Advanced Security Information Model (ASIM) elemzők kezelése (nyilvános előzetes verzió)

Az Advanced Security Information Model (ASIM) felhasználók egyesítő elemzőket használnak a lekérdezéseikben szereplő táblanevek helyett, hogy normalizált formátumban tekintsék meg az adatokat, és egyetlen lekérdezésben lekérjék a sémához kapcsolódó összes adatot. Minden egyes egyesítő elemző több forrásspecifikus elemzőt használ, amelyek az egyes források konkrét részleteit kezelik.

Az elemzők ASIM-architektúrán belüli illeszkedéséről az ASIM-architektúra diagramjában tájékozódhat.

Előfordulhat, hogy az egyes egyes egyesítő elemzők által használt forrásspecifikus elemzőket a következőkhöz kell kezelnie:

• Adjon hozzá egy egyéni, forrásspecifikus elemzőt egy egységesítő elemzőhöz.

• Cserélje le az egyesítő elemzők által használt beépített, forrásspecifikus elemzőt egy egyéni, forrásspecifikus elemzőre. Cserélje le a beépített elemzőket a következő esetekben:

  • Az egységesítő elemzőben alapértelmezés szerint használttól eltérő beépített elemzőt használjon.

  • Az automatikus frissítések megakadályozásához őrizze meg az egységesítő elemző által használt forrásspecifikus elemző verzióját.

  • Beépített elemző módosított verzióját használja.

• Konfiguráljon egy forrásspecifikus elemzőt, például az elemzőre vonatkozó információkat küldő források meghatározásához.

Ez a cikk végigvezeti az elemzők kezelésén, legyen szó beépített, egységesítő ASIM-elemzőkről vagy munkaterületen üzembe helyezett egyesítési elemzőkről.

Fontos

Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

A cikkben szereplő eljárások feltételezik, hogy az összes forrásspecifikus elemző már üzembe lett helyezve a Microsoft Sentinel-munkaterületen.

További információ: ASIM-elemzők fejlesztése.

Beépített egységesítő elemzők kezelése

A munkaterület beállítása

A Microsoft Sentinel felhasználói nem szerkeszthetik a beépített egységesítő elemzőket. Ehelyett használja az alábbi mechanizmusokat a beépített egységesítő elemzők viselkedésének módosításához:

• A forrásspecifikus elemzők hozzáadásának támogatásához az ASIM egységesítő, egyéni elemzőket használ. Ezek az egyéni elemzők munkaterületen vannak üzembe helyezve, ezért szerkeszthetők. A beépített, egységesítő elemzők automatikusan felveszik ezeket az egyéni elemzőket, ha léteznek.

  Kezdeti, üres, egységesítő egyéni elemzőket helyezhet üzembe a Microsoft Sentinel-munkaterületen az összes támogatott sémához, vagy egyenként adott sémákhoz. További információ: Kezdeti ASIM üres egyéni egyesítési elemzők üzembe helyezése a Microsoft Sentinel GitHub-adattárban.

• A beépített forrásspecifikus elemzők kizárásának támogatásához az ASIM egy figyelőlistát használ. Helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .

• A beépített és egyéni elemzők forrástípusának meghatározásához az ASIM egy figyelőlistát használ. Helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .

Egyéni elemző hozzáadása egy beépített egyesítési elemzőhöz

Egyéni elemző hozzáadásához szúrjon be egy sort az egyéni egyesítési elemzőbe, hogy hivatkozzon az új egyéni elemzőre.

Adjon hozzá egy szűrő egyéni elemzőt és egy paraméter nélküli egyéni elemzőt is. Ha többet szeretne megtudni az elemzők szerkesztéséről, tekintse meg a Functions in Azure Monitor log queries (Függvények az Azure Monitor napló lekérdezéseiben) című dokumentumot.

A hozzáadni kívánt sor szintaxisa az egyes sémákhoz eltérő:

Séma	Elemző	Hozzáadandó sor
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ha további elemzőt ad hozzá egy olyan egységesítő egyéni elemzőhöz, amely már hivatkozik az elemzőkre, győződjön meg arról, hogy az előző sor végén vesszőt ad hozzá.

A következő kód például egy egyéni egyesítési elemzőt jelenít meg, miután hozzáadta a következőt added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Beépített elemző módosított verziójának használata

Meglévő, beépített forrásspecifikus elemző módosítása:

1. Hozzon létre egy egyéni elemzőt az eredeti elemző alapján, és adja hozzá a beépített elemzőhöz.

2. Adjon hozzá egy rekordot a ASim Disabled Parsers figyelőlistához.

3. Adja meg az CallerContext értéket a következőként: Exclude<parser name>, ahol <parser name> azoknak az egyesítő elemzőknek a neve, amelyekből ki szeretné zárni az elemzőt.

