你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Sentinel 查询中使用高级安全信息模型 (ASIM) 分析程序而不是使用表名来以规范化格式查看数据,并包含所有与你的查询中架构相关的数据。 请参阅下表,以查找每个架构的相关分析程序。
统一分析程序
在查询中使用 ASIM 时,请使用统一的分析程序来合并所有源,规范化到同一架构,并使用规范化字段对它们进行查询。 统一分析程序名称为 _Im_<schema>(对于内置分析程序)和 im<schema>(对于在工作区部署的分析程序),其中 <schema> 代表它所服务的特定架构。
例如,以下查询使用内置的统一 DNS 分析程序,通过利用 ResponseCodeName、SrcIpAddr 和 TimeGenerated 规范化字段来查询 DNS 事件:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
此示例使用筛选参数来提高 ASIM 性能。 没有筛选参数的同一示例如下所示:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
注释
在“日志”页面使用 ASIM 分析程序时,时间范围选择器设置为 custom。 你仍可以自行设置时间范围。 也可使用分析程序参数指定时间范围。
下表列出了可用的统一分析程序:
| Schema | 统一分析程序 |
|---|---|
| 审核事件 | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| Dns | _Im_Dns |
| 文件事件 | _Im_FileEvent |
| 网络会话 | _Im_NetworkSession |
| 进程事件 | _Im_ProcessCreate _Im_ProcessTerminate |
| 注册表事件 | _Im_Registry |
| Web 会话 | _Im_WebSession |
使用参数优化分析
使用分析程序可能会影响查询性能,主要是因为在分析后筛选结果。 出于此原因,许多分析程序都具有可选的筛选参数,这使你能够在分析之前进行筛选并提高查询性能。 通过查询优化和预筛选工作,与完全不使用规范化相比,ASIM 分析程序提供的性能通常更佳。
调用分析程序时,请始终通过添加一个或多个命名参数来使用可用的筛选参数,以确保 ASIM 分析程序的最佳性能。
每个架构都有一组标准的筛选参数,这些参数记录在相关架构文档中。 筛选参数是完全可选的。 以下架构支持筛选参数:
支持筛选参数的每个架构至少支持 starttime 和 endtime 参数,而使用这些架构通常对于优化性能至关重要。
有关使用筛选分析程序的示例,请参阅统一分析程序。
pack 参数
为确保效率,分析程序仅维护规范化字段。 未规范化的字段在与其他源组合时的价值更小。 某些分析程序支持 pack 参数。 当 pack 参数设置为 时,分析程序会将其他数据打包到 AdditionalFields 动态字段中。true
分析程序列表文章记录了支持 pack 参数的分析程序。
相关内容
有关详细信息,请参见: