De ASIM-parsers (Advanced Security Information Model) (openbare preview)
In Microsoft Sentinel gebeurt het parseren en normaliseren van query's. Parsers worden gebouwd als door de gebruiker gedefinieerde KQL-functies waarmee gegevens in bestaande tabellen, zoals CommonSecurityLog, aangepaste logboektabellen of Syslog, worden getransformeerd in het genormaliseerde schema.
Gebruikers gebruiken ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in hun query's om gegevens in een genormaliseerde indeling weer te geven en alle gegevens op te nemen die relevant zijn voor het schema in uw query.
Als u wilt weten hoe parsers binnen de ASIM-architectuur passen, raadpleegt u het ASIM-architectuurdiagram.
Belangrijk
ASIM is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Ingebouwde ASIM-parsers en door werkruimte geïmplementeerde parsers
Veel ASIM-parsers zijn ingebouwd en standaard beschikbaar in elke Microsoft Sentinel-werkruimte. ASIM biedt ook ondersteuning voor het implementeren van parsers naar specifieke werkruimten vanuit GitHub, met behulp van een ARM-sjabloon of handmatig. Zowel standaard als door werkruimte geïmplementeerde parsers zijn functioneel gelijkwaardig, maar hebben enigszins verschillende naamconventies, waardoor beide parsersets naast elkaar kunnen bestaan in dezelfde Microsoft Sentinel-werkruimte.
Elke methode heeft voordelen ten opzichte van de andere:
| Vergelijken | Ingebouwd | Werkruimte geïmplementeerd |
|---|---|---|
| Voordelen | Bestaan in elk Microsoft Sentinel-exemplaar. Bruikbaar met andere ingebouwde inhoud. |
Nieuwe parsers worden vaak eerst geleverd als door de werkruimte geïmplementeerde parsers. |
| Nadelen | Kan niet rechtstreeks worden gewijzigd door gebruikers. Minder parsers beschikbaar. |
Niet gebruikt door ingebouwde inhoud. |
| Wanneer gebruiken | Gebruik in de meeste gevallen dat u ASIM-parsers nodig hebt. | Gebruik deze optie bij het implementeren van nieuwe parsers of voor parsers die nog niet standaard beschikbaar zijn. |
Het wordt aanbevolen om ingebouwde parsers te gebruiken voor schema's waarvoor ingebouwde parsers beschikbaar zijn.
Hiërarchie en naamgeving van parser
ASIM bevat twee niveaus van parsers: parser en bronspecifieke parsers. De gebruiker gebruikt meestal de samenvoegingsparser voor het relevante schema, zodat alle gegevens die relevant zijn voor het schema, worden opgevraagd. De parser die op zijn beurt bronspecifieke parsers aanroept om de werkelijke parsering en normalisatie uit te voeren, die specifiek is voor elke bron.
De samenvoegingsnaam is _Im_<schema> voor ingebouwde parsers en im<schema> voor geïmplementeerde parsers in de werkruimte, waar <schema> staat voor het specifieke schema dat het dient. Bronspecifieke parsers kunnen ook onafhankelijk worden gebruikt. Gebruiken _Im_<schema>_<source> voor ingebouwde parsers en vim<schema><source> voor geïmplementeerde parsers in de werkruimte. Gebruik bijvoorbeeld in een Infoblox-specifieke werkmap de _Im_Dns_InfobloxNIOS bronspecifieke parser. U vindt een lijst met bronspecifieke parsers in de ASIM-parserslijst.
Tip
Een bijbehorende set parsers die worden gebruikt _ASim_<schema> en ASim<Schema> die ook beschikbaar zijn. Parsers bieden geen ondersteuning voor filterparameters en worden verstrekt om de tijdkiezer te beperken die is ingesteld op een probleem met een aangepast bereik . Gebruik deze parsers alleen interactief in het logboekscherm, maar niet elders, bijvoorbeeld in analytische regels of werkmappen. Deze parsers worden mogelijk niet verwijderd wanneer het probleem wordt opgelost.
Tip
De ingebouwde parserhiërarchie voegt een laag toe ter ondersteuning van aanpassing. Zie ASIM-parsers beheren voor meer informatie.
Volgende stappen
Meer informatie over ASIM-parsers:
Zie voor meer informatie over ASIM in het algemeen: