Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les utilisateurs du modèle ASIM (Advanced Security Information Model) utilisent des analyseurs d’unification au lieu des noms de tables dans leurs requêtes, pour afficher les données dans un format normalisé et obtenir toutes les données pertinentes pour le schéma dans une seule requête. Chaque analyseur d’unification utilise plusieurs analyseurs spécifiques à la source qui gèrent les détails spécifiques de chaque source.
Pour comprendre comment les analyseurs s’intègrent dans l’architecture ASIM, reportez-vous au diagramme de l’architecture ASIM.
Vous devrez peut-être gérer les analyseurs spécifiques à la source utilisés par chaque analyseur d’unification pour :
Ajoutez un analyseur personnalisé spécifique à la source à un analyseur d’unification.
Remplacez un analyseur intégré et spécifique à la source utilisé par un analyseur d’unification par un analyseur personnalisé spécifique à la source. Remplacez les analyseurs intégrés lorsque vous souhaitez :
Utilisez une version de l’analyseur intégré autre que celle utilisée par défaut dans l’analyseur d’unification.
Empêchez les mises à jour automatisées en conservant la version de l’analyseur spécifique à la source utilisée par l’analyseur d’unification.
Utilisez une version modifiée d’un analyseur intégré.
Configurez un analyseur spécifique à la source, par exemple pour définir les sources qui envoient des informations pertinentes pour l’analyseur.
Cet article vous guide tout au long de la gestion de vos analyseurs.
Configuration requise
Les procédures décrites dans cet article supposent que tous les analyseurs spécifiques à la source ont déjà été déployés dans votre espace de travail Microsoft Sentinel.
Pour plus d’informations, consultez Développer des analyseurs ASIM.
Gérer les analyseurs d’unification intégrés
Configurer votre espace de travail
Microsoft Sentinel utilisateurs ne peuvent pas modifier les analyseurs d’unification intégrés. Utilisez plutôt les mécanismes suivants pour modifier le comportement des analyseurs d’unification intégrés :
Pour prendre en charge l’ajout d’analyseurs spécifiques à la source, ASIM utilise des analyseurs personnalisés d’unification. Ces analyseurs personnalisés sont déployés dans un espace de travail et peuvent donc être modifiés. Les analyseurs intégrés d’unification sélectionnent automatiquement ces analyseurs personnalisés, s’ils existent.
Vous pouvez déployer des analyseurs personnalisés initial, vides et unifiant dans votre espace de travail Microsoft Sentinel pour tous les schémas pris en charge, ou individuellement pour des schémas spécifiques. Pour plus d’informations, consultez Déployer des analyseurs d’unification personnalisés ASIM vides initiaux dans le dépôt GitHub Microsoft Sentinel.
Pour prendre en charge l’exclusion des analyseurs spécifiques à la source intégrés, ASIM utilise une watchlist. Déployez la watchlist sur votre espace de travail Microsoft Sentinel à partir du dépôt GitHub Microsoft Sentinel.
Pour définir le type de source pour les analyseurs intégrés et personnalisés, ASIM utilise une watchlist. Déployez la watchlist sur votre espace de travail Microsoft Sentinel à partir du dépôt GitHub Microsoft Sentinel.
Ajouter un analyseur personnalisé à un analyseur d’unification intégré
Pour ajouter un analyseur personnalisé, insérez une ligne dans l’analyseur d’unification personnalisé pour référencer le nouvel analyseur personnalisé.
Veillez à ajouter un analyseur personnalisé de filtrage et un analyseur personnalisé sans paramètre. Pour en savoir plus sur la modification des analyseurs, reportez-vous au document Fonctions dans Azure Analyser les requêtes de journal.
La syntaxe de la ligne à ajouter est différente pour chaque schéma :
| Schéma | Analyseur | Ligne à ajouter |
|---|---|---|
| Événement d’alerte | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Authentification | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| UserManagement | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Lorsque vous ajoutez un analyseur supplémentaire à un analyseur personnalisé d’unification qui fait déjà référence à des analyseurs, veillez à ajouter une virgule à la fin de la ligne précédente.
Par exemple, le code suivant montre un analyseur d’unification personnalisé après avoir ajouté :added_parser
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Utiliser une version modifiée d’un analyseur intégré
Pour modifier un analyseur spécifique à la source existant et intégré :
Créez un analyseur personnalisé basé sur l’analyseur d’origine et ajoutez-le à l’analyseur intégré. Vous pouvez utiliser la version déployée de l’espace de travail de l’analyseur comme point de départ.
Ajoutez un enregistrement à la
ASim Disabled Parserswatchlist.Définissez la
CallerContextvaleur en tant queExclude<parser name>, où<parser name>est le nom des analyseurs d’unification dont vous souhaitez exclure l’analyseur.Définissez la
SourceSpecificParservaleurExclude<parser name>, où<parser name>est le nom de l’analyseur que vous souhaitez exclure, sans spécificateur de version.
Par exemple, pour exclure l’analyseur DNS Pare-feu Azure, ajoutez l’enregistrement suivant à la watchlist :
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Empêcher une mise à jour automatisée d’un analyseur intégré
Utilisez le processus suivant pour empêcher les mises à jour automatiques pour les analyseurs intégrés et spécifiques à la source :
Ajoutez la version intégrée de l’analyseur que vous souhaitez utiliser, par
_Im_Dns_AzureFirewallV02exemple , à l’analyseur d’unification personnalisé. Pour plus d’informations, consultez ci-dessus Ajouter un analyseur personnalisé à un analyseur d’unification intégré.Ajoutez une exception pour l’analyseur intégré. Par exemple, lorsque vous souhaitez désactiver entièrement les mises à jour automatiques et donc exclure un grand nombre d’analyseurs intégrés, ajoutez :
- Enregistrement avec
AnycommeSourceSpecificParserchamp, pour exclure tous les analyseurs pour leCallerContext. - Enregistrement pour
Anydans callerContext et lesSourceSpecificParserchamps pour exclure tous les analyseurs intégrés.
Pour plus d’informations, consultez Utiliser une version modifiée d’un analyseur intégré.
Configurer les sources pertinentes pour un analyseur spécifique à la source
Certains analyseurs vous obligent à mettre à jour la liste des sources pertinentes pour l’analyseur. Par exemple, un analyseur qui utilise des données Syslog peut ne pas être en mesure de déterminer quels événements Syslog sont pertinents pour l’analyseur. Un tel analyseur peut utiliser la Sources_by_SourceType watchlist pour déterminer quelles sources envoient des informations pertinentes pour l’analyseur. Pour ces analyses, ajoutez un enregistrement pour chaque source pertinente à la watchlist :
- Définissez le
SourceTypechamp sur la valeur spécifique de l’analyseur spécifiée dans la documentation de l’analyseur. - Définissez le
Sourcechamp sur l’identificateur de la source utilisée dans les événements. Vous devrez peut-être interroger la table d’origine, par exemple Syslog, pour déterminer la valeur correcte.
Si la Sources_by_SourceType watchlist n’est pas déployée sur votre système, déployez-la sur votre espace de travail Microsoft Sentinel à partir du dépôt GitHub Microsoft Sentinel.
Étapes suivantes
Cet article décrit la gestion des analyseurs ASIM (Advanced Security Information Model).
En savoir plus sur les analyseurs ASIM :
- Vue d’ensemble des analyseurs ASIM
- Utiliser des analyseurs ASIM
- Développer des analyseurs ASIM personnalisés
- Liste des analyseurs ASIM
En savoir plus sur L’ASIM en général :
- Regardez le webinaire approfondi sur Microsoft Sentinel normalisation des analyseurs et du contenu normalisé ou passez en revue les diapositives
- Vue d’ensemble du modèle ASIM (Advanced Security Information Model)
- Schémas ASIM (Advanced Security Information Model)
- Contenu ASIM (Advanced Security Information Model)