4. Adja meg a SourceSpecificParser értéket Exclude<parser name>, ahol <parser name>a kizárni kívánt elemző neve, verziókijelölő nélkül.

Ha például ki szeretné zárni a Azure Firewall DNS-elemzőt, adja hozzá a következő rekordot a figyelőlistához:

Hívószöveg	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Beépített elemző automatikus frissítésének megakadályozása

Az alábbi eljárással megakadályozhatja a beépített, forrásspecifikus elemzők automatikus frissítéseit:

1. Adja hozzá a használni kívánt beépített elemzőverziót(például _Im_Dns_AzureFirewallV02) az egyéni egyesítési elemzőhöz. További információ: Egyéni elemző hozzáadása egy beépített egységesítő elemzőhöz.

2. Adjon hozzá egy kivételt a beépített elemzőhöz. Ha például teljesen le szeretné tiltani az automatikus frissítéseket, és ezért nagyszámú beépített elemzőt szeretne kizárni, adja hozzá a következőt:

• Egy mezővel rendelkező AnySourceSpecificParser rekord, amely kizárja az összes elemzőt a CallerContextmezőből.
• A CallerContext rekordja Any és a SourceSpecificParser mezők, amelyek kizárják az összes beépített elemzőt.

További információ: Beépített elemző módosított verziójának használata.

Munkaterületen üzembe helyezett egységesítő elemzők kezelése

Egyéni elemző hozzáadása egy munkaterületen üzembe helyezett egységesítő elemzőhöz

Egyéni elemző hozzáadásához szúrjon be egy sort a union munkaterületen üzembe helyezett egységesítő elemzőben lévő utasításba, amely az új egyéni elemzőre hivatkozik.

Adjon hozzá egy szűrő egyéni elemzőt és egy paraméter nélküli egyéni elemzőt is. A hozzáadni kívánt sor szintaxisa az egyes sémákhoz eltérő:

Séma	Elemző	Hozzáadandó sor
Hitelesítés	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Fájlesemény	imFileEvent	_parser_name_
Hálózati munkamenet	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
Folyamatesemény	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Beállításjegyzék-esemény	imRegistry	_parser_name_
Webes munkamenet	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ha további elemzőt ad hozzá egy egységesítő elemzőhöz, mindenképpen adjon hozzá vesszőt az előző sor végén.

Az alábbi példa például a DNS-szűrés egységesítő elemzőt mutatja be az egyéni added_parserelemző hozzáadása után:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Munkaterületen üzembe helyezett elemző módosított verziójának használata

A Microsoft Sentinel felhasználói közvetlenül módosíthatják a munkaterületen üzembe helyezett elemzőket. Hozzon létre egy elemzőt az eredeti alapján, tegye megjegyzésbe az eredetit, majd adja hozzá a módosított verziót a munkaterületen üzembe helyezett egységesítő elemzőhöz.

Az alábbi kód például egy DNS-szűrést egyesítő elemzőt mutat be, amely módosított verzióra cserélte az vimDnsAzureFirewall elemzőt:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Forrásspecifikus elemzőhöz kapcsolódó források konfigurálása

Egyes elemzők esetében frissítenie kell az elemző szempontjából releváns források listáját. Előfordulhat például, hogy egy Syslog-adatokat használó elemző nem tudja meghatározni, hogy mely Syslog-események relevánsak az elemző számára. Az ilyen elemzők a Sources_by_SourceType figyelőlistát használhatják annak meghatározására, hogy mely források küldenek releváns információkat az elemző számára. Ilyen elemzések esetén adjon hozzá egy rekordot minden releváns forráshoz a figyelőlistához:

• Állítsa a SourceType mezőt az elemző dokumentációjában megadott elemzőspecifikus értékre.
• Állítsa a Source mezőt az eseményekben használt forrás azonosítójára. Előfordulhat, hogy le kell kérdeznie az eredeti táblát, például a Syslogot a megfelelő érték meghatározásához.

Ha a rendszerben nincs telepítve a Sources_by_SourceType figyelőlista, helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .

Következő lépések

Ez a cikk az Advanced Security Information Model (ASIM) elemzők kezelését ismerteti.

További információk az ASIM-elemzőkről:

• Az ASIM-elemzők áttekintése
• Az ASIM-elemzők használata
• Egyéni ASIM-elemzők fejlesztése
• Az ASIM-elemzők listája

További információ az ASIM-ről általában:

• Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content webhelyen , vagy tekintse át a diákat
• Az Advanced Security Information Model (ASIM) áttekintése
• Speciális biztonsági információs modell (ASIM) sémái
• Speciális biztonsági információs modell (ASIM) tartalma