Analisadores implantados no espaço de trabalho do ASIM (Advanced Security Information Model)

Os analisadores do ASIM (Modelo de Informações de Segurança Avançada) implantados no workspace são usados para dar suporte ao desenvolvimento e modificação de analisadores ASIM.

Implantar analisadores da área de trabalho

O ASIM também dá suporte à implantação de analisadores em workspaces específicos do GitHub, usando um modelo do ARM. Os analisadores implantados no workspace são usados para o desenvolvimento e o gerenciamento do analisador ASIM. Os analisadores implantados no workspace são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam com analisadores internos no mesmo workspace do Microsoft Sentinel.

É recomendável usar analisadores internos ao desenvolver conteúdo ASIM. Os analisadores implantados no workspace normalmente são usados durante o processo de desenvolvimento do analisador ou para fornecer versões modificadas de analisadores internos, conforme descrito no gerenciamento de analisadores

Usar analisadores de área de trabalho

Ao usar analisadores de workspace em suas consultas, o nome do analisador unificador é im<schema>, onde <schema> significa o esquema específico que ele serve.

A tabela a seguir lista os analisadores de unificação disponíveis:

Schema	Unificando o analisador
Evento de alerta	imAlertEvent
Evento de Auditoria	imAuditEvent
Authentication	imAuthentication
Evento DHCP	imDhcpEvent
DNS	imDns
Evento de Arquivo	imFileEvent
Sessão de Rede	imNetworkSession
Evento de processo	imProcessCreate imProcessTerminate
Evento do Registro	imRegistry
Gerenciamento de Usuários	imUserManagement
Sessão da Web	imWebSession

Gerenciar analisadores unificadores implantados via workspace

Adicionar um analisador personalizado a um analisador unificador implantado via workspace

Para adicionar um analisador personalizado, insira uma linha à instrução union no analisador unificador implantado via workspace que faz referência ao novo analisador personalizado.

Você deve adicionar um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. A sintaxe da linha a ser acrescentada é diferente para cada esquema:

Schema	Analisador	Linha a ser acrescentada
Evento de Alerta	`imAlertEvent`	`_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any)`
AuditEvent	`imAuditEvent`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any)`
Authentication	`imAuthentication`	`_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult)`
DhcpEvent	`imDhcpEvent`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult)`
DNS	`imDns`	`_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)`
FileEvent	`imFileEvent`	`_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any)`
NetworkSession	`imNetworkSession`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)`
ProcessEvent	`imProcessCreate`, `imProcessTerminate`	`_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype)`
RegistryEvent	`imRegistry`	`_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any)`
Gerenciamento de Usuários	`imUserManagement`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in)`
WebSession	`imWebSession`	`_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)`

Ao adicionar um analisador a um analisador unificador, adicione uma vírgula ao final da linha anterior.

O seguinte exemplo mostra o analisador unificador de filtragem de DNS após a adição do added_parser personalizado:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Usar uma versão modificada de um analisador implantado via workspace

Os usuários do Microsoft Sentinel podem modificar diretamente os analisadores implantados via workspace. Crie um analisador com base no original, comente o original e, em seguida, adicione sua versão modificada ao analisador unificador implantado via workspace.

Por exemplo, o seguinte código mostra um analisador unificador de filtragem de DNS, com o analisador vimDnsAzureFirewall substituído por uma versão modificada:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Para obter mais informações, consulte:

Comentários

Esta página foi útil?

Last updated on 2026-01-06