Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los usuarios del modelo de información de seguridad avanzada (ASIM) usan analizadores de unificación en lugar de nombres de tabla en sus consultas para ver los datos en un formato normalizado y obtener todos los datos relevantes para el esquema en una sola consulta. Cada analizador de unificación usa varios analizadores específicos del origen que controlan los detalles específicos de cada origen.
Para comprender cómo encajan los analizadores dentro de la arquitectura de ASIM, consulte el diagrama de arquitectura de ASIM.
Es posible que tenga que administrar los analizadores específicos de origen que usa cada analizador de unificación para:
Agregue un analizador personalizado específico del origen a un analizador unificador.
Reemplace un analizador integrado específico del origen que usa un analizador unificador por un analizador personalizado específico del origen. Reemplace los analizadores integrados cuando desee:
Use una versión del analizador integrado que no sea la que se usa de forma predeterminada en el analizador de unificación.
Evite las actualizaciones automatizadas conservando la versión del analizador específico de origen usado por el analizador de unificación.
Use una versión modificada de un analizador integrado.
Configure un analizador específico del origen, por ejemplo, para definir los orígenes que envían información relevante para el analizador.
Este artículo le guía a través de la administración de los analizadores.
Requisitos previos
En los procedimientos de este artículo se supone que todos los analizadores específicos del origen ya se han implementado en el área de trabajo de Microsoft Sentinel.
Para obtener más información, consulte Desarrollo de analizadores de ASIM.
Administración de analizadores de unificación integrados
Configurar el área de trabajo
Microsoft Sentinel los usuarios no pueden editar analizadores de unificación integrados. En su lugar, use los mecanismos siguientes para modificar el comportamiento de los analizadores de unificación integrados:
Para admitir la adición de analizadores específicos de origen, ASIM usa analizadores unificadores personalizados. Estos analizadores personalizados se implementan en el área de trabajo y, por tanto, se pueden editar. Los analizadores integrados y unificadores recogen automáticamente estos analizadores personalizados, si existen.
Puede implementar analizadores personalizados iniciales, vacíos y unificadores en el área de trabajo de Microsoft Sentinel para todos los esquemas admitidos o individualmente para esquemas específicos. Para obtener más información, consulte Implementación de analizadores de unificación personalizados vacíos de ASIM iniciales en el repositorio de GitHub Microsoft Sentinel.
Para admitir la exclusión de analizadores específicos del origen integrados, ASIM usa una lista de reproducción. Implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio de GitHub Microsoft Sentinel.
Para definir el tipo de origen para analizadores integrados y personalizados, ASIM usa una lista de reproducción. Implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio de GitHub Microsoft Sentinel.
Adición de un analizador personalizado a un analizador de unificación integrado
Para agregar un analizador personalizado, inserte una línea en el analizador de unificación personalizado para hacer referencia al nuevo analizador personalizado.
Asegúrese de agregar un analizador personalizado de filtrado y un analizador personalizado sin parámetros. Para más información sobre cómo editar analizadores, consulte el documento Funciones en Azure Supervisión de consultas de registro.
La sintaxis de la línea que se va a agregar es diferente para cada esquema:
| Esquema | Analizador | Línea que se va a agregar |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Autenticación | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| UserManagement | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Al agregar un analizador adicional a un analizador personalizado unificador que ya hace referencia a analizadores, asegúrese de agregar una coma al final de la línea anterior.
Por ejemplo, el código siguiente muestra un analizador de unificación personalizado después de haber agregado :added_parser
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Uso de una versión modificada de un analizador integrado
Para modificar un analizador específico del origen integrado existente:
Cree un analizador personalizado basado en el analizador original y agréguelo al analizador integrado. Puede usar la versión implementada del área de trabajo del analizador como punto de partida.
Agregue un registro a la lista de
ASim Disabled Parsersreproducción.Defina el
CallerContextvalor comoExclude<parser name>, donde<parser name>es el nombre de los analizadores de unificación de los que desea excluir el analizador.Defina el
SourceSpecificParservalorExclude<parser name>, donde<parser name>es el nombre del analizador que desea excluir, sin un especificador de versión.
Por ejemplo, para excluir el analizador de DNS de Azure Firewall, agregue el registro siguiente a la lista de reproducción:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Impedir una actualización automatizada de un analizador integrado
Use el siguiente proceso para evitar actualizaciones automáticas para analizadores integrados específicos del origen:
Agregue la versión integrada del analizador que desea usar, como
_Im_Dns_AzureFirewallV02, al analizador de unificación personalizado. Para obtener más información, vea anteriormente Agregar un analizador personalizado a un analizador de unificación integrado.Agregue una excepción para el analizador integrado. Por ejemplo, si desea excluir completamente las actualizaciones automáticas y, por lo tanto, excluir un gran número de analizadores integrados, agregue lo siguiente:
- Registro con
AnycomoSourceSpecificParsercampo, para excluir todos los analizadores deCallerContext. - Un registro de
Anyen CallerContext y losSourceSpecificParsercampos para excluir todos los analizadores integrados.
Para obtener más información, consulte Uso de una versión modificada de un analizador integrado.
Configuración de los orígenes pertinentes para un analizador específico del origen
Algunos analizadores requieren que actualice la lista de orígenes que son relevantes para el analizador. Por ejemplo, es posible que un analizador que usa datos de Syslog no pueda determinar qué eventos de Syslog son relevantes para el analizador. Este analizador puede usar la Sources_by_SourceType lista de reproducción para determinar qué orígenes envían información relevante para el analizador. Para estos análisis, agregue un registro para cada origen pertinente a la lista de reproducción:
- Establezca el
SourceTypecampo en el valor específico del analizador especificado en la documentación del analizador. - Establezca el
Sourcecampo en el identificador del origen usado en los eventos. Es posible que tenga que consultar la tabla original, como Syslog, para determinar el valor correcto.
Si el sistema no tiene implementada la Sources_by_SourceType lista de reproducción, implemente la lista de reproducción en el área de trabajo de Microsoft Sentinel desde el repositorio de GitHub Microsoft Sentinel.
Pasos siguientes
En este artículo se describe cómo administrar los analizadores del modelo de información de seguridad avanzada (ASIM).
Más información sobre los analizadores de ASIM:
- Introducción a los analizadores de ASIM
- Uso de analizadores de ASIM
- Desarrollo de analizadores personalizados de ASIM
- Lista de analizadores de ASIM
Obtenga más información sobre ASIM en general:
- Vea el seminario web de profundización sobre Microsoft Sentinel análisis de normalización y contenido normalizado o revise las diapositivas.
- Introducción al modelo de información de seguridad avanzada (ASIM)
- Esquemas del modelo de información de seguridad avanzada (ASIM)
- Contenido del modelo de información de seguridad avanzada (ASIM)