Verwenden von ASIM-Parsern

Abgeschlossen

In Microsoft Sentinel erfolgen das Parsing und die Normalisierung zur Abfragezeit. Parser werden als benutzerdefinierte KQL-Funktionen erstellt, die Daten in vorhandenen Tabellen (wie etwa CommonSecurityLog, benutzerdefinierte Protokolltabellen, Syslog) in das normalisierte Schema transformieren.

Benutzer verwenden Parser des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) anstelle von Tabellennamen in ihren Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in die Abfrage einschließen zu können.

Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser

Viele ASIM-Parser sind in jedem Microsoft Sentinel-Arbeitsbereich integriert und dort standardmäßig verfügbar. ASIM unterstützt auch die Bereitstellung von Parsern in bestimmten Arbeitsbereichen von GitHub aus, mithilfe einer ARM-Vorlage oder manuell. Standardparser und im Arbeitsbereich bereitgestellte Parser sind funktional gleichwertig, haben jedoch etwas unterschiedliche Namenskonventionen, sodass beide Parsersätze im selben Microsoft Sentinel-Arbeitsbereich gleichzeitig verwendet werden können.

Jede Methode hat Vorteile gegenüber der anderen:

Vergleich Integriert Im Arbeitsbereich bereitgestellt
Vorteile In jeder Microsoft Sentinel-Instanz vorhanden. Kann mit anderem integriertem Inhalt verwendet werden. Neue Parser werden häufig zuerst im Arbeitsbereich bereitgestellt.
Nachteile Kann nicht direkt von Benutzern geändert werden. Weniger Parser verfügbar. Wird nicht von integriertem Inhalt verwendet.
Verwendung Verwendung in den meisten Fällen, in denen Sie ASIM-Parser benötigen. Verwendung beim Bereitstellen neuer Parser oder für Parser, die noch nicht sofort verfügbar sind.

Es wird empfohlen, integrierte Parser für Schemas zu verwenden, für welche integrierte Parser verfügbar sind.

Parserhierarchie

ASIM umfasst zwei Ebenen von Parsern: vereinheitlichende Parser und quellenspezifische Parser. Der Benutzer verwendet in der Regel den vereinheitlichenden Parser für das relevante Schema, um sicherzustellen, dass alle für das Schema relevanten Daten abgefragt werden. Der vereinheitlichende Parser ruft wiederum quellspezifische Parser auf, um die eigentliche Analyse und Normalisierung durchzuführen, die für jede Quelle spezifisch ist.

Der vereinheitlichende Parsername ist _Im_Schema für integrierte Parser und imSchema für bereitgestellte Parser des Arbeitsbereichs. Wo Schema für das bestimmte Schema steht, das es bedient. Quellenspezifische Parser können auch unabhängig voneinander verwendet werden. Verwenden Sie beispielsweise in einer Infoblox-spezifischen Arbeitsmappe den quellspezifischen Parser vimDnsInfobloxNIOS.

Vereinheitlichende Parsern

Wenn Sie das ASIM in Ihren Abfragen verwenden, verwenden Sie vereinheitlichende Parser, um alle Quellen zu kombinieren, die in das selbe Schema normalisiert sind, und sie unter Verwendung von normalisierten Feldern abzufragen.

In der folgenden Abfrage wird beispielsweise der integrierte vereinheitlichende DNS-Parser verwendet, um DNS-Ereignisse anhand der normalisierten Felder „ResponseCodeName“, „SrcIpAddr“, und „TimeGenerated“ abzufragen:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Im Beispiel werden Filterparameter verwendet, die die ASIM-Leistung verbessern. Das gleiche Beispiel ohne Filterparameter würde wie folgt aussehen:

_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

In der folgenden Tabelle sind verfügbare vereinheitlichende Parser aufgeführt:

Schema Vereinheitlichender Parser
Authentifizierung imAuthentication
Dns _Im_Dns
Dateiereignis imFileEvent
Netzwerksitzung _Im_NetworkSession
Prozessereignis „imProcessCreate“ und „imProcessTerminate“
Registrierungsereignis imRegistry
Websitzung _Im_WebSession

Optimierung des Parsings mit Hilfe von Parametern

Die Verwendung von Parsern kann die Abfrageleistung vor allem beeinträchtigen, weil die Ergebnisse nach der Analyse gefiltert werden. Aus diesem Grund verfügen viele Parser über optionale Filterparameter, die es Ihnen ermöglichen, vor dem Parsen zu filtern und die Abfrageleistung zu verbessern. Durch Abfrageoptimierung und Vorfilterung bieten ASIM-Parser oft eine bessere Leistung, als wenn sie überhaupt keine Normalisierung verwenden.

Wenn Sie den Parser aufrufen, verwenden Sie immer verfügbare Filterparameter, indem Sie einen oder mehrere benannte Parameter hinzufügen, um eine optimale Leistung der ASIM-Parser sicherzustellen.

Jedes Schema verfügt über Standardfilterparameter, die in der entsprechenden Schemadokumentation dokumentiert sind. Die Filterparameter sind völlig optional. Die folgenden Schemas unterstützen Filterparameter:

  • Authentication
  • DNS
  • Netzwerksitzung
  • Websitzung

Jedes Schema, das Filterparameter unterstützt, unterstützt mindestens die Parameter „starttime“ und „enttime“ und deren Verwendung ist häufig für die Optimierung der Leistung kritisch.