Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use analisadores do ASIM (Advanced Security Information Model) em vez de nomes de tabela em suas consultas do Microsoft Sentinel para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema em sua consulta. Consulte a tabela abaixo para localizar o analisador relevante para cada esquema.
Unificando analisadores
Ao usar o ASIM em suas consultas, utilize analisadores unificadores para combinar todas as fontes, normalizadas para o mesmo esquema, e as consulte usando campos normalizados. O nome do analisador unificador é _Im_<schema> para analisadores internos e im<schema> para analisadores implantados no workspace, onde <schema> significa o esquema específico que ele serve.
Por exemplo, a consulta a seguir usa o analisador DNS unificador interno para consultar eventos DNS usando os campos normalizados ResponseCodeName, SrcIpAddr e TimeGenerated.
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
O exemplo usa parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem filtrar parâmetros teria esta aparência:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Observação
Ao usar os analisadores ASIM na página Logs , o seletor de intervalo de tempo é definido como custom. Você ainda pode definir o intervalo de tempo por conta própria. Como alternativa, especifique o intervalo de tempo usando parâmetros do analisador.
A tabela a seguir lista os analisadores de unificação disponíveis:
| Schema | Unificando o analisador |
|---|---|
| Evento de Auditoria | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| DNS | _Im_Dns |
| Evento de Arquivo | _Im_FileEvent |
| Sessão de Rede | _Im_NetworkSession |
| Evento de processo | _Im_ProcessCreate _Im_ProcessTerminate |
| Evento do Registro | _Im_Registry |
| Sessão da Web | _Im_WebSession |
Otimizando a análise usando parâmetros
O uso de analisadores pode afetar o desempenho da consulta, principalmente por meio da filtragem dos resultados após a análise. Por esse motivo, muitos analisadores têm parâmetros de filtragem opcionais, que permitem filtrar antes de analisar e aprimorar o desempenho da consulta. Com o trabalho de otimização de consulta e de filtragem prévia, os analisadores do ASIM geralmente têm melhor desempenho do que não usar a normalização.
Ao invocar o analisador, sempre use parâmetros de filtragem disponíveis adicionando um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores ASIM.
Cada esquema tem um conjunto padrão de parâmetros de filtragem documentados na documentação de esquema relevante. Os parâmetros de filtragem são totalmente opcionais. Os seguintes esquemas dão suporte a parâmetros de filtragem:
Todos os esquemas que dão suporte a parâmetros de filtragem dão suporte, pelo menos, aos parâmetros starttime e endtime, e usá-los geralmente é essencial para otimizar o desempenho.
Para obter um exemplo de como usar analisadores de filtragem, consulte Unificando analisadores.
O parâmetro de pacote
Para garantir a eficiência, os analisadores mantêm apenas campos normalizados. Campos que não são normalizados têm menos valor quando combinados com outras fontes. Alguns analisadores dão suporte ao parâmetro de pacote . Quando o parâmetro de pacote for definido como true, o analisador empacotará dados extras no campo dinâmico AdditionalFields .
O artigo 'lista de analisadores' observa os analisadores que dão suporte ao parâmetro pack.
Conteúdo relacionado
Para obter mais informações, consulte: