Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Käytä ASIM (Advanced Security Information Model) -jäsentimiä taulukoiden nimien sijaan Microsoft Sentinel kyselyissä, kun haluat tarkastella tietoja normalisoidussa muodossa ja sisällyttää kyselyyn kaikki rakenteeseen liittyvät tiedot. Katso alla olevasta taulukosta kunkin rakenteen asianmukainen jäsennin.
Jäsennysten yhtenäistäminen
Kun käytät ASIM:iä kyselyissäsi, yhdistä jäsennystoiminnoilla kaikki lähteet, jotka normalisoidaan samaan rakenteeseen, ja tee niille kyselyjä käyttämällä normalisoituja kenttiä. Yhtenäistävä jäsentimen nimi on _Im_<schema>, joka <schema> edustaa sen palvelemaa tiettyä rakennetta.
Esimerkiksi seuraava kysely käyttää sisäistä DNS-jäsennystä DNS-jäsentimen kyselyihin DNS-tapahtumia varten käyttämällä ResponseCodeName, SrcIpAddr- ja TimeGenerated normalisoituja kenttiä:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Esimerkissä käytetään suodatusparametreja, jotka parantavat ASIM-suorituskykyä. Sama esimerkki ilman suodatusparametreja näyttäisi tältä:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Seuraavassa taulukossa on luettelo käytettävissä olevista yhtenäistämisen jäsennyksistä:
| Rakenteen | Jäsentimen yhtenäistäminen |
|---|---|
| Ilmoitustapahtuma | _Im_AlertEvent |
| Kohteen kohde | _Im_AssetEntity |
| Valvontatapahtuma | _Im_AuditEvent |
| Todennus | _Im_Authentication |
| DHCP-tapahtuma | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Tiedostotapahtuma | _Im_FileEvent |
| Verkkoistunto | _Im_NetworkSession |
| Prosessitapahtuma | _Im_ProcessCreate _Im_ProcessTerminate |
| Rekisteritapahtuma | _Im_RegistryEvent |
| Käyttäjien hallinta | _Im_UserManagement |
| WWW-istunto | _Im_WebSession |
Jäsennysten optimointi parametrien avulla
Jäsennysten käyttäminen voi vaikuttaa kyselyn suorituskykyyn, pääasiassa suodattamalla tuloksia jäsennysten jälkeen. Tästä syystä monilla jäsennyksillä on valinnaisia suodatusparametreja, joiden avulla voit suodattaa ennen jäsennystä ja parantaa kyselyn suorituskykyä. Kyselyjen optimoinnin ja esisuodatustoimien ansiosta ASIM-jäsentimet tarjoavat usein paremman suorituskyvyn verrattuna siihen, että normalisointia ei käytetä lainkaan.
Käytä jäsennintä kutsuessasi aina käytettävissä olevia suodatusparametreja lisäämällä yksi tai useampi nimetty parametri ASIM-jäsentimien optimaalisen suorituskyvyn varmistamiseksi.
Jokaisella rakenteella on vakiojoukko suodatusparametreja, jotka on dokumentoitu asiaan liittyvässä rakennedokumentaatiossa. Suodatusparametrit ovat täysin valinnaisia.
Jos haluat esimerkiksi käyttää suodatuksen jäsentimiä, katso Jäsentimien yhtenäistäminen.
Pack-parametri
Tehokkuuden varmistamiseksi jäsentimet säilyttävät vain normalisoidut kentät. Kentillä, joita ei normalisoida, on vähemmän arvoa yhdistettynä muihin lähteisiin. Jotkin jäsentimet tukevat pack-parametria . Kun pack-parametrin asetuksena trueon , jäsennin pakkaa lisätiedot dynaamiseen AdditionalFields-kenttään .
Jäsentäjien luetteloartikkelin muistiinpanojen jäsennykset, jotka tukevat pakettiparametria.
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: