Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os utilizadores do Modelo de Informação de Segurança Avançada (ASIM) utilizam analisadores unificadores em vez de nomes de tabelas nas suas consultas, para ver os dados num formato normalizado e obter todos os dados relevantes para o esquema numa única consulta. Cada analisador unificador utiliza vários parsers específicos de origem que processam os detalhes específicos de cada origem.
Para compreender como os analisadores se encaixam na arquitetura ASIM, veja o diagrama de arquitetura ASIM.
Poderá ter de gerir os analisadores específicos da origem utilizados por cada analisador unificador para:
Adicione um analisador personalizado e específico de origem a um analisador unificador.
Substitua um analisador incorporado específico da origem que é utilizado por um analisador unificador por um analisador personalizado e específico da origem. Substitua os analisadores incorporados quando quiser:
Utilize uma versão do analisador incorporado que não seja a utilizada por predefinição no analisador unificador.
Impeça as atualizações automatizadas preservando a versão do analisador específico da origem utilizado pelo analisador unificador.
Utilize uma versão modificada de um analisador incorporado.
Configure um analisador específico da origem, por exemplo, para definir as origens que enviam informações relevantes para o analisador.
Este artigo orienta-o ao longo da gestão dos seus analisadores.
Pré-requisitos
Os procedimentos neste artigo partem do princípio de que todos os analisadores específicos da origem já foram implementados na área de trabalho Microsoft Sentinel.
Para obter mais informações, veja Develop ASIM parsers (Desenvolver analisadores ASIM).
Gerir analisadores unificadores unificadores incorporados
Configurar a área de trabalho
Microsoft Sentinel utilizadores não podem editar analisadores unificadores unificadores incorporados. Em vez disso, utilize os seguintes mecanismos para modificar o comportamento dos analisadores unificadores unificadores incorporados:
Para suportar a adição de analisadores específicos da origem, o ASIM utiliza analisadores personalizados unificadores. Estes analisadores personalizados são implementados na área de trabalho e, portanto, editáveis. Os analisadores unificadores incorporados e unificadores recolhem automaticamente estes analisadores personalizados, caso existam.
Pode implementar analisadores personalizados iniciais, vazios e unificadores na área de trabalho Microsoft Sentinel para todos os esquemas suportados ou individualmente para esquemas específicos. Para obter mais informações, veja Deploy initial ASIM empty custom unifiing parsers in the Microsoft Sentinel GitHub repository (Implementar analisadores unificadores personalizados vazios do ASIM inicial no repositório Microsoft Sentinel GitHub).
Para suportar a exclusão de parsers específicos de origem incorporados, o ASIM utiliza uma lista de observação. Implemente a lista de observação na área de trabalho Microsoft Sentinel a partir do Microsoft Sentinel repositório do GitHub.
Para definir o tipo de origem para analisadores incorporados e personalizados, o ASIM utiliza uma lista de observação. Implemente a lista de observação na área de trabalho Microsoft Sentinel a partir do Microsoft Sentinel repositório do GitHub.
Adicionar um analisador personalizado a um analisador unificador incorporado
Para adicionar um analisador personalizado, insira uma linha no analisador unificador personalizado para referenciar o novo analisador personalizado.
Certifique-se de que adiciona um analisador personalizado de filtragem e um analisador personalizado sem parâmetros. Para saber mais sobre como editar analisadores, veja o documento Funções no Azure Monitorizar consultas de registo.
A sintaxe da linha a adicionar é diferente para cada esquema:
| Esquema | Analisador | Linha a adicionar |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Autenticação | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Gestão de Utilizadores | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Ao adicionar um analisador adicional a um analisador personalizado unificador que já referencia parsers, certifique-se de que adiciona uma vírgula no final da linha anterior.
Por exemplo, o código seguinte mostra um analisador unificador unificador personalizado depois de ter adicionado o added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Utilizar uma versão modificada de um analisador incorporado
Para modificar um analisador específico de origem incorporado existente:
Crie um analisador personalizado com base no analisador original e adicione-o ao analisador incorporado. Pode utilizar a versão implementada da área de trabalho do analisador como ponto de partida.
Adicione um registo à lista
ASim Disabled Parsersde observação.Defina o
CallerContextvalor comoExclude<parser name>, em<parser name>que é o nome dos analisadores unificadores dos quais pretende excluir o analisador.Defina o
SourceSpecificParservalorExclude<parser name>, em<parser name>que é o nome do analisador que pretende excluir, sem um especificador de versão.
Por exemplo, para excluir o Azure Firewall analisador DNS, adicione o seguinte registo à lista de observação:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Impedir uma atualização automatizada de um analisador incorporado
Utilize o seguinte processo para impedir atualizações automáticas para analisadores incorporados e específicos da origem:
Adicione a versão incorporada do analisador que pretende utilizar, como
_Im_Dns_AzureFirewallV02, ao analisador unificador personalizado. Para obter mais informações, veja acima, Adicionar um analisador personalizado a um analisador unificador incorporado.Adicione uma exceção para o analisador incorporado. Por exemplo, quando quiser optar totalmente ativamente por não participar nas atualizações automáticas e, por conseguinte, excluir um grande número de analisadores incorporados, adicione:
- Um registo com
Anycomo campoSourceSpecificParser, para excluir todos os parsers para oCallerContext. - Um registo para
Anyno CallerContext e osSourceSpecificParsercampos para excluir todos os analisadores incorporados.
Para obter mais informações, consulte Utilizar uma versão modificada de um analisador incorporado.
Configurar as origens relevantes para um analisador específico da origem
Alguns analisadores exigem que atualize a lista de origens relevantes para o analisador. Por exemplo, um analisador que utiliza dados do Syslog poderá não conseguir determinar que eventos do Syslog são relevantes para o analisador. Esse analisador pode utilizar a Sources_by_SourceType lista de observação para determinar que origens enviam informações relevantes para o analisador. Para essas análises, adicione um registo para cada origem relevante à lista de observação:
- Defina o
SourceTypecampo para o valor específico do analisador especificado na documentação do analisador. - Defina o
Sourcecampo como o identificador da origem utilizada nos eventos. Poderá ter de consultar a tabela original, como o Syslog, para determinar o valor correto.
Se o seu sistema não tiver a Sources_by_SourceType lista de observação implementada, implemente a lista de observação na área de trabalho Microsoft Sentinel a partir do repositório Microsoft Sentinel GitHub.
Passos seguintes
Este artigo aborda a gestão dos analisadores do Modelo de Informação de Segurança Avançada (ASIM).
Saiba mais sobre os analisadores do ASIM:
- Descrição geral dos analisadores do ASIM
- Utilizar analisadores ASIM
- Desenvolver analisadores ASIM personalizados
- A lista de analisadores do ASIM
Saiba mais sobre o ASIM em geral:
- Veja o Webinar deep dive no Microsoft Sentinel Normalizar Analisadores e Conteúdo Normalizado ou reveja os diapositivos
- Descrição geral do Modelo de Informação de Segurança Avançada (ASIM)
- Esquemas do Modelo de Informação de Segurança Avançada (ASIM)
- Conteúdo do Modelo de Informação de Segurança Avançada (ASIM)