Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Use analisadores ASIM (Advanced Security Information Model) em vez de nomes de tabela em suas consultas do Microsoft Sentinel para exibir dados em um formato normalizado e incluir todos os dados relevantes para o esquema em sua consulta. Consulte a tabela abaixo para encontrar o analisador relevante para cada esquema.
Unificação de analisadores
Ao usar o ASIM em suas consultas, use analisadores unificadores para combinar todas as fontes, normalizadas para o mesmo esquema, e consulte-as usando campos normalizados. O nome unificador do parser é _Im_<schema>, onde <schema> representa o esquema específico que serve.
Por exemplo, a consulta a seguir usa o analisador DNS unificador interno para efetuar consultas sobre eventos DNS usando os campos normalizados ResponseCodeName, SrcIpAddr e TimeGenerated:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
O exemplo usa parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem parâmetros de filtragem ficaria assim:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
A tabela a seguir lista os analisadores unificadores disponíveis:
| Schema | Analisador unificador |
|---|---|
| Evento de Alerta | _Im_AlertEvent |
| Evento de Auditoria | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| Evento DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Evento de Ficheiro | _Im_FileEvent |
| Sessão de rede | _Im_NetworkSession |
| Evento do processo | _Im_ProcessCreate _Im_ProcessTerminate |
| Evento de registo | _Im_RegistryEvent |
| Gestão de Utilizadores | _Im_UserManagement |
| Sessão Web | _Im_WebSession |
Otimizando a análise usando parâmetros
O uso de analisadores pode afetar o desempenho da consulta, principalmente filtrando os resultados após a análise. Por esse motivo, muitos analisadores têm parâmetros de filtragem opcionais, que permitem filtrar antes de analisar e melhorar o desempenho da consulta. Com a otimização de consultas e os esforços de pré-filtragem, os analisadores ASIM geralmente fornecem melhor desempenho quando comparados ao não uso da normalização.
Ao invocar o analisador, sempre use os parâmetros de filtragem disponíveis adicionando um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores ASIM.
Cada esquema tem um conjunto padrão de parâmetros de filtragem documentados na documentação relevante do esquema. Os parâmetros de filtragem são totalmente opcionais.
Para obter um exemplo de uso de analisadores de filtragem, consulte Unificando analisadores.
O parâmetro pack
Para garantir a eficiência, os analisadores mantêm apenas campos normalizados. Os campos que não são normalizados têm menos valor quando combinados com outras fontes. Alguns analisadores suportam o parâmetro pack . Quando o parâmetro pack é definido como true, o analisador empacota dados extras no campo dinâmico AdditionalFields .
O artigo lista de parsers menciona parsers que suportam o parâmetro pack.
Conteúdo relacionado
Para obter mais informações, consulte: