Advanced Security Information Model (ASIM) elemzők kezelése (nyilvános előzetes verzió)
Az Advanced Security Information Model (ASIM) felhasználók egyesítő elemzőket használnak a lekérdezéseikben szereplő táblanevek helyett, hogy normalizált formátumban tekintsék meg az adatokat, és egyetlen lekérdezésben lekérjék a sémához kapcsolódó összes adatot. Minden egyes egyesítő elemző több forrásspecifikus elemzőt használ, amelyek az egyes források konkrét részleteit kezelik.
Az elemzők ASIM-architektúrán belüli illeszkedéséről az ASIM-architektúra diagramjában tájékozódhat.
Előfordulhat, hogy az egyes egyes egyesítő elemzők által használt forrásspecifikus elemzőket a következőkhöz kell kezelnie:
Adjon hozzá egy egyéni, forrásspecifikus elemzőt egy egységesítő elemzőhöz.
Cserélje le az egyesítő elemzők által használt beépített, forrásspecifikus elemzőt egy egyéni, forrásspecifikus elemzőre. Cserélje le a beépített elemzőket a következő esetekben:
Az egységesítő elemzőben alapértelmezés szerint használttól eltérő beépített elemzőt használjon.
Az automatikus frissítések megakadályozásához őrizze meg az egységesítő elemző által használt forrásspecifikus elemző verzióját.
Beépített elemző módosított verzióját használja.
Konfiguráljon egy forrásspecifikus elemzőt, például az elemzőre vonatkozó információkat küldő források meghatározásához.
Ez a cikk végigvezeti az elemzők kezelésén, legyen szó beépített, egységesítő ASIM-elemzőkről vagy munkaterületen üzembe helyezett egyesítési elemzőkről.
Fontos
Az ASIM jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.
Előfeltételek
A cikkben szereplő eljárások feltételezik, hogy az összes forrásspecifikus elemző már üzembe lett helyezve a Microsoft Sentinel-munkaterületen.
További információ: ASIM-elemzők fejlesztése.
Beépített egységesítő elemzők kezelése
A munkaterület beállítása
A Microsoft Sentinel felhasználói nem szerkeszthetik a beépített egységesítő elemzőket. Ehelyett használja az alábbi mechanizmusokat a beépített egységesítő elemzők viselkedésének módosításához:
A forrásspecifikus elemzők hozzáadásának támogatásához az ASIM egységesítő, egyéni elemzőket használ. Ezek az egyéni elemzők munkaterületen vannak üzembe helyezve, ezért szerkeszthetők. A beépített, egységesítő elemzők automatikusan felveszik ezeket az egyéni elemzőket, ha léteznek.
Kezdeti, üres, egységesítő egyéni elemzőket helyezhet üzembe a Microsoft Sentinel-munkaterületen az összes támogatott sémához, vagy egyenként adott sémákhoz. További információ: Kezdeti ASIM üres egyéni egyesítési elemzők üzembe helyezése a Microsoft Sentinel GitHub-adattárban.
A beépített forrásspecifikus elemzők kizárásának támogatásához az ASIM egy figyelőlistát használ. Helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .
A beépített és egyéni elemzők forrástípusának meghatározásához az ASIM egy figyelőlistát használ. Helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .
Egyéni elemző hozzáadása egy beépített egyesítési elemzőhöz
Egyéni elemző hozzáadásához szúrjon be egy sort az egyéni egyesítési elemzőbe, hogy hivatkozzon az új egyéni elemzőre.
Adjon hozzá egy szűrő egyéni elemzőt és egy paraméter nélküli egyéni elemzőt is. Ha többet szeretne megtudni az elemzők szerkesztéséről, tekintse meg a Functions in Azure Monitor log queries (Függvények az Azure Monitor napló lekérdezéseiben) című dokumentumot.
A hozzáadni kívánt sor szintaxisa az egyes sémákhoz eltérő:
Séma | Elemző | Hozzáadandó sor |
---|---|---|
DNS | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Ha további elemzőt ad hozzá egy olyan egységesítő egyéni elemzőhöz, amely már hivatkozik az elemzőkre, győződjön meg arról, hogy az előző sor végén vesszőt ad hozzá.
A következő kód például egy egyéni egyesítési elemzőt jelenít meg, miután hozzáadta a következőt added_parser
:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Beépített elemző módosított verziójának használata
Meglévő, beépített forrásspecifikus elemző módosítása:
Hozzon létre egy egyéni elemzőt az eredeti elemző alapján, és adja hozzá a beépített elemzőhöz.
Adjon hozzá egy rekordot a
ASim Disabled Parsers
figyelőlistához.Adja meg az
CallerContext
értéket a következőként:Exclude<parser name>
, ahol<parser name>
azoknak az egyesítő elemzőknek a neve, amelyekből ki szeretné zárni az elemzőt.Adja meg a
SourceSpecificParser
értéketExclude<parser name>
, ahol<parser name>
a kizárni kívánt elemző neve, verziókijelölő nélkül.
Ha például ki szeretné zárni a Azure Firewall DNS-elemzőt, adja hozzá a következő rekordot a figyelőlistához:
Hívószöveg | SourceSpecificParser |
---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Beépített elemző automatikus frissítésének megakadályozása
Az alábbi eljárással megakadályozhatja a beépített, forrásspecifikus elemzők automatikus frissítéseit:
Adja hozzá a használni kívánt beépített elemzőverziót(például
_Im_Dns_AzureFirewallV02
) az egyéni egyesítési elemzőhöz. További információ: Egyéni elemző hozzáadása egy beépített egységesítő elemzőhöz.Adjon hozzá egy kivételt a beépített elemzőhöz. Ha például teljesen le szeretné tiltani az automatikus frissítéseket, és ezért nagyszámú beépített elemzőt szeretne kizárni, adja hozzá a következőt:
- Egy mezővel rendelkező
Any
SourceSpecificParser
rekord, amely kizárja az összes elemzőt aCallerContext
mezőből. - A CallerContext rekordja
Any
és aSourceSpecificParser
mezők, amelyek kizárják az összes beépített elemzőt.
További információ: Beépített elemző módosított verziójának használata.
Munkaterületen üzembe helyezett egységesítő elemzők kezelése
Egyéni elemző hozzáadása egy munkaterületen üzembe helyezett egységesítő elemzőhöz
Egyéni elemző hozzáadásához szúrjon be egy sort a union
munkaterületen üzembe helyezett egységesítő elemzőben lévő utasításba, amely az új egyéni elemzőre hivatkozik.
Adjon hozzá egy szűrő egyéni elemzőt és egy paraméter nélküli egyéni elemzőt is. A hozzáadni kívánt sor szintaxisa az egyes sémákhoz eltérő:
Séma | Elemző | Hozzáadandó sor |
---|---|---|
Hitelesítés | ImAuthentication |
_parser_name_ (starttime, endtime, targetusername_has) |
DNS | ImDns |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
Fájlesemény | imFileEvent |
_parser_name_ |
Hálózati munkamenet | imNetworkSession |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult) |
Folyamatesemény | - imProcess - imProcessCreate - imProcessTerminate |
_parser_name_ |
Beállításjegyzék-esemény | imRegistry |
_parser_name_ |
Webes munkamenet | imWebSession |
_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Ha további elemzőt ad hozzá egy egységesítő elemzőhöz, mindenképpen adjon hozzá vesszőt az előző sor végén.
Az alábbi példa például a DNS-szűrés egységesítő elemzőt mutatja be az egyéni added_parser
elemző hozzáadása után:
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
, vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Munkaterületen üzembe helyezett elemző módosított verziójának használata
A Microsoft Sentinel felhasználói közvetlenül módosíthatják a munkaterületen üzembe helyezett elemzőket. Hozzon létre egy elemzőt az eredeti alapján, tegye megjegyzésbe az eredetit, majd adja hozzá a módosított verziót a munkaterületen üzembe helyezett egységesítő elemzőhöz.
Az alábbi kód például egy DNS-szűrést egyesítő elemzőt mutat be, amely módosított verzióra cserélte az vimDnsAzureFirewall
elemzőt:
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
// , vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Forrásspecifikus elemzőhöz kapcsolódó források konfigurálása
Egyes elemzők esetében frissítenie kell az elemző szempontjából releváns források listáját. Előfordulhat például, hogy egy Syslog-adatokat használó elemző nem tudja meghatározni, hogy mely Syslog-események relevánsak az elemző számára. Az ilyen elemzők a Sources_by_SourceType
figyelőlistát használhatják annak meghatározására, hogy mely források küldenek releváns információkat az elemző számára. Ilyen elemzések esetén adjon hozzá egy rekordot minden releváns forráshoz a figyelőlistához:
- Állítsa a
SourceType
mezőt az elemző dokumentációjában megadott elemzőspecifikus értékre. - Állítsa a
Source
mezőt az eseményekben használt forrás azonosítójára. Előfordulhat, hogy le kell kérdeznie az eredeti táblát, például a Syslogot a megfelelő érték meghatározásához.
Ha a rendszerben nincs telepítve a Sources_by_SourceType
figyelőlista, helyezze üzembe a figyelőlistát a Microsoft Sentinel-munkaterületen a Microsoft Sentinel GitHub-adattárból .
Következő lépések
Ez a cikk az Advanced Security Information Model (ASIM) elemzők kezelését ismerteti.
További információk az ASIM-elemzőkről:
- Az ASIM-elemzők áttekintése
- Az ASIM-elemzők használata
- Egyéni ASIM-elemzők fejlesztése
- Az ASIM-elemzők listája
További információ az ASIM-ről általában:
- Tekintse meg a Mély merülés webináriumot a Microsoft Sentinel Normalizing Parsers és Normalized Content webhelyen , vagy tekintse át a diákat
- Az Advanced Security Information Model (ASIM) áttekintése
- Speciális biztonsági információs modell (ASIM) sémái
- Speciális biztonsági információs modell (ASIM) tartalma