Advanced Security Information Model (ASIM) elemzők kezelése (nyilvános előzetes verzió)

Az Advanced Security Information Model (ASIM) felhasználói egyesítő elemzőket használnak a lekérdezéseikben lévő táblanevek helyett, hogy normalizált formátumban tekintsék meg az adatokat, és egyetlen lekérdezésben megkapják a sémához kapcsolódó összes adatot. Minden egyesítő elemző több forrásspecifikus elemzőt használ, amelyek kezelik az egyes forrásadatok részleteit.

Ha szeretné megtudni, hogy az elemzők hogyan illeszkednek az ASIM-architektúrába, tekintse meg az ASIM architektúradiagramot.

Előfordulhat, hogy az egyes egyesítő elemzők által használt forrásspecifikus elemzőket a következőkhöz kell kezelnie:

• Adjon hozzá egyéni, forrásspecifikus elemzőt egy egyesítő elemzőhöz.

• Cserélje le az egyesítő elemző által használt beépített, forrásspecifikus elemzőt egy egyéni, forrásspecifikus elemzőre. Cserélje le a beépített elemzőket a következő esetekben:

  • A beépített elemző nem az egységesítő elemzőben alapértelmezés szerint használt verziót használja.

  • Az automatikus frissítések megakadályozása az egyesítő elemző által használt forrásspecifikus elemző verziójának megőrzésével.

  • Használja a beépített elemző módosított verzióját.

• Konfiguráljon egy forrásspecifikus elemzőt, például definiálja azokat a forrásokat, amelyek az elemző számára releváns információkat küldenek.

Ez a cikk végigvezeti az elemzők kezelésén, legyen szó beépített, ASIM-elemzők egységesítéséről vagy munkaterületen üzembe helyezett egyesítő elemzőkről.

Előfeltételek

A cikkben szereplő eljárások feltételezik, hogy az összes forrásspecifikus elemző már üzembe lett helyezve a Microsoft Sentinel-munkaterületen.

További információ: ASIM-elemzők fejlesztése.

Beépített egységesítő elemzők kezelése

A munkaterület beállítása

A Microsoft Sentinel felhasználói nem szerkeszthetik a beépített egyesítő elemzőket. Ehelyett a következő mechanizmusokkal módosíthatja a beépített egyesítő elemzők viselkedését:

• A forrásspecifikus elemzők hozzáadásának támogatásához az ASIM egységesítő, egyéni elemzőket használ. Ezek az egyéni elemzők munkaterületen vannak üzembe helyezve, ezért szerkeszthetők. A beépített, egységesítő elemzők automatikusan felveszik ezeket az egyéni elemzőket, ha léteznek.

  Kezdeti, üres, egységesítő egyéni elemzőket helyezhet üzembe a Microsoft Sentinel-munkaterületen az összes támogatott sémához, vagy külön-külön adott sémákhoz. További információ: Kezdeti ASIM üres egyéni egyesítő elemzők üzembe helyezése a Microsoft Sentinel GitHub-adattárban.

• A beépített forrásspecifikus elemzők kizárásának támogatásához az ASIM egy figyelőlistát használ. Helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .

• A beépített és egyéni elemzők forrástípusának meghatározásához az ASIM egy figyelőlistát használ. Helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .

Egyéni elemző hozzáadása egy beépített egységesítő elemzőhöz

Egyéni elemző hozzáadásához szúrjon be egy sort az egyéni egyesítő elemzőbe, hogy hivatkozzon az új, egyéni elemzőre.

Mindenképpen adjon hozzá szűrő egyéni elemzőt és paraméter nélküli egyéni elemzőt is. Ha többet szeretne megtudni az elemzők szerkesztéséről, tekintse meg az Azure Monitor napló lekérdezéseiben található Függvények című dokumentumot.

A hozzáadni kívánt sor szintaxisa minden sémához eltérő:

Ha további elemzőt ad hozzá egy olyan egyesítő egyéni elemzőhöz, amely már hivatkozik az elemzőkre, mindenképpen adjon hozzá vesszőt az előző sor végén.

Az alábbi kód például egy egyéni egyesítő elemzőt jelenít meg a added_parserkövetkező elemző hozzáadása után:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Beépített elemző módosított verziójának használata

Meglévő, beépített forrásspecifikus elemző módosítása:

1. Hozzon létre egy egyéni elemzőt az eredeti elemző alapján, és adja hozzá a beépített elemzőhöz.

2. Adjon hozzá egy rekordot a ASim Disabled Parsers figyelőlistához.

3. Adja meg az CallerContext értéket a következőként Exclude<parser name>: hol <parser name> található azoknak az egyesítő elemzőknek a neve, amelyből ki szeretné zárni az elemzőt.

4. Adja meg az SourceSpecificParser értéket Exclude<parser name>, ahol <parser name>a kizárni kívánt elemző neve, verzióazonosító nélkül.

Az Azure Firewall DNS-elemzőjének kizárásához például adja hozzá a következő rekordot a figyelőlistához:

Beépített elemző automatikus frissítésének megakadályozása

Az alábbi eljárással megakadályozhatja a beépített, forrásspecifikus elemzők automatikus frissítéseit:

1. Adja hozzá a használni kívánt beépített elemzőverziót, például _Im_Dns_AzureFirewallV02az egyéni egyesítő elemzőhöz. További információkért lásd fentebb: Egyéni elemző hozzáadása egy beépített egységesítő elemzőhöz.

2. Adjon hozzá egy kivételt a beépített elemzőhöz. Ha például teljes mértékben le szeretné tiltani az automatikus frissítéseket, és ezért sok beépített elemzőt szeretne kizárni, adja hozzá a következőt:

• Egy mezővel rendelkező Any SourceSpecificParser rekord, amely kizárja a CallerContext.
• A CallerContext rekordja Any és az SourceSpecificParser összes beépített elemző kizárására szolgáló mezők.

További információ: Beépített elemző módosított verziójának használata.

Munkaterület által üzembe helyezett egyesítő elemzők kezelése

Egyéni elemző hozzáadása egy munkaterületen üzembe helyezett egységesítő elemzőhöz

Egyéni elemző hozzáadásához szúrjon be egy sort a union munkaterületen üzembe helyezett egységesítő elemzőben lévő utasításba, amely az új egyéni elemzőre hivatkozik.

Mindenképpen adjon hozzá szűrő egyéni elemzőt és paraméter nélküli egyéni elemzőt is. A hozzáadni kívánt sor szintaxisa minden sémához eltérő:

Ha további elemzőt ad hozzá egy egyesítő elemzőhöz, mindenképpen adjon hozzá vesszőt az előző sor végén.

Az alábbi példában például a DNS-szűrés egyesítő elemzője látható, miután hozzáadta az egyénit added_parser:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Munkaterületen üzembe helyezett elemző módosított verziójának használata

A Microsoft Sentinel felhasználói közvetlenül módosíthatják a munkaterületen üzembe helyezett elemzőket. Hozzon létre egy elemzőt az eredeti alapján, fűzzön megjegyzést az eredetihez, majd adja hozzá a módosított verziót a munkaterületen üzembe helyezett egységesítő elemzőhöz.

Az alábbi kód például egy DNS-szűrést egyesítő elemzőt mutat be, amely módosított verzióra cserélte az vimDnsAzureFirewall elemzőt:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Forrásspecifikus elemzőhöz kapcsolódó források konfigurálása

Egyes elemzők esetében frissítenie kell az elemző szempontjából releváns források listáját. Előfordulhat például, hogy egy Syslog-adatokat használó elemző nem tudja meghatározni, hogy mely Syslog-események relevánsak az elemző számára. Az ilyen elemzők a Sources_by_SourceType figyelőlistát használhatják annak meghatározására, hogy mely források küldenek releváns információkat az elemző számára. Az ilyen elemzésekhez adjon hozzá egy rekordot minden releváns forráshoz a figyelőlistához:

• Állítsa a SourceType mezőt az elemző dokumentációjában megadott elemzőspecifikus értékre.
• Állítsa a Source mezőt az eseményekben használt forrás azonosítójára. Előfordulhat, hogy a megfelelő érték meghatározásához le kell kérdeznie az eredeti táblát, például a Syslogot.

Ha a rendszer nem telepítette a Sources_by_SourceType figyelőlistát, telepítse a figyelőlistát a Microsoft Sentinel GitHub-adattárból a Microsoft Sentinel-munkaterületre.

Következő lépések

Ez a cikk az Advanced Security Information Model (ASIM) elemzőinek kezelését ismerteti.

További információk az ASIM-elemzőkről:

• Az ASIM-elemzők áttekintése
• Az ASIM-elemzők használata
• Egyéni ASIM-elemzők fejlesztése
• Az ASIM-elemzők listája

További információ az ASIM-ről általában:

• Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content szolgáltatásban, vagy tekintse át a diákat
• Az Advanced Security Information Model (ASIM) áttekintése
• Advanced Security Information Model (ASIM) sémák
• Advanced Security Information Model (ASIM) tartalom