Использование расширенной информационной модели безопасности (ASIM)

Используйте средства синтаксического анализа расширенной информационной модели безопасности (ASIM) вместо имен таблиц в запросах Microsoft Sentinel для просмотра данных в нормализованном формате и включения всех данных, относящихся к схеме в запросе. Ознакомьтесь с таблицей ниже, чтобы найти соответствующий средство синтаксического анализа для каждой схемы.

Объединение парсеров

При использовании ASIM в запросах используйте объединенные средства синтаксического анализа для объединения всех источников, нормализованных до одной схемы и запроса их с помощью нормализованных полей. Унифицированное имя парсера — это _Im_<schema> для встроенных парсеров и im<schema> для парсеров, развернутых в рабочей области, где <schema> соответствует конкретной схеме, которой он служит.

Например, следующий запрос использует встроенный унифицированный синтаксический анализатор DNS для запроса событий DNS, используя нормализованные поля ResponseCodeName, SrcIpAddr и TimeGenerated.

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

В примере используются параметры фильтрации, которые повышают производительность ASIM. Тот же пример без фильтрации параметров будет выглядеть следующим образом:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

В следующей таблице перечислены доступные средства синтаксического анализа:

Оптимизация синтаксического анализа с помощью параметров

Использование средств синтаксического анализа может повлиять на производительность запроса, в первую очередь от фильтрации результатов после анализа. По этой причине у многих средств синтаксического анализа есть необязательные параметры фильтрации, которые позволяют выполнять фильтрацию до анализа и тем самым повысить производительность запросов. При оптимизации запросов и префильтрации средства синтаксического анализа ASIM часто обеспечивают более высокую производительность по сравнению с отсутствием нормализации вообще.

При вызове средства синтаксического анализа всегда используйте доступные параметры фильтрации, добавив один или несколько именованных параметров, чтобы обеспечить оптимальную производительность анализаторов ASIM.

Каждая схема имеет стандартный набор параметров фильтрации, описанных в соответствующей документации по схеме. Параметры фильтрации являются полностью необязательными. Следующие схемы поддерживают фильтрацию параметров:

• Событие аудита
• Аутентификация
• DNS
• Сетевой сеанс
• Веб-сеанс

Каждая схема, поддерживающая фильтрацию параметров, поддерживает по крайней мере параметры starttime и endtime, и их использование часто является критически важным для оптимизации производительности.

Пример использования фильтрующих анализаторов см. в разделе "Объединение средств синтаксического анализа".

Параметр пакета

Чтобы обеспечить эффективность, средства синтаксического анализа поддерживают только нормализованные поля. Поля, которые не нормализованы, имеют меньшее значение при сочетании с другими источниками. Некоторые средства синтаксического анализа поддерживают параметр пакета . Если для параметра пакета задано trueзначение, средство синтаксического анализа упаковывает дополнительные данные в динамическое поле AdditionalFields .

В статье список парсеров указаны парсеры, которые поддерживают параметр pack.

Связанный контент

Дополнительные сведения можно найти здесь

• Обзор синтаксического анализа ASIM
• Управление средствами синтаксического анализа ASIM
• Разработка пользовательских анализаторов ASIM