Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Utilize analisadores do Modelo de Informação de Segurança Avançada (ASIM) em vez de nomes de tabelas nas consultas Microsoft Sentinel para ver dados num formato normalizado e incluir todos os dados relevantes para o esquema na consulta. Veja a tabela abaixo para encontrar o analisador relevante para cada esquema.
Analisadores unificadores unificadores
Ao utilizar o ASIM nas suas consultas, utilize analisadores unificadores para combinar todas as origens, normalizadas com o mesmo esquema e consulte-as através de campos normalizados. O nome unificador do analisador é _Im_<schema>, onde <schema> significa o esquema específico que serve.
Por exemplo, a seguinte consulta utiliza o analisador DNS unificador incorporado para consultar eventos DNS com os ResponseCodeNamecampos , SrcIpAddre TimeGenerated normalizados:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
O exemplo utiliza parâmetros de filtragem, que melhoram o desempenho do ASIM. O mesmo exemplo sem filtrar parâmetros teria o seguinte aspeto:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
A tabela seguinte lista os analisadores unificadores unificadores disponíveis:
| Esquema | Analisador unificador |
|---|---|
| Evento de Alerta | _Im_AlertEvent |
| Entidade do Recurso | _Im_AssetEntity |
| Evento de Auditoria | _Im_AuditEvent |
| Autenticação | _Im_Authentication |
| Evento DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Evento de Ficheiro | _Im_FileEvent |
| Sessão de Rede | _Im_NetworkSession |
| Evento de Processo | _Im_ProcessCreate _Im_ProcessTerminate |
| Evento de Registo | _Im_RegistryEvent |
| Gestão de Utilizadores | _Im_UserManagement |
| Sessão Web | _Im_WebSession |
Otimizar a análise com parâmetros
A utilização de analisadores pode afetar o desempenho da consulta, principalmente da filtragem dos resultados após a análise. Por este motivo, muitos analisadores têm parâmetros de filtragem opcionais, que lhe permitem filtrar antes de analisar e melhorar o desempenho das consultas. Com a otimização de consultas e os esforços de pré-filtragem, os analisadores asIM fornecem frequentemente um melhor desempenho quando comparados com a não utilização da normalização.
Ao invocar o analisador, utilize sempre os parâmetros de filtragem disponíveis ao adicionar um ou mais parâmetros nomeados para garantir o desempenho ideal dos analisadores asIM.
Cada esquema tem um conjunto padrão de parâmetros de filtragem documentado na documentação de esquema relevante. Os parâmetros de filtragem são totalmente opcionais.
Para obter um exemplo de utilização de analisadores de filtragem, veja Unifiing parsers (Unifiing parsers).
O parâmetro do pacote
Para garantir a eficiência, os analisadores mantêm apenas campos normalizados. Os campos que não são normalizados têm menos valor quando combinados com outras origens. Alguns analisadores suportam o parâmetro do pacote . Quando o parâmetro do pacote está definido como true, o analisador irá empacotar dados adicionais no campo dinâmico AdditionalFields .
O artigo da lista de analisadores indica os analisadores que suportam o parâmetro do pacote .
Conteúdos relacionados
Para mais informações, consulte: