Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użyj analizatorów advanced Security Information Model (ASIM) zamiast nazw tabel w zapytaniach usługi Microsoft Sentinel, aby wyświetlić dane w znormalizowanym formacie i uwzględnić wszystkie dane istotne dla schematu w zapytaniu. Zapoznaj się z poniższą tabelą, aby znaleźć odpowiedni analizator dla każdego schematu.
Ujednolicanie analizatorów
Podczas korzystania z ASIM w zapytaniach użyj ujednolicających analizatorów, aby połączyć wszystkie źródła, znormalizowane do wspólnego schematu, i przeprowadzać zapytania używając znormalizowanych pól. Jednocząca nazwa analizatora to _Im_<schema>, gdzie <schema> oznacza określony schemat, który obsługuje.
Na przykład następujące zapytanie używa wbudowanego analizatora unifikującego DNS do wykonywania zapytań o zdarzenia DNS przy użyciu znormalizowanych pól ResponseCodeName, SrcIpAddr i TimeGenerated.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W przykładzie użyto parametrów filtrowania, które zwiększają wydajność karty ASIM. Ten sam przykład bez filtrowania parametrów wygląda następująco:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
W poniższej tabeli wymieniono dostępne analizatory ujednolicania:
| Schema | Ujednolicanie analizatora |
|---|---|
| Zdarzenie alertu | _Im_AlertEvent |
| Zdarzenie inspekcji | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| Zdarzenie DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Zdarzenie plikowe | _Im_FileEvent |
| Sesja sieciowa | _Im_NetworkSession |
| Zdarzenie procesu | _Im_ProcessCreate _Im_ProcessTerminate |
| Zdarzenie rejestru | _Im_RegistryEvent |
| Zarządzanie użytkownikami | _Im_UserManagement |
| Sesja sieci Web | _Im_WebSession |
Optymalizowanie analizowania przy użyciu parametrów
Użycie analizatorów może mieć wpływ na wydajność zapytań, głównie z powodu filtrowania wyników po ich przeanalizowaniu. Z tego powodu wiele analizatorów ma opcjonalne parametry filtrowania, które umożliwiają filtrowanie przed analizowaniem i zwiększanie wydajności zapytań. Dzięki optymalizacji zapytań i wstępnego filtrowania analizatory ASIM często zapewniają lepszą wydajność w porównaniu z brakiem normalizacji w ogóle.
Podczas wywoływania analizatora zawsze używaj dostępnych parametrów filtrowania, dodając co najmniej jeden nazwany parametr, aby zapewnić optymalną wydajność analizatorów ASIM.
Każdy schemat ma standardowy zestaw parametrów filtrowania udokumentowanych w odpowiedniej dokumentacji schematu. Parametry filtrowania są całkowicie opcjonalne.
Aby zapoznać się z przykładem używania analizatorów filtrowania, zobacz Unifying parsers (Ujednolicanie analizatorów).
Parametr pakietu
Aby zapewnić wydajność, analizatory zachowują tylko znormalizowane pola. Pola, które nie są znormalizowane, mają mniejszą wartość w połączeniu z innymi źródłami. Niektóre analizatory obsługują parametr pack. Gdy parametr pack jest ustawiony na wartość true, analizator spakuje dodatkowe dane do pola dynamicznego AdditionalFields.
Artykuł listy analizatorów zawiera informacje o analizatorach, które obsługują parametr pack.
Treści powiązane
Aby uzyskać więcej informacji, zobacz: