Sviluppare parser ASIM (Advanced Security Information Model) - Anteprima pubblica
Per eseguire query, gli utenti di Advanced Security Information Model (ASIM) usano parser di unificazione al posto dei nomi di tabella, in modo da visualizzare i dati in un formato normalizzato e includere tutti i dati pertinenti per lo schema nella query. I parser di unificazione, a loro volta, usano parser specifici dell'origine per gestire i dettagli specifici di ogni origine.
Microsoft Sentinel offre parser predefiniti specifici dell'origine per molte origini dati. È possibile modificare, o sviluppare, questi parser specifici dell'origine nelle situazioni seguenti:
Quando il dispositivo fornisce eventi che soddisfano uno schema ASIM, ma in Microsoft Sentinel non è disponibile un parser specifico dell'origine per il dispositivo e lo schema pertinente.
Quando i parser ASIM specifici dell'origine sono disponibili per il dispositivo, ma il dispositivo invia eventi in un metodo o un formato diverso da quello previsto dai parser ASIM. Ad esempio:
Il dispositivo di origine può essere configurato per inviare eventi in modo non standard.
Il dispositivo può avere una versione diversa da quella supportata dal parser ASIM.
Gli eventi possono essere raccolti, modificati e inoltrati da un sistema intermedio.
Per comprendere in che modo i parser si inseriscono nell'architettura ASIM, vedere il diagramma dell'architettura ASIM.
Importante
ASIM è attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Processo di sviluppo di parser ASIM personalizzati
Il flusso di lavoro seguente descrive i passaggi generali per lo sviluppo di un parser ASIM personalizzato specifico dell'origine:
Identificare lo schema o gli schemi rappresentati dagli eventi inviati dall'origine. Per altre informazioni, vedere Panoramica dello schema.
Eseguire il mapping dei campi degli eventi di origine allo schema o agli schemi identificati.
Sviluppare uno o più parser ASIM per l'origine. Sarà necessario sviluppare un parser di filtro e un parser senza parametri per ogni schema rilevante per l'origine.
Testare il parser.
Distribuire i parser nelle aree di lavoro di Microsoft Sentinel.
Aggiornare il parser di unificazione ASIM rilevante per fare riferimento al nuovo parser personalizzato. Per altre informazioni, vedere Gestione dei parser ASIM.
È anche possibile contribuire con i propri parser alla distribuzione primaria di ASIM. I parser che hanno contribuito possono anche essere resi disponibili in tutti le aree di lavoro come parser predefiniti.
Questo articolo illustra le fasi di sviluppo, test e distribuzione del processo.
Suggerimento
Guardare anche il webinar Approfondimento sulla normalizzazione dei parser e sui contenuti normalizzati di Microsoft Sentinel o consultare la relativa presentazione. Per altre informazioni, vedere Passaggi successivi.
Raccogliere log di esempio
Per creare parser ASIM efficaci, è necessario un set rappresentativo di log, che nella maggior parte dei casi richiede la configurazione del sistema di origine e la connessione a Microsoft Sentinel. Se non si dispone del dispositivo di origine, i servizi cloud con pagamento in base al consumo consentono di distribuire molti dispositivi per lo sviluppo e il test.
Inoltre, trovare la documentazione del fornitore e gli esempi dei log può contribuire ad accelerare lo sviluppo e ridurre gli errori garantendo un'ampia copertura del formato dei log.
Un set rappresentativo di log deve includere:
- Eventi con risultati di eventi diversi.
- Eventi con azioni di risposta diverse.
- Formati diversi per nome utente, nome host e ID e altri campi che richiedono la normalizzazione dei valori.
Suggerimento
Avviare un nuovo parser personalizzato usando un parser esistente per lo stesso schema. L'uso di un parser esistente è particolarmente importante per filtrare i parser in modo da avere la certezza che accettino tutti i parametri richiesti dallo schema.
Pianificazione del mapping
Prima di sviluppare un parser, eseguire il mapping delle informazioni disponibili nell'evento o negli eventi di origine allo schema identificato:
- Eseguire il mapping di tutti i campi obbligatori e preferibilmente anche di quelli consigliati.
- Provare a eseguire il mapping delle informazioni disponibili nell'origine ai campi normalizzati. Se non sono disponibili all'interno dello schema selezionato, considerare la possibilità di eseguire il mapping a campi disponibili in altri schemi.
- Eseguire il mapping dei valori dei campi nell'origine ai valori normalizzati consentiti da ASIM. Il valore originale viene archiviato in un campo distinto, ad esempio
EventOriginalResultDetails
.
Sviluppo di parser
Sviluppare sia un parser di filtro che un parser senza parametri per ogni schema rilevante.
Un parser personalizzato è una query KQL sviluppata nella pagina Log di Microsoft Sentinel. La query del parser è composta da tre parti:
Filtra>Analizza>Prepara campi
Filtri
Filtro dei record rilevanti
In molti casi, una tabella di Microsoft Sentinel include più tipi di eventi. Ad esempio:
- La tabella Syslog contiene dati provenienti da più origini.
- Le tabelle personalizzate possono includere informazioni provenienti da una singola origine che fornisce più di un tipo di evento e può adattarsi a vari schemi.
Pertanto, un parser deve prima filtrare solo i record rilevanti per lo schema di destinazione.
L’operazione di filtro in KQL viene eseguita mediante l'operatore where
. Ad esempio, l'evento Sysmon 1 segnala la creazione di un processo e viene quindi normalizzato nello schema ProcessEvent. L'evento Sysmon 1 fa parte della tabella Event
, quindi occorre usare il filtro seguente:
Event | where Source == "Microsoft-Windows-Sysmon" and EventID == 1
Importante
Un parser non deve filtrare in base al tempo. La query che usa il parser applicherà un intervallo di tempo.
Filtro in base al tipo di origine tramite una watchlist
In alcuni casi, l'evento in sé non contiene informazioni che consentono di filtrare per tipi di origine specifici.
Ad esempio, gli eventi DNS Infoblox vengono inviati come messaggi Syslog e sono difficili da distinguere dai messaggi Syslog inviati da altre origini. In questi casi, il parser si basa su un elenco di origini che definisce gli eventi rilevanti. Questo elenco viene mantenuto nella watchlist Sources_by_SourceType.
Per usare la watchlist ASimSourceType nei parser, usare la funzione _ASIM_GetSourceBySourceType
nella sezione relativa ai filtri dei parser. Ad esempio, il parser DNS Infoblox include quanto segue nella sezione filtro:
| where Computer in (_ASIM_GetSourceBySourceType('InfobloxNIOS'))
Per usare questo esempio nel parser:
Sostituire
Computer
con il nome del campo che include le informazioni relative all'origine. È possibile mantenere il nomeComputer
per qualsiasi parser basato su Syslog.Sostituire il token
InfobloxNIOS
con un valore a scelta per il parser. Informare gli utenti del parser che devono aggiornare la watchlistASimSourceType
con il valore selezionato, oltre all'elenco di origini che inviano eventi di questo tipo.
Filtro basato sui parametri del parser
Quando si sviluppano parser di filtro, assicurarsi che il parser accetti i parametri di filtro per lo schema pertinente, come documentato nell'articolo di riferimento per tale schema. L'uso di un parser esistente come punto di partenza garantisce che il parser includa la firma della funzione corretta. Nella maggior parte dei casi, anche il codice di filtro effettivo è simile per i parser di filtro dello stesso schema.
Quando si filtra, assicurarsi di:
- Filtrare prima di analizzare usando i campi fisici. Se i risultati filtrati non sono sufficientemente accurati, ripetere il test dopo avere applicato un parser per ottimizzare i risultati. Per altre informazioni, vedere Ottimizzazione del filtro.
- Non filtrare se il parametro non è definito e ha ancora il valore predefinito.
Gli esempi seguenti illustrano come implementare il filtro per un parametro stringa, in cui il valore predefinito è in genere '*' e per un parametro elenco, in cui il valore predefinito è in genere un elenco vuoto.
srcipaddr=='*' or ClientIP==srcipaddr
array_length(domain_has_any) == 0 or Name has_any (domain_has_any)
Per altre informazioni sugli elementi seguenti, vedere la documentazione di Kusto:
Ottimizzazione dei filtri
Per garantire le prestazioni del parser, tenere presenti le raccomandazioni di filtro seguenti:
- Filtrare sempre in base ai campi predefiniti anziché a quelli analizzati. Anche se a volte è più semplice filtrare usando campi con parser applicati, questa procedura influisce notevolmente sulle prestazioni.
- Usare gli operatori che offrono prestazioni ottimizzate. In particolare,
==
,has
estartswith
. Anche l'uso di operatori comecontains
omatches regex
compromette notevolmente le prestazioni.
Le raccomandazioni di filtro per le prestazioni potrebbero non essere sempre facili da seguire. Ad esempio, l'uso di has
è meno preciso di contains
. In altri casi, la corrispondenza con il campo predefinito, ad esempio SyslogMessage
, è meno precisa rispetto al confronto con un campo estratto, ad esempio DvcAction
. In questi casi, è consigliabile adottare un filtro preliminare usando un operatore di ottimizzazione delle prestazioni su un campo predefinito e ripetere il filtro usando condizioni più accurate dopo l'analisi.
Per un esempio, vedere il frammento di parser Infoblox DNS riportato di seguito. Il parser usa innanzitutto il filtro has
per verificare che il campo SyslogMessage “abbia” la parola client
. Tuttavia, il termine potrebbe essere usato in una posizione diversa nel messaggio, quindi dopo l'analisi del campo Log_Type
, il parser verifica nuovamente che la parola client
corrispondesse effettivamente al valore del campo.
Syslog | where ProcessName == "named" and SyslogMessage has "client"
…
| extend Log_Type = tostring(Parser[1]),
| where Log_Type == "client"
Nota
I parser non devono filtrare in base al tempo, perché questa operazione viene già eseguita dalla query che usa il parser.
Analisi in corso
Una volta che la query ha selezionato i record rilevanti, potrebbe essere necessario analizzarli. In genere, l'analisi è necessaria se più campi evento vengono trasmessi in un singolo campo di testo.
Gli operatori KQL che eseguono l'analisi sono elencati di seguito, ordinati in base all'ottimizzazione delle prestazioni. Il primo fornisce le prestazioni più ottimizzate, mentre l'ultimo fornisce le prestazioni meno ottimizzate.
Operatore/funzione() | Descrizione |
---|---|
Funzione split() | Analizzare una stringa di valori delimitati. |
funzione parse_csv() | Analizzare una stringa di valori formattata come riga CSV (valori delimitati da virgole). |
Operatore parse-kv | Estrae informazioni strutturate da un'espressione stringa e rappresenta le informazioni in formato chiave/valore. |
Operatore parse | Analizzare più valori da una stringa arbitraria usando un criterio, che può essere un modello semplificato con prestazioni migliori o un'espressione regolare. |
funzione extract_all() | Analizzare singoli valori da una stringa arbitraria usando un'espressione regolare. extract_all offre prestazioni simili a parse se quest'ultimo usa un'espressione regolare. |
Funzione extract() | Estrarre un singolo valore da una stringa arbitraria usando un'espressione regolare. L'uso di extract offre prestazioni migliori rispetto a parse o extract_all se è necessario un valore singolo. Tuttavia, l'uso di più attivazioni di extract sulla stessa stringa di origine è meno efficiente rispetto a un singolo uso di parse o extract_all e dovrebbe essere evitato. |
funzione parse_json() | Analizzare i valori in una stringa formattata come JSON. Se sono necessari solo alcuni valori del codice JSON, l’uso di parse , extract o extract_all offre prestazioni migliori. |
funzione parse_xml() | Analizzare i valori in una stringa formattata come XML. Se sono necessari solo alcuni valori del codice XML, l’uso di parse , extract o extract_all offre prestazioni migliori. |
Normalizzazione
Mapping dei tipi di campi
La forma più semplice di normalizzazione consiste nel rinominare un campo originale con il relativo nome normalizzato. A questo scopo usare l’operatore project-rename
. L'uso di project-rename garantisce che il campo sia ancora gestito come campo fisico e assicura una gestione più efficiente del campo. Ad esempio:
| project-rename
ActorUserId = InitiatingProcessAccountSid,
ActorUserAadId = InitiatingProcessAccountObjectId,
ActorUserUpn = InitiatingProcessAccountUpn,
Normalizzazione del formato e del tipo di campo
In molti casi, il valore originale estratto deve essere normalizzato. Ad esempio, in ASIM un indirizzo MAC usa i due punti come separatore, mentre l'origine può inviare un indirizzo MAC delimitato da trattini. L'operatore principale per la trasformazione dei valori è extend
, insieme a un ampio set di funzioni stringa KQL, numeriche e di data.
Inoltre, verificare che i campi di output del parser corrispondano al tipo definito nello schema è fondamentale per il funzionamento dei parser. Ad esempio, potrebbe essere necessario convertire una stringa che rappresenta data e ora in un campo datetime. In questi casi sono utili funzioni come todatetime
e tohex
.
Ad esempio, l'ID evento univoco originale può essere inviato come numero intero, ma ASIM richiede che il valore sia una stringa per garantire un'ampia compatibilità tra le origini dati. Pertanto, quando si assegna il campo di origine, usare extend
e tostring
invece di project-rename
:
| extend EventOriginalUid = tostring(ReportId),
Campi e valori derivati
Potrebbe essere necessario eseguire il mapping del valore del campo di origine, una volta estratto, al set di valori specificati per il campo dello schema di destinazione. Le funzioni iff
, case
e lookup
possono essere utili per eseguire il mapping dei dati disponibili ai valori di destinazione.
Ad esempio, il parser DNS Microsoft assegna il campo EventResult
in base all'ID evento e al codice di risposta usando un'istruzione iff
, come nel codice seguente:
extend EventResult = iff(EventId==257 and ResponseCode==0 ,'Success','Failure')
Per eseguire il mapping di più valori, definire il mapping mediante l'operatore datatable
e usare lookup
per eseguire il mapping. Ad esempio, alcune origini riportano codici di risposta DNS numerici e il protocollo di rete, mentre lo schema impone la più comune rappresentazione di etichette di testo per entrambi. L'esempio seguente mostra come derivare i valori necessari usando datatable
e lookup
:
let NetworkProtocolLookup = datatable(Proto:real, NetworkProtocol:string)[
6, 'TCP',
17, 'UDP'
];
let DnsResponseCodeLookup=datatable(DnsResponseCode:int,DnsResponseCodeName:string)[
0,'NOERROR',
1,'FORMERR',
2,'SERVFAIL',
3,'NXDOMAIN',
...
];
...
| lookup DnsResponseCodeLookup on DnsResponseCode
| lookup NetworkProtocolLookup on Proto
Si noti che lookup è utile ed efficiente anche quando il mapping ha solo due valori possibili.
Quando le condizioni di mapping sono più complesse, combinare iff
, case
e lookup
. L'esempio seguente mostra come combinare lookup
e case
. L'esempio lookup
riportato sopra restituisce un valore vuoto nel campo DnsResponseCodeName
se il valore di ricerca non viene trovato. L'esempio case
riportato di seguito lo aumenta usando il risultato dell'operazione lookup
, se disponibile, e specificando condizioni aggiuntive in caso contrario.
| extend DnsResponseCodeName =
case (
DnsResponseCodeName != "", DnsResponseCodeName,
DnsResponseCode between (3841 .. 4095), 'Reserved for Private Use',
'Unassigned'
)
Microsoft Sentinel offre utili funzioni per i valori di ricerca più comuni. Ad esempio, la ricerca di DnsResponseCodeName
riportata sopra può essere implementata usando una delle funzioni seguenti:
| extend DnsResponseCodeName = _ASIM_LookupDnsResponseCode(DnsResponseCode)
| invoke _ASIM_ResolveDnsResponseCode('DnsResponseCode')
La prima opzione accetta come parametro il valore da cercare e consente di scegliere il campo di output, pertanto è utile come funzione di ricerca generale. La seconda opzione, più orientata ai parser, accetta come input il nome del campo di origine e aggiorna il campo ASIM necessario, in questo caso DnsResponseCodeName
.
Per un elenco completo delle funzioni della Guida di ASIM, vedere Funzioni ASIM.
Campi di arricchimento
Oltre ai campi disponibili dall'origine, un evento ASIM risultante include campi di arricchimento che devono essere generati dal parser. In molti casi, i parser possono assegnare un valore costante ai campi, ad esempio:
| extend
EventCount = int(1),
EventProduct = 'M365 Defender for Endpoint',
EventVendor = 'Microsoft',
EventSchemaVersion = '0.1.0',
EventSchema = 'ProcessEvent'
Un altro tipo di campi di arricchimento che deve essere impostato dai parser è costituito dai campi di tipo, che definiscono il tipo del valore archiviato in un campo correlato. Ad esempio, il campo SrcUsernameType
definisce il tipo del valore archiviato nel campo SrcUsername
. Altre informazioni sui campi di tipo sono disponibili nella descrizione delle entità.
Nella maggior parte dei casi, ai tipi viene assegnato anche un valore costante. Tuttavia, in alcuni casi il tipo deve essere determinato in base al valore effettivo, ad esempio:
DomainType = iif (array_length(SplitHostname) > 1, 'FQDN', '')
Microsoft Sentinel offre funzioni utili per la gestione dell'arricchimento. Ad esempio, usare la funzione seguente per assegnare automaticamente i campi SrcHostname
, SrcDomain
, SrcDomainType
e SrcFQDN
in base al valore del campo Computer
.
| invoke _ASIM_ResolveSrcFQDN('Computer')
Questa funzione imposta i campi nel modo seguente:
Campo Computer | Campi di output |
---|---|
server1 | SrcHostname: server1 SrcDomain, SrcDomainType, SrcFQDN tutti vuoti |
server1.microsoft.com | SrcHostname: server1 SrcDomain: microsoft.com SrcDomainType: FQDN SrcFQDN:server1.microsoft.com |
Le funzioni _ASIM_ResolveDstFQDN
ed _ASIM_ResolveDvcFQDN
eseguono un'attività simile che popola i campi e Dvc
correlatiDst
. Per un elenco completo delle funzioni della Guida di ASIM, vedere Funzioni ASIM.
Selezionare campi nel set di risultati
Facoltativamente, il parser può selezionare campi nel set di risultati. La rimozione di campi non necessari può migliorare le prestazioni e aggiungere chiarezza, evitando confusione tra i campi normalizzati e i campi di origine rimanenti.
Per selezionare i campi nel set di risultati vengono usati gli operatori KQL seguenti:
Operatore | Descrizione | Quando usarlo in un parser |
---|---|---|
project-away | Rimuove i campi. | Usare project-away per campi specifici che devono essere rimossi dal set di risultati. È consigliabile non rimuovere i campi originali non normalizzati dal set di risultati, a meno che non creino confusione o siano molto grandi, con possibili implicazioni sulle prestazioni. |
project | Seleziona i campi già esistenti o creati come parte dell'istruzione e rimuove tutti gli altri campi. | L’uso di questo operatore non è consigliato in un parser, perché il parser non deve rimuovere altri campi non normalizzati. Se occorre rimuovere campi specifici, ad esempio i valori temporanei usati durante l'analisi, usare project-away per rimuoverli dai risultati. |
Ad esempio, quando si analizza una tabella di log personalizzata, usare l’operatore seguente per rimuovere i campi originali rimanenti che dispongono ancora di un descrittore di tipo:
| project-away
*_d, *_s, *_b, *_g
Gestire le varianti di analisi
Importante
Le diverse varianti rappresentano tipi di evento diversi, comunemente mappati a schemi diversi, per cui occorre sviluppare parser distinti
In molti casi, gli eventi in un flusso di eventi includono varianti che richiedono una logica di analisi diversa. Per analizzare varianti diverse in un singolo parser, usare istruzioni condizionali come iff
e case
oppure usare una struttura di unione.
Per usare union
per gestire più varianti, creare una funzione distinta per ogni variante e usare l'istruzione UNION per combinare i risultati:
let AzureFirewallNetworkRuleLogs = AzureDiagnostics
| where Category == "AzureFirewallNetworkRule"
| where isnotempty(msg_s);
let parseLogs = AzureFirewallNetworkRuleLogs
| where msg_s has_any("TCP", "UDP")
| parse-where
msg_s with networkProtocol:string
" request from " srcIpAddr:string
":" srcPortNumber:int
…
| project-away msg_s;
let parseLogsWithUrls = AzureFirewallNetworkRuleLogs
| where msg_s has_all ("Url:","ThreatIntel:")
| parse-where
msg_s with networkProtocol:string
" request from " srcIpAddr:string
" to " dstIpAddr:string
...
union parseLogs, parseLogsWithUrls…
Per evitare eventi duplicati e un’elaborazione eccessiva, assicurarsi che ogni funzione filtri innanzitutto, usando i campi nativi, solo gli eventi che deve analizzare. Inoltre, se necessario, usare project-away in ogni ramo, prima dell'unione.
Distribuire i parser
Distribuire manualmente i parser copiandoli nella pagina Log di Monitoraggio di Azure e salvando la query come funzione. Questo metodo è utile per i test. Per altre informazioni, vedere Creare una funzione.
Per distribuire un numero elevato di parser, è consigliabile usare i modelli di ARM del parser, come indicato di seguito:
Creare un file YAML basato sul modello rilevante per ogni schema e includervi la query. Iniziare con il modello YAML pertinente per lo schema e il tipo di parser, ossia di filtro o senza parametri.
Usare il convertitore ASIM da YAML a modello di ARM per convertire il file YAML in un modello di Resource Manager.
In caso di distribuzione di un aggiornamento, eliminare le versioni precedenti delle funzioni usando il portale o lo strumento PowerShell per l’eliminazione di funzioni.
Distribuire il modello usando il portale di Azure oppure PowerShell.
È anche possibile combinare più modelli in un singolo processo di distribuzione usando modelli collegati.
Suggerimento
I modelli di ARM possono combinare risorse diverse, in modo che i parser possano essere distribuiti insieme a connettori, regole analitiche o watchlist, per citare alcune opzioni utili. Ad esempio, il parser può fare riferimento a una watchlist distribuita insieme a esso.
Testare i parser
Questa sezione descrive gli strumenti di test forniti da ASIM per testare i parser. Tenere comunque presente che i parser sono codice, a volte complesso, quindi si consiglia di eseguire le procedure standard di controllo qualità, come le revisioni del codice, oltre ai test automatizzati.
Installare gli strumenti di test ASIM
Per testare ASIM, distribuire lo strumento di test ASIM in un'area di lavoro di Microsoft Sentinel in cui:
- È stato distribuito il parser.
- È disponibile la tabella di origine usata dal parser.
- La tabella di origine usata dal parser è popolata con una raccolta diversificata di eventi rilevanti.
Convalidare lo schema di output
Per assicurarsi che il parser produca uno schema valido, usare il tester dello schema ASIM eseguendo la query seguente nella pagina Log di Microsoft Sentinel:
<parser name> | getschema | invoke ASimSchemaTester('<schema>')
Gestire i risultati nel modo seguente:
Error | Azione |
---|---|
Campo obbligatorio [<Campo>] mancante | Aggiungere il campo al parser. In molti casi si tratta di un valore derivato o di un valore costante e non di un campo già disponibile dall'origine. |
Il campo mancante [<Campo>] è obbligatorio quando è presente la colonna obbligatoria [<Campo>] | Aggiungere il campo al parser. In molti casi questo campo indica i tipi della colonna esistente a cui fa riferimento. |
Il campo mancante [<Campo>] è obbligatorio quando è presente la colonna [<Campo>] | Aggiungere il campo al parser. In molti casi questo campo indica i tipi della colonna esistente a cui fa riferimento. |
Manca l'alias obbligatorio [<Campo>] che funge da alias della colonna esistente [<Campo>] | Aggiungere l’alias al parser. |
Manca l'alias consigliato [<Campo>] che funge da alias della colonna esistente [<Campo>] | Aggiungere l’alias al parser. |
Manca l'alias facoltativo [<Campo>] che funge da alias della colonna esistente [<Campo>] | Aggiungere l’alias al parser. |
Manca l'alias obbligatorio [<Campo>] che funge da alias della colonna mancante [<Campo>] | Questo errore si accompagna a un errore simile per il campo con alias. Correggere l'errore del campo con alias e aggiungere questo alias al parser. |
Tipo non corrispondente per il campo [<Campo>]. Attualmente è [<Tipo>] e dovrebbe essere [<Tipo>] | Assicurarsi che il tipo di campo normalizzato sia corretto, in genere usando una funzione di conversione, ad esempio tostring . |
info | Azione |
---|---|
Campo consigliato [<Campo>] mancante | Valutare l'aggiunta di questo campo al parser. |
info | Azione |
---|---|
Manca l'alias consigliato [<Campo>] che funge da alias della colonna non esistente [<Campo>] | Se si aggiunge il campo con alias al parser, assicurarsi di aggiungere anche questo alias. |
Manca l'alias facoltativo [<Campo>] che funge da alias della colonna non esistente [<Campo>] | Se si aggiunge il campo con alias al parser, assicurarsi di aggiungere anche questo alias. |
Campo facoltativo [<Campo>] mancante | Sebbene i campi facoltativi siano spesso mancanti, vale la pena esaminare l'elenco per determinare se uno dei campi facoltativi può essere mappato dall'origine. |
Campo aggiuntivo [<Campo>] non normalizzato | Anche se i campi non normalizzati sono validi, vale la pena esaminare l'elenco per determinare se può essere eseguito il mapping di uno dei valori non normalizzati a un campo facoltativo. |
Nota
Gli errori impediscono il corretto funzionamento dei contenuti che usano il parser. Gli avvisi non impediscono il funzionamento dei contenuti, ma possono ridurre la qualità dei risultati.
Convalidare i valori di output
Per assicurarsi che il parser produca valori validi, usare il tester dei dati ASIM eseguendo la query seguente nella pagina Log di Microsoft Sentinel:
<parser name> | limit <X> | invoke ASimDataTester ('<schema>')
La specifica di uno schema è facoltativa. Se non viene specificato uno schema, viene usato il campo EventSchema
per identificare lo schema a cui deve essere conforme l'evento. Se un evento non include un campo EventSchema
, vengono verificati solo i campi comuni. Se uno schema viene specificato come parametro, lo schema stesso verrà usato per testare tutti i record. Ciò è utile per i parser meno recenti che non impostano il campo EventSchema
.
Nota
Anche quando non viene specificato uno schema, dopo il nome della funzione è necessario aggiungere parentesi vuote.
Questo test richiede un utilizzo intensivo delle risorse e potrebbe non funzionare sull'intero set di dati. Impostare X sul numero più grande per il quale la query non raggiunge il timeout oppure impostare l'intervallo di tempo per la query usando l’apposito controllo di selezione.
Gestire i risultati nel modo seguente:
Messaggio | Azione |
---|---|
(0) Errore: tipo non corrispondente per la colonna [<Campo>]. Attualmente è [<Tipo>] e dovrebbe essere [<Tipo>] | Assicurarsi che il tipo di campo normalizzato sia corretto, in genere usando una funzione di conversione, ad esempio tostring . |
(0) Errore: valori non validi (fino a 10 elencati) per il campo [<Campo>] di tipo [<Tipo logico>] | Assicurarsi che il parser esegua il mapping del campo di origine corretto al campo di output. Se il mapping è corretto, aggiornare il parser per trasformare il valore di origine nel tipo, nel valore o nel formato corretto. Per altre informazioni sui valori e sui formati corretti per ogni tipo logico, vedere l'elenco di tipi logici. Tenere presente che lo strumento di test elenca solo un campione di 10 valori non validi. |
(1) Avviso: valore vuoto nel campo obbligatorio [<Campo>] | I campi obbligatori devono essere popolati, non semplicemente definiti. Controllare se il campo può essere popolato da altre origini per i record per i quali l'origine attuale è vuota. |
(2) Informazioni: valore vuoto nel campo consigliato [<Campo>] | I campi consigliati devono in genere essere popolati. Controllare se il campo può essere popolato da altre origini per i record per i quali l'origine attuale è vuota. |
(2) Informazioni: valore vuoto nel campo facoltativo [<Campo>] | Controllare se il campo con alias è obbligatorio o consigliato e, in tal caso, se può essere popolato da altre origini. |
Molti messaggi segnalano anche il numero di record che hanno generato il messaggio e la relativa percentuale del campione totale. Questa percentuale è un buon indicatore dell'importanza del problema. Ad esempio, per un campo consigliato:
- Il 90% di valori vuoti può indicare un problema generale di analisi.
- Il 25% di valori vuoti può indicare una variante di evento non analizzata correttamente.
- Un numero esiguo di valori vuoti può indicare un problema trascurabile.
Nota
Gli errori impediscono il corretto funzionamento dei contenuti che usano il parser. Gli avvisi non impediscono il funzionamento dei contenuti, ma possono ridurre la qualità dei risultati.
Contribuire con i propri parser
È possibile contribuire con i propri parser alla distribuzione primaria di ASIM. Se accettati, i parser saranno disponibili per tutti i clienti come parser predefiniti di ASIM.
Per contribuire con i propri parser:
- Sviluppare sia un parser di filtro che un parser senza parametri.
- Creare un file YAML per il parser come descritto nella sezione precedente Distribuzione dei parser.
- Assicurarsi che i parser superino tutti i test senza errori. Se rimangono degli avvisi, documentarli nel file YAML del parser.
