高级安全信息模型 (ASIM) 分析程序(公共预览版)

在 Microsoft Sentinel 中,查询时需分析和规范化数据。 分析器生成为 KQL 用户定义的函数,这些函数将现有表(例如 CommonSecurityLog)、自定义日志表或 Syslog 中的数据转换为规范化架构。

用户在其查询中使用高级安全信息模型 (ASIM) 分析程序而不是使用表名来以规范化格式查看数据,并包含所有与你的查询中架构相关的数据。

若要了解分析程序如何适用于 ASIM 体系结构,请参阅 ASIM 体系结构图

重要

ASIM 当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

内置的 ASIM 分析程序和在工作区部署的分析程序

每个 Microsoft Sentinel 工作区中内置有许多 ASIM 分析程序,且立即可用。 ASIM 还支持使用 ARM 模板或手动将分析程序从 GitHub 部署到特定工作区。 现成分析程序和工作区部署的分析程序在功能上相同,但命名约定略有不同,因此两个分析程序集可共存于同一 Microsoft Sentinel 工作区。

每种方法都各有优势:

比较 内置 工作区部署的
优点 存在于每个 Microsoft Sentinel 实例。

可与其他内置内容结合使用。
新的分析程序通常先作为工作区部署的分析程序交付。
缺点 用户无法直接修改。

可用的分析程序更少。
内置内容无法使用。
使用时机 在大多数需要 ASIM 分析程序的情况下使用。 在部署新分析程序时使用,或者,用于尚未现成可用的分析程序。

建议对其内置分析程序可用的架构使用内置分析程序。

分析程序层次结构和命名

ASIM 包括两个级别的分析程序:统一分析程序和特定于源的分析程序 。 用户通常对相关架构使用统一分析程序,确保查询到与该架构相关的所有数据。 统一的分析程序转而会调用特定于源的分析程序来执行实际的分析和规范化,这是特定于各个源的。

对于内置分析器,统一分析器名称为 _Im_<schema>,对于工作区部署的分析器,统一分析器名称为 im<schema>,其中 <schema> 代表它所服务的特定架构。 也可以单独使用特定于源的分析程序。 将 _Im_<schema>_<source> 用作内置的分析程序,将 vim<schema><source> 用作工作区部署的分析程序。 例如,在特定于 Infoblox 的工作簿中,使用 _Im_Dns_InfobloxNIOS 特定于源的分析程序。 可以在 ASIM 分析程序列表中找到特定于源的分析程序的列表。

提示

使用 _ASim_<schema>ASim<Schema> 的对应分析程序集也可用。 这些分析程序不支持筛选参数,它们旨在帮助缓解时间选取器设置为自定义范围的问题。 仅在日志屏幕中以交互方式使用这些分析程序,不能在其他地方(例如在分析规则或工作簿中)使用。 问题解决后,可能不会删除此分析程序。

提示

内置分析程序层次结构会添加层来支持自定义。 有关详细信息,请参阅管理 ASIM 分析程序

后续步骤

了解有关 ASIM 分析程序的更多信息:

若要了解有关 ASIM 的更多常规信息,请参阅: