استخدام نموذج معلومات الأمان المتقدم (ASIM) (معاينة عامة)

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

استخدم محللات نموذج معلومات الأمان المتقدمة (ASIM) بدلا من أسماء الجداول في استعلامات Microsoft Sentinel لعرض البيانات بتنسيق تمت تسويتها وتضمين جميع البيانات ذات الصلة بالمخطط في الاستعلام. راجع الجدول أدناه للعثور على المحلل ذي الصلة لكل مخطط.

هام

ASIM قيد المعاينة حاليا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

توحيد المحللات

عند استخدام ASIM في الاستعلامات الخاصة بك، استخدم تحليلات توحيد لدمج جميع المصادر، وتسوية إلى نفس المخطط، والاستعلام عنها باستخدام الحقول التي تمت تسويتها. اسم المحلل الموحد هو _Im_<schema> للمحللات المضمنة وللناشرين im<schema> في مساحة العمل، حيث <schema> يرمز إلى المخطط المحدد الذي يخدمه.

على سبيل المثال، يستخدم الاستعلام التالي محلل DNS الموحد المضمن للاستعلام عن أحداث DNS باستخدام ResponseCodeNameالحقول و SrcIpAddrو التي TimeGenerated تمت تسويتها:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

يستخدم المثال معلمات التصفية، والتي تحسن أداء ASIM. سيبدو المثال نفسه دون تصفية المعلمات كما يلي:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

ملاحظة

عند استخدام محللات ASIM في صفحة السجلات ، يتم تعيين محدد النطاق الزمني إلى custom. لا يزال بإمكانك تعيين النطاق الزمني بنفسك. بدلا من ذلك، حدد النطاق الزمني باستخدام معلمات المحلل.

يسرد الجدول التالي محللات التوحيد المتوفرة:

المخطط	محلل توحيد
المصادقة	imAuthentication
Dns	_Im_Dns
حدث الملف	حدث imFileEvent
جلسة عمل الشبكة	_Im_NetworkSession
حدث العملية	- imProcessCreate - imProcessTerminate
حدث التسجيل	imRegistry
جلسة عمل ويب	_Im_WebSession

تحسين التحليل باستخدام المعلمات

قد يؤثر استخدام المحللات على أداء الاستعلام، بشكل أساسي من تصفية النتائج بعد التحليل. لهذا السبب، لدى العديد من المحللات معلمات تصفية اختيارية، والتي تمكنك من التصفية قبل تحليل أداء الاستعلام وتحسينه. مع تحسين الاستعلام وجهود التصفية المسبقة، غالبا ما يوفر محللات ASIM أداء أفضل مقارنة بعدم استخدام التطبيع على الإطلاق.

عند استدعاء المحلل، استخدم دائما معلمات التصفية المتوفرة عن طريق إضافة معلمة واحدة أو أكثر مسماة لضمان الأداء الأمثل لموزعي ASIM.

يحتوي كل مخطط على مجموعة قياسية من معلمات التصفية الموثقة في وثائق المخطط ذات الصلة. معلمات التصفية اختيارية تماما. تدعم المخططات التالية معلمات التصفية:

• المصادقة
• DNS
• جلسة عمل الشبكة
• جلسة عمل ويب

غالبا ما يكون كل مخطط يدعم معلمات التصفية يدعم المعلمات و enttime على الأقل starttime واستخدامها أمرا بالغ الأهمية لتحسين الأداء.

للحصول على مثال لاستخدام محللات التصفية، راجع توحيد المحللات أعلاه.

الخطوات التالية

تعرف على المزيد حول محللات ASIM:

• نظرة عامة على محللات ASIM
• إدارة محللات ASIM
• تطوير محللات ASIM المخصصة
• قائمة محللات ASIM

تعرف على المزيد حول ASIM بشكل عام:

• شاهد مؤتمر ويب Deep Dive على Microsoft Sentinel Normalizing Parsers and Normalized Content أو راجع الشرائح
• نظرة عامة على نموذج معلومات الأمان المتقدم (ASIM)
• مخططات نموذج معلومات الأمان المتقدمة (ASIM)
• محتوى نموذج معلومات الأمان المتقدم (ASIM)