- Creare una richiesta pull per il repository GitHub di Microsoft Sentinel, che includa:
- I file YAML dei parser nelle cartelle dei parser ASIM (
/Parsers/ASim<schema>/Parsers
) - Dati di esempio rappresentativi conformi alle linee guida per l'invio di esempi.
- I risultati dei test conformemente alle linee guida per l'invio dei risultati dei test.
- I file YAML dei parser nelle cartelle dei parser ASIM (
Documentazione degli avvisi accettati
Se gli avvisi elencati dagli strumenti di test ASIM sono considerati validi per un parser, documentare gli avvisi accettati nel file YAML del parser usando la sezione Exceptions, come illustrato nell'esempio seguente.
Exceptions:
- Field: DnsQuery
Warning: Invalid value
Exception: May have values such as "1164-ms-7.1440-9fdc2aab.3b2bd806-978e-11ec-8bb3-aad815b5cd42" which are not valid domains names. Those are related to TKEY RR requests.
- Field: DnsQuery
Warning: Empty value in mandatory field
Exception: May be empty for requests for root servers and for requests for RR type DNSKEY
L'avviso specificato nel file YAML deve essere una forma breve del messaggio di avviso che lo identifichi in modo univoco. Il valore viene usato per trovare le corrispondenze con i messaggi di avviso durante l'esecuzione di test automatizzati e ignorarli.
Linee guida per l'invio di esempi
I dati di esempio sono necessari per la risoluzione dei problemi del parser e per garantire che gli aggiornamenti futuri del parser siano conformi agli esempi precedenti. Gli esempi inviati devono includere qualsiasi variante di evento supportata dal parser. Assicurarsi che gli eventi di esempio includano tutti i possibili tipi, formati e varianti di evento, ad esempio eventi che rappresentano attività riuscite e non riuscite. Assicurarsi inoltre che siano rappresentate le varianti nei formati dei valori. Ad esempio, se un nome di host può essere rappresentato come nome di dominio completo (FQDN) o come semplice nome di host, gli eventi di esempio devono includere entrambi i formati.
Per inviare gli esempi di eventi, seguire questa procedura:
- Nella schermata
Logs
eseguire una query che estragga dalla tabella di origine solo gli eventi selezionati dal parser. Ad esempio, per il parser Infoblox DNS, usare la query seguente:
Syslog
| where ProcessName == "named"
Esportare i risultati usando l'opzione Esporta in CSV in un file denominato
<EventVendor>_<EventProduct>_<EventSchema>_IngestedLogs.csv
, doveEventProduct
,EventProduct
eEventSchema
sono i valori assegnati dal parser a tali campi.Nella schermata
Logs
eseguire una query che restituirà lo schema o la tabella di input del parser. Ad esempio, per lo stesso parser Infoblox DNS, la query è:
Syslog
| getschema
Esportare i risultati usando l'opzione Esporta in CSV in un file denominato
<TableName>_schema.csv
, doveTableName
è il nome della tabella di origine usata dal parser.Includere entrambi i file nella richiesta pull nella cartella
/Sample Data/ASIM
. Se il file esiste già, aggiungere l'handle GitHub al nome, ad esempio:<EventVendor>_<EventProduct>_<EventSchema>_SchemaTest_<GitHubHandle>.csv
Linee guida per l'invio dei risultati dei test
I risultati dei test sono importanti per verificare la correttezza del parser e comprendere eventuali eccezioni segnalate.
Per inviare i risultati dei test, seguire questa procedura:
Eseguire i test del parser descritti nella sezione Testare i parser.
Esportare i risultati dei test usando l'opzione Esporta in CSV nei file denominati
<EventVendor>_<EventProduct>_<EventSchema>_SchemaTest.csv
e<EventVendor>_<EventProduct>_<EventSchema>_DataTest.csv
rispettivamente.Includere entrambi i file nella richiesta pull nella cartella
/Parsers/ASim<schema>/Tests
.
Passaggi successivi
In questo articolo è stato illustrato lo sviluppo di parser ASIM.
Altre informazioni sui parser ASIM:
Altre informazioni su ASIM in generale:
- Guardare il webinar di approfondimento sui parser di normalizzazione e i contenuti normalizzati di Microsoft Sentinel o esaminare le diapositive
- Panoramica di ASIM (Advanced Security Information Model)
- Schemi ASIM (Advanced Security Information Model)
- Contenuti ASIM (Advanced Security Information Model)