使用高级安全信息模型 (ASIM)(公共预览版)
在 Microsoft Sentinel 查询中使用高级安全信息模型 (ASIM) 分析程序而不是使用表名来以规范化格式查看数据,并包含所有与你的查询中架构相关的数据。 请参阅下表,查找每个架构的相关分析器。
重要
ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
统一分析程序
在查询中使用 ASIM 时,使用统一分析器来组合所有源,标准化为相同的架构,并使用标准化字段来查询它们。 对于内置分析器,统一分析器名称为 _Im_<schema>,对于工作区部署的分析器,统一分析器名称为 im<schema>,其中 <schema> 代表它所服务的特定架构。
例如,以下查询使用内置的统一 DNS 分析程序,通过利用 ResponseCodeName、SrcIpAddr 和 TimeGenerated 规范化字段来查询 DNS 事件:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
此示例使用筛选参数来提高 ASIM 性能。 没有筛选参数的同一示例如下所示:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
注意
在“日志”页面使用 ASIM 分析程序时,时间范围选择器设置为 custom。 你仍可以自行设置时间范围。 也可使用分析程序参数指定时间范围。
下表列出了可用的统一分析程序:
| 架构 | 统一分析程序 |
|---|---|
| 审核事件 | _Im_AuditEvent |
| 身份验证 | imAuthentication |
| Dns | _Im_Dns |
| 文件事件 | imFileEvent |
| 网络会话 | _Im_NetworkSession |
| 进程事件 | - imProcessCreate - imProcessTerminate |
| 注册表事件 | imRegistry |
| Web 会话 | _Im_WebSession |
使用参数优化分析
使用分析程序可能会影响查询性能,主要是因为在分析后筛选结果。 出于此原因,许多分析程序都具有可选的筛选参数,这使你能够在分析之前进行筛选并提高查询性能。 与查询优化和预筛选工作结合使用时,与根本不使用规范化相比,ASIM 分析器的性能通常更佳。
调用分析程序时,请始终通过添加一个或多个命名参数来使用可用的筛选参数,以确保 ASIM 分析程序的最佳性能。
每个架构都有一组标准筛选参数,记录在相关架构文档中。 筛选参数是完全可选的。 以下架构支持筛选参数:
支持筛选参数的每个架构至少支持 starttime 和 endtime 参数,而使用这些架构通常对于优化性能至关重要。
有关使用筛选分析程序的示例,请参阅上面的统一分析程序。
pack 参数
为确保效率,分析程序仅维护规范化字段。 未规范化的字段在与其他源组合时的价值更小。 某些分析程序支持 pack 参数。 当 pack 参数设置为 true 时,分析程序会将其他数据打包到 AdditionalFields 动态字段中。
分析程序列表文章记录了支持 pack 参数的分析程序。
后续步骤
了解有关 ASIM 分析程序的更多信息:
了解有关 ASIM 的大致信息: