Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel kyselyn aikana tapahtuu jäsennys ja normalisointi. Jäsennykset luodaan KQL:n määrittäminä funktioina , jotka muuntavat olemassa olevien taulukoiden, kuten CommonSecurityLog-, mukautetut lokitaulukot tai Syslog, tiedot normalisoituun rakenteeseen.
Käyttäjät käyttävät kyselyissään ASIM (Advanced Security Information Model) -jäsentimiä taulukoiden nimien sijaan tarkastellakseen tietoja normalisoidussa muodossa ja sisällyttääkseen kyselyyn kaikki rakenteeseen liittyvät tiedot.
Jos haluat tietää, miten jäsentimet mahtuvat ASIM-arkkitehtuuriin, tutustu ASIM-arkkitehtuurikaavioon.
Sisäiset ASIM-jäsennykset ja työtilassa käyttöönotetut jäsennykset
ASIM-jäsentimet ovat valmiita ja valmiita kaikissa Microsoft Sentinel työtilassa.
ASIM tukee myös jäsentimien käyttöönottoa tietyissä GitHubin työtiloissa ARM-mallin avulla. Työtilan käyttöönotetut jäsentimet ovat KÄYTÖSSÄ ASIM-jäsentimen kehittämisessä ja hallinnassa. Työtilan käyttöönotetut jäsennykset ovat toiminnallisesti toisiaan vastaavia, mutta niillä on hieman erilaiset nimeämiskäytännöt, joten molemmat jäsenninjoukot voivat olla olemassa rinnakkain valmiiden jäsennysten kanssa samassa Microsoft Sentinel työtilassa. Lue lisää työtilan käyttöönottamisesta jäsennyksistä niiden käyttöönottoa, käyttöä ja hallintaa vastaan.
On suositeltavaa käyttää sisäisiä jäsennystoiminnoja ASIM-sisällön kehittämisessä. Käyttöön otettuja työtilan jäsentimiä käytetään yleensä jäsennysprosessin aikana tai mukautettujen versioiden tarjoamiseksi sisäisistä jäsennyksistä jäsentimien hallinnassa kuvatulla tavalla
Jäsennyshierarkia ja nimeäminen
ASIM sisältää kaksi jäsennintasoa: jäsentimen ja lähdekohtaisten jäsennysten yhdistämisen. Käyttäjä käyttää yleensä yhtenäistä jäsennintä asianmukaisessa rakenteessa ja varmistaa, että kaikkiin rakenteeseen merkityksellisiin tietoihin tehdään kyselyjä. Yhdistävä jäsennin puolestaan kutsuu lähdekohtaisia jäsennintoimintoja suorittamaan kullekin lähteelle määritetyn varsinaisen jäsennyksen ja normalisoinnin.
Yhtenäistävä jäsentimen nimi on _Im_<schema> paikka, joka <schema> edustaa sen palvelemaa tiettyä rakennetta. Lähdekohtaisia jäsentimiä voidaan käyttää myös itsenäisesti. Niiden nimeämiskäytäntö on _Im_<schema>_<source>V<version>. Lähdekohtaisten jäsennysten luettelo löytyy ASIM-jäsennysluettelosta.
Huomautus
Vastaava jäsenninjoukko, joka käyttää .:a _ASim_<schema>. Nämä jäsentimet eivät tue suodatusparametreja, ja ne on tarkoitettu yhteensopivuuteen aiempien versioiden kanssa.
Vihje
Jäsenninhierarkia lisää tason tukemaan mukauttamista. Lisätietoja on artikkelissa ASIM-jäsentimien hallinta.
Seuraavat vaiheet
Lisätietoja ASIM-jäsennyksistä:
- ASIM-jäsennysten käyttäminen
- Mukautettujen ASIM-jäsennysten kehittäminen
- ASIM-jäsennysten hallinta
- ASIM-jäsennysluettelo
Lisätietoja ASIM:stä on yleensä seuraavissa aiheissa: