使用高级安全信息模型 (ASIM)(公共预览版)

在 Microsoft Sentinel 查询中使用高级安全信息模型 (ASIM) 分析程序而不是使用表名来以规范化格式查看数据,并包含所有与你的查询中架构相关的数据。 请参阅下表,查找每个架构的相关分析器。

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

统一分析程序

在查询中使用 ASIM 时,使用统一分析器来组合所有源,标准化为相同的架构,并使用标准化字段来查询它们。 对于内置分析器,统一分析器名称为 _Im_<schema>,对于工作区部署的分析器,统一分析器名称为 im<schema>,其中 <schema> 代表它所服务的特定架构。

例如,以下查询使用内置的统一 DNS 分析程序,通过利用 ResponseCodeNameSrcIpAddrTimeGenerated 规范化字段来查询 DNS 事件:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

此示例使用筛选参数来提高 ASIM 性能。 没有筛选参数的同一示例如下所示:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

注意

在“日志”页面使用 ASIM 分析程序时,时间范围选择器设置为 custom。 你仍可以自行设置时间范围。 也可使用分析程序参数指定时间范围。

下表列出了可用的统一分析程序:

架构 统一分析程序
审核事件 _Im_AuditEvent
身份验证 imAuthentication
Dns _Im_Dns
文件事件 imFileEvent
网络会话 _Im_NetworkSession
进程事件 - imProcessCreate
- imProcessTerminate
注册表事件 imRegistry
Web 会话 _Im_WebSession

使用参数优化分析

使用分析程序可能会影响查询性能,主要是因为在分析后会筛选结果。 出于此原因,许多分析程序都具有可选的筛选参数,这使你能够在分析之前进行筛选并提高查询性能。 与查询优化和预筛选工作结合使用时,与根本不使用规范化相比,ASIM 分析器的性能通常更佳。

调用分析程序时,请始终通过添加一个或多个命名参数来使用可用的筛选参数,以确保 ASIM 分析程序的最佳性能。

每个架构都有一组标准筛选参数,记录在相关架构文档中。 筛选参数是完全可选的。 以下架构支持筛选参数:

支持筛选参数的每个架构至少支持 starttimeendtime 参数,而使用这些架构通常对于优化性能至关重要。

有关使用筛选分析程序的示例,请参阅统一分析程序

pack 参数

为确保效率,分析程序仅维护规范化字段。 未规范化的字段在与其他源组合时的价值更小。 某些分析程序支持 pack 参数。 当 pack 参数设置为 true 时,分析程序会将其他数据打包到 AdditionalFields 动态字段中。

分析程序列表文章记录了支持 pack 参数的分析程序。

有关详细信息,请参阅: