Megosztás a következőn keresztül:

Az Advanced Security Information Model (ASIM) elemzői (nyilvános előzetes verzió)

  • Cikk

A Microsoft Sentinelben az elemzés és a normalizálás lekérdezéskor történik. Az elemzők KQL felhasználó által definiált függvényekként vannak létrehozva, amelyek átalakítják a meglévő táblák adatait, például a CommonSecurityLogot, az egyéni naplótáblákat vagy a Syslogot a normalizált sémába.

A felhasználók a lekérdezésekben szereplő táblanevek helyett az Advanced Security Information Model (ASIM) elemzőket használják az adatok normalizált formátumban való megtekintéséhez, valamint a sémához kapcsolódó összes adat lekérdezésbe való belefoglalásához.

Ha szeretné megtudni, hogy az elemzők hogyan illeszkednek az ASIM-architektúrába, tekintse meg az ASIM architektúradiagramot.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Beépített ASIM-elemzők és munkaterület által üzembe helyezett elemzők

Számos ASIM-elemző beépített, és minden Microsoft Sentinel-munkaterületen gyárilag elérhető. Az ASIM emellett támogatja az elemzők gitHub-munkaterületeken való üzembe helyezését ARM-sablonnal vagy manuálisan. Mind a beépített, mind a munkaterületen üzembe helyezett elemzők funkcionálisan egyenértékűek, de némileg eltérő elnevezési szabályaik vannak, így mindkét elemzőkészlet egyidejűleg létezhet ugyanazon a Microsoft Sentinel-munkaterületen.

Mindegyik módszernek vannak előnyei a másikhoz képest:

Összehasonlítás Beépítve Munkaterület üzembe helyezése
Előnye Minden Microsoft Sentinel-példányban létezik.

Más beépített tartalommal használható.		 Az új elemzők gyakran először munkaterületen üzembe helyezett elemzőkként jelennek meg.
Hátrányai A felhasználók nem módosíthatják közvetlenül.

Kevesebb elemző érhető el.		 A beépített tartalom nem használja.
Mikor érdemes használni? A legtöbb esetben ASIM-elemzőkre van szüksége. Új elemzők üzembe helyezésekor vagy olyan elemzők esetén használható, amely még nem érhető el a dobozon kívül.

Ajánlott beépített elemzőket használni olyan sémákhoz, amelyekhez beépített elemzők érhetők el.

Elemzési hierarchia és elnevezés

Az ASIM két elemzőszintet tartalmaz: az elemző és a forrásspecifikus elemzők egyesítése. A felhasználó általában az egyesítő elemzőt használja a megfelelő sémához, így biztosítva a sémához kapcsolódó összes adat lekérdezését. Az egyesítő elemző a forrásspecifikus elemzőket hívja meg a tényleges elemzés és normalizálás végrehajtásához, amely az egyes forrásokra jellemző.

Az egységesítő elemző neve _Im_<schema> a beépített elemzőknek és im<schema> a munkaterületen üzembe helyezett elemzőknek szól, ahol <schema> az általa kiszolgált adott sémát jelöli. A forrásspecifikus elemzők egymástól függetlenül is használhatók. Beépített elemzőkhöz és vim<schema><source> munkaterületen üzembe helyezett elemzőkhöz használható_Im_<schema>_<source>. Egy Infoblox-specifikus munkafüzetben például használja a _Im_Dns_InfobloxNIOS forrásspecifikus elemzőt. Az ASIM-elemzők listájában megtalálhatja a forrásspecifikus elemzők listáját.

Tipp.

A megfelelő elemzők készlete, amelyek használják _ASim_<schema> és ASim<Schema> elérhetők is. A tetszetős elemzők nem támogatják a szűrési paramétereket, és az egyéni tartományra beállított időválasztó megoldásának enyhítésére szolgálnak. Ezeket az elemzőket csak interaktív módon használhatja a naplók képernyőjén, máshol azonban nem, például elemzési szabályokban vagy munkafüzetekben. Ez az elemző nem távolítható el a probléma megoldásakor.

Tipp.

A beépített elemzőhierarchia hozzáad egy réteget a testreszabás támogatásához. További információ: ASIM-elemzők kezelése.

Következő lépések

További információk az ASIM-elemzőkről:

Az ASIM-ről általában az alábbiakban olvashat bővebben: