Analizadores del Modelo avanzado de información de seguridad (ASIM) (versión preliminar pública)
En Microsoft Sentinel, el análisis y la normalización tienen lugar en el tiempo de consulta. Los analizadores se crean como funciones definidas por el usuario de KQL que transforman los datos de tablas existentes, como CommonSecurityLog, tablas de registros personalizados o Syslog, al esquema normalizado.
Los usuarios utilizan los analizadores del Modelo avanzado de información de seguridad (ASIM) en lugar de nombres de tabla en sus consultas a fin de ver los datos en un formato normalizado e incluir todos los datos pertinentes para el esquema en una consulta.
Para entender cómo encajan los analizadores en la arquitectura de ASIM, consulte el diagrama de la arquitectura de ASIM.
Importante
ASIM está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Analizadores de ASIM integrados y analizadores implementados en el área de trabajo
Muchos analizadores de ASIM están integrados y disponibles de forma predeterminada en cada área de trabajo de Microsoft Sentinel. ASIM también admite la implementación de analizadores en áreas de trabajo específicas de GitHub mediante una plantilla de ARM o manualmente. Los analizadores integrados y los implementados en el área de trabajo son funcionalmente equivalentes, pero tienen convenciones de nomenclatura ligeramente diferentes, lo que permite que ambos conjuntos de analizadores coexistan en la misma área de trabajo de Microsoft Sentinel.
Cada método tiene ventajas respecto al otro:
| Comparar | Integrada | Implementados en el área de trabajo |
|---|---|---|
| Ventajas | Existen en todas las instancias de Microsoft Sentinel. Utilizables con otro contenido integrado. |
A menudo, los nuevos analizadores se entregan primero como analizadores implementados en el área de trabajo. |
| Desventajas | Los usuarios no pueden modificarlos directamente. Menos analizadores disponibles. |
No los usa el contenido integrado. |
| Cuándo se deben usar | Se usan en la mayoría de los casos en que necesite analizadores de ASIM. | Se usan al implementar nuevos analizadores o para analizadores que aún no están disponibles de forma integrada. |
Se recomienda utilizar los analizadores integrados para los esquemas para los que se dispone de analizadores integrados.
Jerarquía y nomenclatura del analizador
ASIM incluye dos niveles de analizadores: unificadores y específicos del origen. Normalmente, el usuario usa el analizador unificador para el esquema pertinente, lo que garantiza que se consultan todos los datos pertinentes para el esquema. A su vez, el analizador unificador llama a los analizadores específicos del origen para realizar el análisis real y la normalización, que es específica de cada origen.
El nombre del analizador de unificación es _Im_<schema> para los analizadores integrados y im<schema> para los analizadores implementados en el área de trabajo, donde <schema> representa el esquema específico al que sirve. Los analizadores específicos de origen también se pueden usar de forma independiente. Use _Im_<schema>_<source> para analizadores integrados y vim<schema><source> para analizadores implementados en el área de trabajo. Por ejemplo, en un libro específico de Infoblox, use el analizador específico de origen _Im_Dns_InfobloxNIOS. Puede encontrar una lista de analizadores específicos del origen en la lista de analizadores de ASIM.
Sugerencia
También están disponibles un conjunto correspondiente de analizadores que usan _ASim_<schema> y ASim<Schema>. Estos analizadores no admiten parámetros de filtrado y se proporcionan para ayudar a mitigar el problema del selector de hora establecido en un intervalo personalizado. Use esos analizadores solo de forma interactiva en la pantalla de registros, pero no en ningún otro lugar, como por ejemplo en reglas de análisis o libros. Es posible que estos analizadores no se quiten cuando se resuelva el problema.
Sugerencia
La jerarquía de analizadores integrados agrega una capa para admitir la personalización. Vea Administración de los analizadores de ASIM para obtener más información.
Pasos siguientes
Más información sobre los analizadores de ASIM:
- Uso de analizadores de ASIM
- Desarrollo de analizadores de ASIM personalizados
- Administración de analizadores de ASIM
- La lista de analizadores de ASIM
Para obtener más información sobre ASIM, en general, consulte:
- Vea el seminario web de profundización sobre los analizadores de normalización de Microsoft Sentinel y el contenido normalizado o revise las diapositivas
- Introducción al Modelo avanzado de información de seguridad (ASIM)
- Esquemas del Modelo avanzado de información de seguridad (ASIM)
- Contenido del Modelo avanzado de información de seguridad (ASIM)