Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez des analyseurs ASIM (Advanced Security Information Model) au lieu de noms de tables dans vos requêtes Microsoft Sentinel pour afficher les données dans un format normalisé et inclure toutes les données pertinentes pour le schéma dans votre requête. Reportez-vous au tableau ci-dessous pour trouver l’analyseur approprié pour chaque schéma.
Analyseurs unifiants
Lorsque vous utilisez ASIM dans vos requêtes, utilisez des analyseurs unifiants pour combiner toutes les sources, normalisés dans le même schéma et les interroger à l’aide de champs normalisés. Le nom de l'analyseur unifiant est _Im_<schema>, où <schema> représente le schéma spécifique qu'il sert.
Par exemple, la requête suivante utilise l’analyseur DNS intégré pour interroger les événements DNS à l’aide des ResponseCodeNamechamps , SrcIpAddret TimeGenerated normalisés :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
L’exemple utilise des paramètres de filtrage, qui améliorent les performances ASIM. Le même exemple sans filtrage des paramètres ressemble à ceci :
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Le tableau suivant répertorie les analyseurs unifiants disponibles :
| Schema | Analyseur unifiant |
|---|---|
| Événement d’alerte | _Im_AlertEvent |
| Événement d’audit | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| Événement DHCP | _Im_DhcpEvent |
| DNS | _Im_Dns |
| Événement de fichier | _Im_FileEvent |
| Session réseau | _Im_NetworkSession |
| Événement de processus | _Im_ProcessCreate _Im_ProcessTerminate |
| Événement de Registre | _Im_RegistryEvent |
| Gestion des utilisateurs | _Im_UserManagement |
| Session web | _Im_WebSession |
Optimisation de l’analyse à l’aide de paramètres
L’utilisation d’analyseurs peut affecter les performances de votre requête, principalement à partir du filtrage des résultats après l’analyse. Pour cette raison, de nombreux analyseurs ont des paramètres de filtrage facultatifs qui vous permettent de filtrer avant d’analyser et d’améliorer les performances des requêtes. Avec les efforts d’optimisation des requêtes et de préfiltrage, les analyseurs ASIM offrent souvent de meilleures performances par rapport à une absence totale de normalisation.
Lors de l’appel de l’analyseur, utilisez toujours les paramètres de filtrage disponibles en ajoutant un ou plusieurs paramètres nommés pour garantir des performances optimales des analyseurs ASIM.
Chaque schéma a un ensemble standard de paramètres de filtrage documentés dans la documentation de schéma appropriée. Les paramètres de filtrage sont entièrement facultatifs.
Pour obtenir un exemple d’utilisation des analyseurs de filtrage, consultez Les analyseurs unifiants.
Le paramètre de pack
Pour garantir l’efficacité, les analyseurs conservent uniquement les champs normalisés. Les champs qui ne sont pas normalisés ont moins de valeur lorsqu’ils sont combinés avec d’autres sources. Certains analyseurs prennent en charge le paramètre pack . Lorsque le paramètre pack est défini sur true, l’analyseur empaquète des données supplémentaires dans le champ dynamique AdditionalFields.
L'article parsers list mentionne les analyseurs qui prennent en charge le paramètre pack.
Contenu connexe
Pour plus d’informations, consultez :