إدارة محللات نموذج معلومات الأمان المتقدمة (ASIM) (معاينة عامة)

يستخدم مستخدمو نموذج معلومات الأمان المتقدم (ASIM) محللات موحدة بدلًا من أسماء الجداول في استعلاماتهم، لعرض البيانات بتنسيق تمت تسويتها والحصول على جميع البيانات ذات الصلة بالمخطط في استعلام واحد. يستخدم كل محلل توحيد عدة محللات خاصة بالمصدر تتعامل مع التفاصيل المحددة لكل مصدر.

لفهم كيفية احتواء المحلات ضمن بنية نموذج معلومات الأمان المتقدم، راجع مخطط بنية نموذج معلومات الأمان المتقدم .

قد تحتاج إلى إدارة المحللات الخاصة بالمصادر المستخدمة من قبل كل محلل توحيد من أجل:

• إضافة محلل مخصص خاص بالمصدر إلى محلل توحيد.

• استبدل محلل مضمن خاص بالمصدر يستخدمه محلل توحيد مع محلل مخصص خاص بالمصدر. استبدل المحللات المضمنة عندما تريد:

  • استخدم إصدارًا من المحلل المضمن بخلاف الإصدار المستخدم افتراضيًا في المحلل الموحد.

  • منع التحديثات التلقائية عن طريق الاحتفاظ بإصدار المحلل الخاص بالمصدر المستخدم من قبل المحلل الموحد.

  • استخدم إصدارًا معدلًا من محلل مضمن.

• تكوين محلل خاص بالمصدر، على سبيل المثال لتعريف المصادر التي ترسل معلومات ذات صلة إلى المحلل.

ترشدك هذه المقالة خلال إدارة المحللات الخاصة بك، سواء باستخدام محللات ASIM المضمنة أو محللات التوحيد التي تم نشرها في مساحة العمل.

هام

ASIM في وضع PREVIEW حاليًا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

المتطلبات الأساسية

تفترض الإجراءات الواردة في هذه المقالة أنه تم بالفعل نشر جميع المحللات الخاصة بالمصادر إلى مساحة عمل Microsoft Sentinel.

لمزيد من المعلومات، راجع تطوير محللات ASIM.

إدارة محللات التوحيد المضمنة

إعداد مساحة العمل الخاصة بك

لا يمكن لمستخدمي Microsoft Sentinel تحرير محللات توحيد مضمنة. بدلًا من ذلك، استخدم الآليات التالية لتعديل سلوك محللات التوحيد المضمنة:

• لدعم إضافة محللات خاصة بالمصدر، يستخدم ASIM محللات مخصصة وموحدة. يتم نشر هذه المحللات المخصصة في مساحة العمل، وبالتالي قابلة للتحرير. يلتقط المحللات المضمنة والموحدة تلقائيًا هذه المحللات المخصصة، إذا كانت موجودة.

  يمكنك نشر المحللات المخصصة الأولية أو الفارغة أو الموحدة إلى مساحة عمل Microsoft Sentinel لكافة المخططات المدعومة، أو بشكل فردي لمخططات معينة. لمزيد من المعلومات، راجع نشر محللات مخصصة فارغة لـASIM الأولية في مستودع Microsoft Sentinel GitHub.

• لدعم استبعاد المحللات الخاصة بالمصادر المضمنة، يستخدم ASIM قائمة مراقبة. انشر قائمة المشاهدة إلى مساحة عمل Microsoft Sentinel من مستودع Microsoft Sentinel GitHub.

• لتعريف نوع المصدر للموزعين المضمنين والمخصصين، يستخدم ASIM قائمة مراقبة. انشر قائمة المشاهدة إلى مساحة عمل Microsoft Sentinel من مستودع Microsoft Sentinel GitHub.

إضافة محلل مخصص إلى محلل توحيد مضمن

لإضافة محلل مخصص، قم بإدراج سطر إلى محلل توحيد مخصص للإشارة إلى المحلل المخصص الجديد.

تأكد من إضافة كل من محلل مخصص للتصفية وموزع مخصص بدون معلمات. لمعرفة المزيد حول كيفية تحرير المحللات، راجع وظائف المستند في استعلامات سجل Azure Monitor.

يختلف بناء جملة السطر المراد إضافته لكل مخطط:

المخطط	المحلل	السطر المراد إضافته
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

عند إضافة محلل إضافي إلى محلل مخصص توحيد يشير بالفعل إلى المحللات، تأكد من إضافة فاصلة في نهاية السطر السابق.

على سبيل المثال، تظهر التعليمات البرمجية التالية محلل توحيد مخصص بعد إضافة added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

استخدام إصدار معدل من محلل مضمن

لتعديل محلل موجود ومضمن خاص بالمصدر:

1. إنشاء محلل مخصص استنادًا إلى المحلل الأصلي وإضافته إلى المحلل المضمن.

2. إضافة سجل إلى قائمة المراقبة ASim Disabled Parsers.

3. حدد القيمة CallerContext على أنها Exclude<parser name>، حيث <parser name> هو اسم المحللات المتوحدة التي تريد استبعاد المحلل منها.

4. حدد القيمة SourceSpecificParserExclude<parser name>، حيث <parser name> هو اسم المحلل الذي تريد استبعاده، دون محدد إصدار.

على سبيل المثال، لاستبعاد محلل DNS لجدار حماية Azure، أضف السجل التالي إلى قائمة المراقبة:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

منع التحديث التلقائي للموزع المضمن

استخدم العملية التالية لمنع التحديثات التلقائية للموزعين المضمنين والمخصصين للمصدر:

1. أضف إصدار المحلل المضمن الذي تريد استخدامه، مثل _Im_Dns_AzureFirewallV02، إلى محلل توحيد مخصص. لمزيد من المعلومات، راجع أعلاه، إضافة محلل مخصص إلى محلل توحيد مضمن.

2. إضافة استثناء للموزع المضمن. على سبيل المثال، عندما تريد إلغاء الاشتراك بالكامل من التحديثات التلقائية، وبالتالي استبعاد عدد كبير من المحللات المضمنة، أضف:

• سجل مع Any كحقلSourceSpecificParser، لاستبعاد جميع المحللات لـCallerContext.
• سجل لـAny في CallerContext وحقول SourceSpecificParser لاستبعاد جميع المحللات المضمنة.

لمزيد من المعلومات، راجع استخدام إصدار معدل من محلل مضمن.

إدارة المحللات الموحدة التي تم توزيعها في مساحة العمل

إضافة محلل مخصص إلى محلل توحيد تم نشره في مساحة العمل

لإضافة محلل مخصص، قم بإدراج سطر إلى العبارة union في محلل توحيد نشر مساحة العمل الذي يشير إلى المحلل المخصص الجديد.

تأكد من إضافة كل من محلل مخصص للتصفية وموزع مخصص بدون معلمات. يختلف بناء جملة السطر المراد إضافته لكل مخطط:

المخطط	المحلل	السطر المراد إضافته
المصادقة	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
حدث الملف	imFileEvent	_parser_name_
جلسة عمل الشبكة	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
حدث العملية	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
حدث التسجيل	imRegistry	_parser_name_
جلسة عمل الويب	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

عند إضافة محلل إضافي إلى محلل توحيد، تأكد من إضافة فاصلة في نهاية السطر السابق.

على سبيل المثال، يوضح المثال التالي محلل تصفية DNS الذي يوحد، بعد إضافة المخصص added_parser:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

استخدام إصدار معدل من محلل تم نشره في مساحة العمل

يمكن لمستخدمي Microsoft Sentinel تعديل محللات مساحة العمل المنشورة مباشرة. قم بإنشاء محلل استنادًا إلى الأصلي، وقم بالتعليق على الأصلي، ثم أضف الإصدار المعدل إلى محلل التوحيد الذي تم نشره في مساحة العمل.

على سبيل المثال، تظهر التعليمات البرمجية التالية محلل تصفية DNS الموحد، بعد استبدال المحلل vimDnsAzureFirewall بإصدار معدل:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

تكوين المصادر ذات الصلة محلل خاص بالمصدر

تتطلب منك بعض المحللات تحديث قائمة المصادر ذات الصلة بالموزع. على سبيل المثال، قد لا يتمكن المحلل الذي يستخدم بيانات Syslog من تحديد أحداث Syslog ذات الصلة بالموزع. قد يستخدم هذا المحلل قائمة المراقبة Sources_by_SourceType لتحديد المصادر التي ترسل المعلومات ذات الصلة إلى المحلل. بالنسبة لهذه التحليلات، أضف سجلًا لكل مصدر ذي صلة إلى قائمة المشاهدة:

• تعيين الحقل SourceType إلى القيمة المحددة للموزع المحددة في وثائق المحلل.
• تعيين الحقل Source إلى معرف المصدر المستخدم في الأحداث. قد تحتاج إلى الاستعلام عن الجدول الأصلي، مثل Syslog، لتحديد القيمة الصحيحة.

إذا لم يكن لدى النظام قائمة المشاهدة Sources_by_SourceType المنشورة، فوزع قائمة المشاهدة إلى مساحة عمل Microsoft Sentinel من مستودع Microsoft Sentinel GitHub .

الخطوات التالية

تتناول هذه المقالة إدارة محللات نموذج معلومات الأمان المتقدم (ASIM).

تعرف على المزيد حول محللات ASIM:

• نظرة عامة على محللات ASIM
• استخدام محللات ASIM
• تطوير محللات ASIM مخصصة
• قائمة محللات ASIM

تعرف على المزيد حول ASIM بشكل عام:

• شاهد ندوة الإنترنت المُفصَّلة عن محللات تسوية Microsoft Azure Sentinel والمحتوى الذي جرى تسويته أو راجع الشرائح
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدم (ASIM)
• محتوى نموذج معلومات الأمان المتقدم (ASIM)