Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
No Microsoft Sentinel, a análise e a normalização acontecem no momento da consulta. Os analisadores são criados como funções KQL definidas pelo usuário que transformam dados de tabelas existentes, como CommonSecurityLog, tabelas de logs personalizadas ou Syslog, em esquema normalizado.
Os usuários usam os analisadores do ASIM (Modelo de Informações de Segurança Avançado), em vez de nomes de tabela nas consultas, para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema na consulta.
Para entender como os analisadores se encaixam na arquitetura do ASIM, consulte o diagrama de arquitetura do ASIM.
Analisadores do ASIM integrados e analisadores implantados no espaço de trabalho
Os analisadores ASIM são embutidos e disponíveis imediatamente em todos os espaços de trabalho do Microsoft Sentinel.
O ASIM também dá suporte à implantação de analisadores em workspaces específicos do GitHub, usando um modelo do ARM. Os analisadores implantados no workspace são usados para o desenvolvimento e o gerenciamento do analisador ASIM. Os analisadores implantados no workspace são funcionalmente equivalentes, mas têm convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de analisadores coexistam com analisadores internos no mesmo workspace do Microsoft Sentinel. Leia mais sobre analisadores implantados pelo espaço de trabalho para implantá-los, usá-los e gerenciá-los.
É recomendável usar analisadores internos ao desenvolver conteúdo ASIM. Os analisadores implantados no workspace normalmente são usados durante o processo de desenvolvimento do analisador ou para fornecer versões modificadas de analisadores internos, conforme descrito no gerenciamento de analisadores
Hierarquia e nomenclatura do analisador
O ASIM inclui dois níveis de analisadores: analisador unificador e analisadores específicos da origem. O usuário geralmente usa o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema são consultados. O analisador unificador, por sua vez, chama os analisadores específicos da origem para executar a análise e a normalização reais, que é específica para cada fonte.
O nome do analisador unificador é _Im_<schema> onde <schema> significa o esquema específico que ele serve. Os analisadores específicos da origem também podem ser usados de maneira independente. A convenção de nomenclatura deles é _Im_<schema>_<source>V<version>. Você pode encontrar uma lista dos analisadores específicos da origem na Lista dos analisadores do ASIM.
Observação
Um conjunto correspondente de analisadores que usam _ASim_<schema>. Esses analisadores não dão suporte a parâmetros de filtragem e são fornecidos para compatibilidade com versões anteriores.
Dica
A hierarquia do analisador adiciona uma camada para dar suporte à personalização. Para obter mais informações, confira como gerenciar analisadores do ASIM.
Próximas etapas
Saiba mais sobre analisadores do ASIM:
- Usar analisadores do ASIM
- Desenvolver analisadores do ASIM privados
- Gerenciar analisadores do ASIM
- A lista de analisadores do ASIM
Para obter mais informações sobre o ASIM, em geral, consulte:
- Assista também ao Webinar de aprofundamento no Microsoft Sentinel: normalizando analisadores e conteúdo normalizado ou veja os slides
- Visão geral do ASIM (Modelo Avançado de Informações de Segurança)
- Esquemas do ASIM (Modelo Avançado de Informações de Segurança)
- Conteúdo do ASIM (Modelo Avançado de Informações de Segurança)