在 Microsoft Sentinel 查詢中使用進階安全性資訊模型 (ASIM) 剖析器,而不是資料表名稱,以正規化格式檢視資料,並在查詢中包含與結構描述相關的所有資料。 請參閱下表,以尋找每個結構描述的相關剖析器。
統一剖析器
在查詢中使用 ASIM 時,請使用 統一剖析器 來合併所有來源,標準化為相同的結構描述,並使用標準化欄位進行查詢。 統一的解析器名稱為 _Im_<schema>,其中 <schema> 代表其所服務的特定結構。
例如,下列查詢使用內建的統一 DNS 剖析器,透過ResponseCodeName、SrcIpAddr和TimeGenerated正規化欄位來查詢 DNS 事件。
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
此範例使用 篩選參數,可改善 ASIM 效能。 沒有篩選參數的相同範例如下所示:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
下表列出可用的統一剖析器:
| Schema | 統一解析器 |
|---|---|
| 警報事件 | _Im_AlertEvent |
| 稽核事件 | _Im_AuditEvent |
| Authentication | _Im_Authentication |
| DHCP 事件 | _Im_DhcpEvent |
| Dns | _Im_Dns |
| 檔案事件 | _Im_FileEvent |
| 網路會話 | _Im_NetworkSession |
| 處理事件 | _Im_ProcessCreate _Im_ProcessTerminate |
| 登錄事件 | _Im_RegistryEvent |
| 使用者管理 | _Im_UserManagement |
| 網頁會話 | _Im_WebSession |
使用參數最佳化解析
使用剖析器可能會影響您的查詢效能,主要是因為在剖析之後篩選結果。 因此,許多剖析器都可使用選用的篩選參數,讓您在剖析之前篩選以加強查詢效能。 透過查詢最佳化和預先篩選工作,與完全不使用正規化相比,ASIM 剖析器通常會提供更好的效能。
叫用剖析器時,請一律新增一或多個具名參數,以使用可用的篩選參數,以確保 ASIM 剖析器的最佳效能。
每個結構描述都有一組標準的篩選引數,記錄在相關結構描述檔案中。 篩選參數完全是選擇性的。
如需使用篩選剖析器的範例,請參閱 統一剖析器。
封裝參數
為了確保效率,解析器僅維護正規化欄位。 未正規化的欄位與其他來源結合時,其價值較小。 部分剖析器支援 pack 參數。 當 pack 參數設為 true時,剖析器會將額外的資料封裝到 AdditionalFields 動態欄位中。
解析器列表文章記錄了支援pack參數的解析器。
相關內容
如需詳細資訊,請參閱: