Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez des analyseurs ASIM (Advanced Security Information Model) au lieu des noms de table dans vos requêtes Microsoft Sentinel pour afficher les données dans un format normalisé et inclure toutes les données pertinentes pour le schéma dans votre requête. Reportez-vous au tableau ci-dessous pour trouver l’analyseur approprié pour chaque schéma.
Analyseurs d’unification
Lorsque vous utilisez ASIM dans vos requêtes, utilisez des analyseurs d’unification pour combiner toutes les sources, normalisées dans le même schéma et les interroger à l’aide de champs normalisés. Le nom de l’analyseur d’unification est _Im_<schema>, où <schema> signifie le schéma spécifique qu’il sert.
Par exemple, la requête suivante utilise l’analyseur DNS d’unification intégré pour interroger les événements DNS à l’aide des ResponseCodeNamechamps normalisés , SrcIpAddret TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
L’exemple utilise des paramètres de filtrage, qui améliorent les performances ASIM. Le même exemple sans filtrage des paramètres se présente comme suit :
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Le tableau suivant répertorie les analyseurs d’unification disponibles :
| Schéma | Analyseur d’unification |
|---|---|
| Événement d’alerte | _Im_AlertEvent |
| Entité de ressource | _Im_AssetEntity |
| Événement d’audit | _Im_AuditEvent |
| Authentification | _Im_Authentication |
| Événement DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Événement de fichier | _Im_FileEvent |
| Session réseau | _Im_NetworkSession |
| Événement de processus | _Im_ProcessCreate _Im_ProcessTerminate |
| Événement de registre | _Im_RegistryEvent |
| User Management | _Im_UserManagement |
| Web Session | _Im_WebSession |
Optimisation de l’analyse à l’aide de paramètres
L’utilisation d’analyseurs peut affecter les performances de votre requête, principalement en filtrant les résultats après l’analyse. Pour cette raison, de nombreux analyseurs ont des paramètres de filtrage facultatifs, qui vous permettent de filtrer avant l’analyse et d’améliorer les performances des requêtes. Avec les efforts d’optimisation et de préfiltrage des requêtes, les analyseurs ASIM offrent souvent de meilleures performances par rapport à l’utilisation de la normalisation du tout.
Lorsque vous appelez l’analyseur, utilisez toujours les paramètres de filtrage disponibles en ajoutant un ou plusieurs paramètres nommés pour garantir des performances optimales des analyseurs ASIM.
Chaque schéma a un ensemble standard de paramètres de filtrage documentés dans la documentation de schéma appropriée. Les paramètres de filtrage sont entièrement facultatifs.
Pour obtenir un exemple d’utilisation d’analyseurs de filtrage, consultez Unification des analyseurs.
Paramètre pack
Pour garantir l’efficacité, les analyseurs gèrent uniquement les champs normalisés. Les champs qui ne sont pas normalisés ont moins de valeur lorsqu’ils sont combinés avec d’autres sources. Certains analyseurs prennent en charge le paramètre pack . Lorsque le paramètre pack est défini sur true, l’analyseur empaquetage des données supplémentaires dans le champ dynamique AdditionalFields .
L’article liste des analyseurs note les analyseurs qui prennent en charge le paramètre pack.
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :