Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use analizadores del modelo de información de seguridad avanzada (ASIM) en lugar de nombres de tabla en las consultas de Microsoft Sentinel para ver los datos en un formato normalizado e incluir todos los datos relevantes para el esquema en la consulta. Consulte la tabla siguiente para encontrar el analizador correspondiente para cada esquema.
Unificar analizadores
Al usar ASIM en las consultas, use analizadores de unificación para combinar todos los orígenes, normalizados en el mismo esquema y consultarlos mediante campos normalizados. El nombre del analizador unificador es _Im_<schema>, donde <schema> significa el esquema específico que sirve.
Por ejemplo, la consulta siguiente usa el analizador de DNS unificador integrado para consultar eventos DNS mediante los ResponseCodeNamecampos , SrcIpAddry TimeGenerated normalizados:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En el ejemplo se usan parámetros de filtrado, que mejoran el rendimiento de ASIM. El mismo ejemplo sin filtrar parámetros tendría este aspecto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
En la tabla siguiente se enumeran los analizadores de unificación disponibles:
| Esquema | Unificar analizador |
|---|---|
| Evento de alerta | _Im_AlertEvent |
| Entidad de recurso | _Im_AssetEntity |
| Audit (evento) | _Im_AuditEvent |
| Autenticación | _Im_Authentication |
| Evento DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| File (evento) | _Im_FileEvent |
| Sesión de red | _Im_NetworkSession |
| Evento Process | _Im_ProcessCreate _Im_ProcessTerminate |
| Evento del Registro | _Im_RegistryEvent |
| User Management | _Im_UserManagement |
| Sesión web | _Im_WebSession |
Optimización del análisis mediante parámetros
El uso de analizadores puede afectar al rendimiento de la consulta, principalmente al filtrar los resultados después del análisis. Por este motivo, muchos analizadores tienen parámetros de filtrado opcionales, que permiten filtrar antes de analizar y mejorar el rendimiento de las consultas. Con los esfuerzos de optimización y prefiltrado de consultas, los analizadores de ASIM a menudo proporcionan un mejor rendimiento en comparación con no usar normalización en absoluto.
Al invocar el analizador, use siempre los parámetros de filtrado disponibles agregando uno o varios parámetros con nombre para garantizar el rendimiento óptimo de los analizadores de ASIM.
Cada esquema tiene un conjunto estándar de parámetros de filtrado documentados en la documentación de esquema pertinente. Los parámetros de filtrado son totalmente opcionales.
Para obtener un ejemplo del uso de analizadores de filtrado, vea Unifying parsers(Unifying parsers).
El parámetro pack
Para garantizar la eficacia, los analizadores solo mantienen campos normalizados. Los campos que no se normalizan tienen menos valor cuando se combinan con otros orígenes. Algunos analizadores admiten el parámetro pack . Cuando el parámetro pack se establece en true, el analizador empaquetará datos adicionales en el campo dinámico AdditionalFields .
En la lista de analizadores se enumeran los analizadores de notas que admiten el parámetro pack .
Contenido relacionado
Para más información, vea: