Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
No Microsoft Sentinel, a análise e a normalização acontecem no momento da consulta. Os analisadores são criados como funções definidas pelo usuário KQL que transformam dados em tabelas existentes, como CommonSecurityLog, tabelas de logs personalizados ou Syslog, no esquema normalizado.
Os usuários usam analisadores ASIM (Advanced Security Information Model) em vez de nomes de tabela em suas consultas para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema em sua consulta.
Para entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Analisadores do ASIM incorporados e analisadores implementados na área de trabalho
Os analisadores ASIM estão integrados e disponíveis prontos a usar em todos os espaços de trabalho Microsoft Sentinel.
O ASIM também suporta a implementação de analisadores para espaços de trabalho específicos a partir do GitHub, utilizando um modelo ARM. Os analisadores implementados no espaço de trabalho são utilizados para o desenvolvimento e a gestão de analisadores ASIM. Os parsers implementados no espaço de trabalho são funcionalmente equivalentes, mas possuem convenções de nomenclatura ligeiramente diferentes, permitindo que ambos os conjuntos de parsers coexistam com parsers incorporados no mesmo espaço de trabalho do Microsoft Sentinel. Leia mais sobre os analisadores implementados no workspace para os implementar, usar e gerir.
Recomenda-se o uso de parsers integrados ao desenvolver conteúdo ASIM. Os analisadores implementados no espaço de trabalho são tipicamente usados durante o processo de desenvolvimento dos analisadores ou para fornecer versões modificadas dos analisadores integrados, conforme descrito em gestão de analisadores.
Hierarquia e nomenclatura do analisador
O ASIM inclui dois níveis de analisadores: analisador unificador e analisadores específicos da fonte. O usuário geralmente usa o analisador unificador para o esquema relevante, garantindo que todos os dados relevantes para o esquema sejam consultados. O analisador unificador , por sua vez, chama analisadores específicos da fonte para executar a análise e normalização reais, que são específicas para cada fonte.
O nome do parser unificador é _Im_<schema> onde <schema> representa o esquema específico que serve. Os analisadores específicos da fonte também podem ser usados de forma independente. A convenção de nomes deles é _Im_<schema>_<source>V<version>. Você pode encontrar uma lista de analisadores específicos de origem na lista de analisadores ASIM.
Observação
Um conjunto correspondente de analisadores que usam _ASim_<schema>. Estes analisadores não suportam parâmetros de filtragem e são fornecidos para compatibilidade retroativa.
Gorjeta
A hierarquia do parser adiciona uma camada para suportar a personalização. Para obter mais informações, consulte Gerenciando analisadores ASIM.
Próximos passos
Saiba mais sobre os analisadores do ASIM:
- Utilizar analisadores do ASIM
- Desenvolver analisadores do ASIM personalizados
- Gerir analisadores do ASIM
- A lista de analisadores do ASIM
Para mais informações sobre o ASIM, consultar:
- Assista ao webinar Deep Dive sobre a normalização de analisadores e conteúdo normalizado do Microsoft Sentinel ou revise os slides
- Visão geral do ASIM (Advanced Security Information Model, modelo avançado de informações de segurança)
- Esquemas ASIM (Advanced Security Information Model)
- Conteúdo do modelo avançado de informações de segurança (ASIM)