Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
在 Microsoft Sentinel 中,查询时需分析和规范化数据。 分析器生成为 KQL 用户定义的函数,这些函数将现有表(例如 CommonSecurityLog)、自定义日志表或 Syslog 中的数据转换为规范化架构。
用户在其查询中使用高级安全信息模型 (ASIM) 分析程序而不是使用表名来以规范化格式查看数据,并包含所有与你的查询中架构相关的数据。
若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图。
内置的 ASIM 分析程序和在工作区部署的分析程序
ASIM 分析器在每个 Microsoft Sentinel 工作区中内置且现成可用。
ASIM 还支持使用 ARM 模板将分析程序从 GitHub 部署到特定工作区。 部署的工作区分析程序用于 ASIM 分析器开发和管理。 部署的工作区分析程序在功能上是等效的,但命名约定略有不同,因此这两个分析程序集可以与同一Microsoft Sentinel 工作区中的内置分析程序共存。 详细了解 工作区部署分析程序 以部署、使用和管理它们。
建议在开发 ASIM 内容时使用内置分析程序。 工作区部署的解析器通常用于解析器开发过程中,或用于提供内置解析器的修改版本,如管理解析器中所述。
分析程序层次结构和命名
ASIM 包括两个级别的分析程序:统一分析程序和特定于源的分析程序 。 用户通常对相关架构使用统一分析程序,确保查询到与该架构相关的所有数据。 统一的分析程序转而会调用特定于源的分析程序来执行实际的分析和规范化,这是特定于各个源的。
统一分析器的名称是_Im_<schema>,其中<schema>代表它所提供的特定架构。 也可以单独使用特定于源的分析程序。 它们的命名约定是 _Im_<schema>_<source>V<version>。 可以在 ASIM 分析程序列表中找到特定于源的分析程序的列表。
注释
使用_ASim_<schema>的一组相应分析器。 这些解析器不支持筛选参数,它们是为向后兼容性而提供。
小窍门
分析器层次结构添加了一个层来支持自定义。 有关详细信息,请参阅管理 ASIM 分析程序。
后续步骤
了解有关 ASIM 分析程序的更多信息:
若要了解有关 ASIM 的更多常规信息,请参阅: