Condividi tramite


Parser ASIM (Advanced Security Information Model) (anteprima pubblica)

In Microsoft Sentinel l'analisi e la normalizzazione avvengono in fase di query. I parser vengono compilati come funzioni definite dall'utente KQL che trasformano i dati in tabelle esistenti, ad esempio CommonSecurityLog, tabelle di log personalizzate o Syslog, nello schema normalizzato.

Gli utenti usano parser ASIM (Advanced Security Information Model) anziché i nomi di tabella nelle query per visualizzare i dati in un formato normalizzato e per includere tutti i dati rilevanti per lo schema nella query.

Per comprendere in che modo i parser si inseriscono nell'architettura ASIM, vedere il diagramma dell'architettura ASIM.

Importante

ASIM è attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Parser ASIM predefiniti e parser distribuiti nell'area di lavoro

Molti parser ASIM sono integrati e sono disponibili per impostazione predefinita in ogni area di lavoro di Microsoft Sentinel. ASIM supporta anche la distribuzione di parser in aree di lavoro specifiche da GitHub, usando un modello di Resource Manager o manualmente. Sia i parser predefiniti che i parser distribuiti nell'area di lavoro sono equivalenti a livello funzionale, ma hanno convenzioni di denominazione leggermente diverse, consentendo la coesistenza di entrambi i set di parser nella stessa area di lavoro di Microsoft Sentinel.

Ogni metodo presenta alcuni vantaggi rispetto all'altro:

Confronta Predefinito Distribuzione in area di lavoro
Vantaggi Disponibilità in ogni istanza di Microsoft Sentinel.

Utilizzabile con altri contenuti predefiniti.
I nuovi parser vengono spesso resi disponibili prima di tutto come parser distribuiti nell'area di lavoro.
Svantaggi Non può essere modificato direttamente dagli utenti.

Meno parser disponibili.
Non usati dal contenuto predefinito.
Quando utilizzare Usare nella maggior parte dei casi in cui sono necessari parser ASIM. Usare quando si distribuiscono nuovi parser o per i parser non ancora disponibili come predefiniti.

È consigliabile usare parser predefiniti per gli schemi per i quali sono disponibili parser predefiniti.

Gerarchia e denominazione del parser

ASIM include due livelli di parser: unificazione del parser e parser specifici dell'origine. L'utente usa in genere il parser unificante per lo schema pertinente, assicurando che vengano sottoposti a query tutti i dati rilevanti per lo schema. Il parser unificante chiama a sua volta parser specifici dell'origine per eseguire l'analisi e la normalizzazione effettive, che è specifica per ogni origine.

Il nome del parser unificatore è _Im_<schema> per i parser predefiniti e im<schema> per i parser distribuiti nell'area di lavoro, dove <schema> è l'acronimo dello schema specifico usato. I parser specifici dell'origine possono anche essere usati in modo indipendente. Usare _Im_<schema>_<source> per i parser predefiniti e vim<schema><source> per i parser distribuiti nell'area di lavoro. Ad esempio, in una cartella di lavoro specifica di Infoblox usare il parser specifico dell'origine _Im_Dns_InfobloxNIOS . È possibile trovare un elenco di parser specifici dell'origine nell'elenco dei parser ASIM.

Suggerimento

Set corrispondente di parser che usano _ASim_<schema> e ASim<Schema> sono disponibili anche. Questi parser non supportano i parametri di filtro e vengono forniti per ridurre il set di selezione ora impostato su un problema di intervallo personalizzato. Usare tali parser solo in modo interattivo nella schermata dei log, ma non altrove, ad esempio nelle regole analitiche o nelle cartelle di lavoro. Questo parser potrebbe non essere rimosso quando il problema viene risolto.

Suggerimento

La gerarchia del parser predefinita aggiunge un livello per supportare la personalizzazione. Per altre informazioni, vedere Gestione dei parser ASIM.

Passaggi successivi

Altre informazioni sui parser ASIM:

Per altre informazioni su ASIM, in generale, vedere: