions dans les requêtes de journal Azure Monitor.
La syntaxe de la ligne à ajouter est différente pour chaque schéma :
| schéma | Parser | Ligne à ajouter |
|---|---|---|
| ÉvénementAlerte | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| Événement d'Audit | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Authentication | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| DNS | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Gestion des utilisateurs | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Quand vous ajoutez un analyseur supplémentaire à un analyseur d’unification personnalisé qui fait déjà référence à des analyseurs, veillez à ajouter une virgule à la fin de la ligne précédente.
Par exemple, le code suivant présente un analyseur d’unification personnalisé après l’ajout de added_parser :
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Utiliser une version modifiée d’un analyseur intégré
Pour modifier un analyseur propre à la source intégré et existant :
Créez un analyseur personnalisé basé sur l’analyseur d’origine et ajoutez-le à l’analyseur intégré. Vous pouvez utiliser la version déployée de l’espace de travail de l’analyseur comme point de départ.
Ajoutez un enregistrement à la Watchlist
ASim Disabled Parsers.Définissez la valeur de
CallerContexten tant queExclude<parser name>où<parser name>correspond au nom des analyseurs d’unification desquels vous voulez exclure l’analyseur.Définissez la valeur de
SourceSpecificParserExclude<parser name>où<parser name>est le nom de l’analyseur que vous souhaitez exclure, sans spécificateur de version.
Par exemple, pour exclure l’analyseur DNS du Pare-feu Azure, ajoutez l’enregistrement suivant à la Watchlist :
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Empêcher une mise à jour automatisée d’un analyseur intégré
Pour empêcher les mises à jour automatiques pour les analyseurs intégrés propres à la source, utilisez la procédure suivante :
Ajoutez la version de l’analyseur intégré que vous voulez utiliser, par exemple
_Im_Dns_AzureFirewallV02, à l’analyseur d’unification personnalisé. Pour plus d’informations, consultez la section précédente Ajouter un analyseur personnalisé à un analyseur d’unification intégré.Ajoutez une exception pour l’analyseur intégré. Par exemple, si vous voulez refuser entièrement les mises à jour automatiques et donc exclure un grand nombre d’analyseurs intégrés, ajoutez :
- Un enregistrement avec
Anycomme champSourceSpecificParser, pour exclure tous les analyseurs pourCallerContext. - Un enregistrement pour
Anydans CallerContext et les champsSourceSpecificParserpour exclure tous les analyseurs intégrés.
Pour plus d’informations, consultez Utiliser une version modifiée d’un analyseur intégré.
Configurer les sources pertinentes pour un analyseur spécifique à la source
Certains analyseurs vous obligent à mettre à jour la liste des sources pertinentes pour l’analyseur. Par exemple, un analyseur qui utilise des données Syslog peut ne pas être en mesure de déterminer quels événements Syslog sont pertinents pour l’analyseur. Un tel analyseur peut utiliser la Watchlist Sources_by_SourceType pour déterminer les sources qui envoient des informations pertinentes à l’analyseur. Pour ces analyseurs, ajoutez un enregistrement pour chaque source pertinente à la Watchlist :
- Configurez le champ
SourceTypesur la valeur spécifique de l’analyseur définie dans la documentation de l’analyseur. - Définissez le champ
Sourcesur l’identificateur de la source utilisée dans les événements. Vous devrez peut-être interroger le tableau d’origine, par exemple Syslog, pour déterminer la valeur correcte.
Si votre système n’a pas déployé la Sources_by_SourceType liste de surveillance, déployez la watchlist sur votre espace de travail Microsoft Sentinel à partir du dépôt GitHub Microsoft Sentinel.
Étapes suivantes
Cet article traite de la gestion des analyseurs d’Advanced SIEM Information Model (ASIM).
En savoir plus sur les analyseurs ASIM :
- Vue d’ensemble des analyseurs ASIM
- Utiliser des analyseurs ASIM
- Développer des analyseurs ASIM
- Liste des analyseurs ASIM
En savoir plus sur le modèle ASIM en général :
- Regardez le webinaire de formation approfondie sur la normalisation des analyseurs et le contenu normalisé Microsoft Sentinel ou passez en revue les diapositives
- Vue d’ensemble de l’Advanced SIEM Information Model (ASIM)
- Schémas de l’Advanced SIEM Information Model (ASIM)
- Contenu de l’Advanced SIEM Information Model (ASIM)