Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os usuários do ASIM (Advanced Security Information Model) usam analisadores unificadores em vez de nomes de tabelas em suas consultas, para exibir dados em um formato normalizado e obter todos os dados relevantes para o esquema em uma única consulta. Cada analisador unificador usa vários analisadores específicos da fonte que lidam com os detalhes específicos de cada fonte.
Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Talvez seja necessário gerenciar os analisadores específicos de origem usados por cada analisador unificador para:
Adicione um analisador personalizado e específico da fonte a um analisador unificador.
Substitua um analisador interno específico da fonte que é usado por um analisador unificador por um analisador personalizado e específico da fonte. Substitua os analisadores integrados quando quiser:
Use uma versão do analisador interno diferente daquela usada por padrão no analisador unificador.
Impeça atualizações automatizadas preservando a versão do analisador específico de origem usado pelo analisador unificador.
Use uma versão modificada de um analisador interno.
Configure um analisador específico da fonte, por exemplo, para definir as fontes que enviam informações relevantes para o analisador.
Este artigo orienta-o na gestão dos seus parsers.
Pré-requisitos
Os procedimentos neste artigo pressupõem que todos os analisadores específicos da origem já foram implantados no seu espaço de trabalho do Microsoft Sentinel.
Para obter mais informações, consulte Desenvolver analisadores ASIM.
Gerencie analisadores unificadores integrados
Configurar a sua área de trabalho
Os usuários do Microsoft Sentinel não podem editar analisadores unificadores internos. Em vez disso, use os seguintes mecanismos para modificar o comportamento dos analisadores unificadores internos:
Para dar suporte à adição de analisadores específicos da fonte, o ASIM usa analisadores unificadores e personalizados. Esses analisadores personalizados são implantados no espaço de trabalho e, portanto, editáveis. Os analisadores unificadores integrados captam automaticamente esses analisadores personalizados, se existirem.
Você pode implantar analisadores personalizados iniciais, vazios e unificadores em seu espaço de trabalho do Microsoft Sentinel para todos os esquemas suportados ou individualmente para esquemas específicos. Para obter mais informações, consulte Implantar analisadores unificadores personalizados vazios iniciais do ASIM no repositório GitHub do Microsoft Sentinel.
Para oferecer suporte à exclusão de analisadores internos específicos da fonte, o ASIM usa uma lista de observação. Implante a lista de observação em seu espaço de trabalho do Microsoft Sentinel a partir do repositório GitHub do Microsoft Sentinel.
Para definir o tipo de origem para analisadores internos e personalizados, o ASIM usa uma lista de observação. Implante a lista de observação em seu espaço de trabalho do Microsoft Sentinel a partir do repositório GitHub do Microsoft Sentinel.
Adicionar um analisador personalizado a um analisador unificador integrado
Para adicionar um analisador personalizado, insira uma linha no analisador unificador personalizado para fazer referência ao novo analisador personalizado.
Certifique-se de adicionar um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. Para saber mais sobre como editar analisadores, consulte o documento Funções em consultas de log do Azure Monitor.
A sintaxe da linha a ser adicionada é diferente para cada esquema:
| Esquema | Analisador | Linha a adicionar |
|---|---|---|
| Evento de Alerta | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| Evento de Auditoria | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Authentication | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistroEvento | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Gestão de Utilizadores | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Ao adicionar um analisador adicional a um analisador personalizado unificador que já faz referência a analisadores, certifique-se de adicionar uma vírgula no final da linha anterior.
Por exemplo, o código a seguir mostra um analisador unificador personalizado depois de ter adicionado o added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Usar uma versão modificada de um analisador interno
Para modificar um analisador interno existente e específico da fonte:
Crie um analisador personalizado com base no analisador original e adicione-o ao analisador incorporado. Podes usar a versão implementada do parser no workspace como ponto de partida.
Adicione um registro à
ASim Disabled Parserslista de observação.Defina o
CallerContextvalor comoExclude<parser name>, onde<parser name>é o nome dos analisadores unificadores dos quais você deseja excluir o analisador.Defina o
SourceSpecificParservalorExclude<parser name>, onde<parser name>é o nome do analisador que você deseja excluir, sem um especificador de versão.
Por exemplo, para excluir o analisador DNS do Firewall do Azure, adicione o seguinte registro à lista de observação:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Impedir uma atualização automatizada de um analisador integrado
Use o seguinte processo para impedir atualizações automáticas para analisadores internos específicos da origem:
Adicione a versão interna do analisador que você deseja usar, como
_Im_Dns_AzureFirewallV02, ao analisador unificador personalizado. Para obter mais informações, consulte acima, Adicionar um analisador personalizado a um analisador unificador interno.Adicione uma exceção para o analisador interno. Por exemplo, quando você quiser desativar totalmente as atualizações automáticas e, portanto, excluir um grande número de analisadores internos, adicione:
- Um registro com
AnycomoSourceSpecificParsercampo, para excluir todos os analisadores para oCallerContext. - Um registro para
Anyno CallerContext e osSourceSpecificParsercampos para excluir todos os analisadores internos.
Para obter mais informações, consulte Usar uma versão modificada de um analisador interno.
Configurar as fontes relevantes para um analisador específico da fonte
Alguns analisadores exigem que atualizes a lista de fontes relevantes para o analisador. Por exemplo, um analisador que usa dados Syslog pode não ser capaz de determinar quais eventos Syslog são relevantes para o analisador. Esse analisador pode usar a lista de Sources_by_SourceType vigilância para determinar quais fontes enviam informações relevantes para o analisador. Para tais análises, adicione um registro para cada fonte relevante à lista de observação:
- Defina o
SourceTypecampo para o valor específico do analisador especificado na documentação do analisador. - Defina o
Sourcecampo como o identificador da fonte usada nos eventos. Talvez seja necessário consultar a tabela original, como Syslog, para determinar o valor correto.
Se o seu sistema não tiver a Sources_by_SourceType lista de observação implementada, implemente-a no seu espaço de trabalho Microsoft Sentinel a partir do repositório Microsoft Sentinel GitHub .
Próximos passos
Este artigo discute o gerenciamento dos analisadores ASIM (Advanced Security Information Model).
Saiba mais sobre os analisadores do ASIM:
- Visão geral dos analisadores ASIM
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- A lista de analisadores do ASIM
Saiba mais sobre o ASIM em geral:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)