在 Microsoft Sentinel 中,剖析和正規化會在查詢時間發生。 剖析器會建置為 KQL 使用者定義函式,可將現有資料表中的資料 (例如 CommonSecurityLog、自訂記錄資料表或 Syslog) 轉換成正規化結構描述。
使用者在其查詢中使用進階安全性資訊模型 (ASIM) 剖析器,而不是使用資料表名稱,檢視正規化格式的資料,並在查詢中納入與結構描述相關的所有資料。
若要了解剖析器如何融入 ASIM 架構內,請參閱 ASIM 架構圖。
內建 ASIM 剖析器和工作區部署的剖析器
ASIM 解析器內建且可直接安裝在每個 Microsoft Sentinel 工作空間中。
ASIM 也支援從 GitHub 使用 ARM 範本部署解析器到特定工作區。 Workspace 部署的解析器用於 ASIM 解析器的開發與管理。 Workspace 部署的解析器在功能上等同,但命名規則略有不同,允許兩個解析器集合與內建解析器共存於同一 Microsoft Sentinel 工作空間中。 閱讀更多關於工作區部署解析器的資訊,以了解如何部署、使用和管理它們。
建議在開發 ASIM 內容時使用內建的解析器。 Workspace 部署的解析器通常用於解析器開發過程中,或提供內建解析器的修改版本,如管理解析器所述
剖析器階層和命名
ASIM 包含兩個層級的剖析器:整合剖析器和來源特定剖析器。 使用者通常會針對相關的結構描述使用整合剖析器,以確保查詢與該結構描述相關的所有資料。 整合剖析器會因此呼叫來源特定剖析器,以執行每個來源專屬的實際剖析和正規化。
統一解析器名稱代表_Im_<schema><schema>其所服務的特定架構。 來源特定剖析器也可以單獨使用。 它們的命名慣例為 _Im_<schema>_<source>V<version>。 您可以在 ASIM 剖析器清單中找到來源特定剖析器的清單。
備註
一組對應的解析器,使用 _ASim_<schema>。 這些解析器不支援過濾參數,且是為了向下相容而提供。
秘訣
解析器層級結構中加入一層,以支援自訂功能。 如需詳細資訊,請參閱管理 ASIM 剖析器。
後續步驟
深入了解 ASIM 剖析器:
如需 ASIM 的一般相關資訊,請參閱: