Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użytkownicy usługi Advanced Security Information Model (ASIM) używają analizatorów ujednolicających zamiast nazw tabel w swoich zapytaniach, aby wyświetlać dane w znormalizowanym formacie i pobierać wszystkie dane istotne dla schematu w jednym zapytaniu. Każdy jednoczący analizator używa wielu analizatorów specyficznych dla źródła, które obsługują szczegóły poszczególnych źródeł.
Aby zrozumieć, jak analizatory pasują do architektury ASIM, zapoznaj się z diagramem architektury ASIM.
Może być konieczne zarządzanie analizatorami specyficznymi dla źródła używanymi przez poszczególne analizatory ujednolicające w celu:
Dodaj analizator niestandardowy specyficzny dla źródła do analizatora ujednolicania.
Zastąp wbudowany analizator specyficzny dla źródła, który jest używany przez analizator jednoczący z niestandardowym analizatorem specyficznym dla źródła. Zastąp wbudowane analizatory, gdy chcesz:
Użyj wersji wbudowanego analizatora innego niż używany domyślnie w jednoznaczącym analizatorze.
Zapobiegaj automatycznym aktualizacjom, zachowując wersję analizatora specyficznego dla źródła używanego przez analizator ujednolicania.
Użyj zmodyfikowanej wersji wbudowanego analizatora.
Skonfiguruj analizator specyficzny dla źródła, na przykład w celu zdefiniowania źródeł, które wysyłają informacje istotne do analizatora.
Ten artykuł przeprowadzi Cię przez proces zarządzania analizatorami.
Wymagania wstępne
W procedurach opisanych w tym artykule przyjęto założenie, że wszystkie analizatory specyficzne dla źródła zostały już wdrożone w obszarze roboczym usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Develop ASIM parsers (Opracowywanie analizatorów ASIM).
Zarządzanie wbudowanymi analizatorami ujednolicania
Skonfiguruj swoje miejsce pracy
Użytkownicy usługi Microsoft Sentinel nie mogą edytować wbudowanych analizatorów ujednolicających. Zamiast tego użyj następujących mechanizmów, aby zmodyfikować zachowanie wbudowanych analizatorów ujednolicających:
Aby zapewnić obsługę dodawania analizatorów specyficznych dla źródła, usługa ASIM używa jednoczących, niestandardowych analizatorów. Te analizatory niestandardowe są wdrażane w obszarze roboczym i dlatego można je edytować. Wbudowane analizatory ujednolicające automatycznie pobierają te analizatory niestandardowe, jeśli istnieją.
W obszarze roboczym usługi Microsoft Sentinel można wdrożyć początkowe, puste, ujednolicające analizatory niestandardowe dla wszystkich obsługiwanych schematów lub indywidualnie dla określonych schematów. Aby uzyskać więcej informacji, zobacz Deploy initial ASIM empty custom unifying parsers in the Microsoft Sentinel GitHub repository (Wdrażanie początkowego pustego analizatora niestandardowego karty ASIM) w repozytorium GitHub usługi Microsoft Sentinel.
Aby obsługiwać wykluczanie wbudowanych analizatorów specyficznych dla źródła, usługa ASIM używa listy obserwowanych. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.
Aby zdefiniować typ źródła dla wbudowanych i niestandardowych analizatorów, usługa ASIM używa listy kontrolnej. Wdróż listę obserwowanych w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.
Dodawanie analizatora niestandardowego do wbudowanego analizatora ujednolicania
Aby dodać analizator niestandardowy, wstaw wiersz do niestandardowego analizatora ujednolicania, aby odwoływać się do nowego analizatora niestandardowego.
Pamiętaj, aby dodać zarówno analizator niestandardowy filtrowania, jak i analizator niestandardowy bez parametrów. Aby dowiedzieć się więcej na temat edytowania analizatorów, zapoznaj się z dokumentem Funkcje w zapytaniach dziennika usługi Azure Monitor.
Składnia wiersza do dodania jest inna dla każdego schematu:
| Schemat | Parser | Wiersz do dodania |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent (Zdarzenie Audytu) | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Authentication | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Zarządzanie Użytkownikami | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Podczas dodawania dodatkowego analizatora do jednoczącego analizatora niestandardowego, który już odwołuje się do analizatorów, upewnij się, że na końcu poprzedniego wiersza dodano przecinek.
Na przykład poniższy kod przedstawia niestandardowy analizator ujednolicający po dodaniu elementu added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Używanie zmodyfikowanej wersji wbudowanego analizatora
Aby zmodyfikować istniejący, wbudowany analizator specyficzny dla źródła:
Utwórz analizator niestandardowy na podstawie oryginalnego analizatora i dodaj go do wbudowanego analizatora. Możesz użyć zainstalowanej wersji analizatora obszaru roboczego jako punktu początkowego.
Dodaj rekord do listy obserwowanych
ASim Disabled Parsers.Zdefiniuj
CallerContextwartość jakoExclude<parser name>, gdzie<parser name>jest nazwą ujednolicających analizatorów, z których chcesz wykluczyć analizator.Zdefiniuj
SourceSpecificParserwartośćExclude<parser name>, gdzie<parser name>jest nazwą analizatora, który chcesz wykluczyć, bez specyfikatora wersji.
Aby na przykład wykluczyć analizator DNS usługi Azure Firewall, dodaj następujący rekord do listy obserwowanych:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Zapobieganie automatycznej aktualizacji wbudowanego analizatora
Użyj następującego procesu, aby zapobiec automatycznym aktualizacjom wbudowanych analizatorów specyficznych dla źródła:
Dodaj wbudowaną wersję analizatora, której chcesz użyć, na przykład
_Im_Dns_AzureFirewallV02, do niestandardowego analizatora ujednolicania. Aby uzyskać więcej informacji, zobacz powyżej, Dodawanie analizatora niestandardowego do wbudowanego analizatora jednokrotnego.Dodaj wyjątek dla wbudowanego analizatora. Jeśli na przykład chcesz całkowicie zrezygnować z automatycznych aktualizacji i wykluczyć dużą liczbę wbudowanych analizatorów, dodaj:
- Rekord z
Anyjako polemSourceSpecificParser, aby wykluczyć wszystkie analizatory dla elementuCallerContext. - Rekord dla
Anyelementu CallerContext iSourceSpecificParserpól do wykluczenia wszystkich wbudowanych analizatorów.
Aby uzyskać więcej informacji, zobacz Use a modified version of a built-in parser (Używanie zmodyfikowanej wersji wbudowanego analizatora).
Konfigurowanie źródeł istotnych dla analizatora specyficznego dla źródła
Niektóre analizatory wymagają zaktualizowania listy źródeł, które są istotne dla analizatora. Na przykład analizator używający danych dziennika systemowego może nie być w stanie określić, jakie zdarzenia dziennika systemowego są istotne dla analizatora. Taki analizator może użyć Sources_by_SourceType listy do obejrzenia, aby określić, które źródła wysyłają informacje istotne do analizatora. W przypadku takich analiz dodaj rekord dla każdego odpowiedniego źródła do listy obserwowanych:
-
SourceTypeUstaw pole na wartość specyficzną analizatora określoną w dokumentacji analizatora. -
SourceUstaw pole na identyfikator źródła używanego w zdarzeniach. Aby określić poprawną wartość, może być konieczne wysłanie zapytania do oryginalnej tabeli, takiej jak Syslog.
Jeśli system nie ma wdrożonej Sources_by_SourceType listy obserwacyjnej, wdróż listę obserwacyjną w obszarze roboczym usługi Microsoft Sentinel z repozytorium GitHub usługi Microsoft Sentinel.
Następne kroki
W tym artykule omówiono zarządzanie analizatorami advanced Security Information Model (ASIM).
Dowiedz się więcej o analizatorach ASIM:
- Omówienie analizatorów ASIM
- Korzystanie z analizatorów ASIM
- Tworzenie niestandardowych analizatorów ASIM
- Lista analizatorów ASIM
Dowiedz się więcej na temat ogólnej karty ASIM:
- Obejrzyj seminarium internetowe szczegółowe na temat analizatorów normalizacji usługi Microsoft Sentinel i znormalizowanej zawartości lub przejrzyj slajdy
- Omówienie zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Schematy zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
- Zawartość usługi Advanced Security Information Model (ASIM)