ASIM-parsers gebruiken
In Microsoft Sentinel gebeurt het parseren en normaliseren van query's. Parsers worden gebouwd als door de gebruiker gedefinieerde KQL-functies waarmee gegevens in bestaande tabellen, zoals CommonSecurityLog, aangepaste logboektabellen of Syslog, worden getransformeerd in het genormaliseerde schema.
Gebruikers gebruiken ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in hun query's om gegevens in een genormaliseerde indeling weer te geven en alle gegevens op te nemen die relevant zijn voor het schema in uw query.
Ingebouwde ASIM-parsers en door werkruimte geïmplementeerde parsers
Veel ASIM-parsers zijn ingebouwd en standaard beschikbaar in elke Microsoft Sentinel-werkruimte. ASIM biedt ook ondersteuning voor het implementeren van parsers naar specifieke werkruimten vanuit GitHub, met behulp van een ARM-sjabloon of handmatig. Zowel standaard als door werkruimte geïmplementeerde parsers zijn functioneel gelijkwaardig, maar hebben enigszins verschillende naamconventies, waardoor beide parsersets naast elkaar kunnen bestaan in dezelfde Microsoft Sentinel-werkruimte.
Elke methode heeft voordelen ten opzichte van de andere:
| Vergelijken | Ingebouwd | Werkruimte geïmplementeerd |
|---|---|---|
| Voordelen | Bestaan in elk Microsoft Sentinel-exemplaar. Bruikbaar met andere ingebouwde inhoud. | Nieuwe parsers worden vaak eerst geleverd als door de werkruimte geïmplementeerde parsers. |
| Nadelen | Kan niet rechtstreeks worden gewijzigd door gebruikers. Minder parsers beschikbaar. | Niet gebruikt door ingebouwde inhoud. |
| Wanneer gebruiken | Gebruik in de meeste gevallen dat u ASIM-parsers nodig hebt. | Gebruik deze optie bij het implementeren van nieuwe parsers of voor parsers die nog niet standaard beschikbaar zijn. |
Het is raadzaam ingebouwde parsers te gebruiken voor schema's waarvoor ingebouwde parsers beschikbaar zijn.
Hiërarchie parser
ASIM bevat twee niveaus van parsers: parser en bronspecifieke parsers. De gebruiker gebruikt meestal de samenvoegingsparser voor het relevante schema, zodat alle gegevens die relevant zijn voor het schema, worden opgevraagd. De parser die op zijn beurt bronspecifieke parsers aanroept om de werkelijke parsering en normalisatie uit te voeren, die specifiek is voor elke bron.
De samenvoegingsnaam is _Im_Schema voor ingebouwde parsers en imSchema voor geïmplementeerde parsers in de werkruimte. Waar Schema staat voor het specifieke schema dat het dient. Bronspecifieke parsers kunnen ook onafhankelijk worden gebruikt. Gebruik bijvoorbeeld in een Infoblox-specifieke werkmap de bronspecifieke parser vimDnsInfobloxNIOS .
Parsers opheffen
Wanneer u ASIM in uw query's gebruikt, kunt u parsers samenvoegen om alle bronnen te combineren, genormaliseerd tot hetzelfde schema en deze query's uit te voeren met behulp van genormaliseerde velden.
De volgende query maakt bijvoorbeeld gebruik van de ingebouwde samenvoeging van DNS-parser voor het opvragen van DNS-gebeurtenissen met behulp van de velden ResponseCodeName, SrcIpAddr en TimeGenerated genormaliseerd:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
In het voorbeeld worden filterparameters gebruikt, waardoor de ASIM-prestaties worden verbeterd. Hetzelfde voorbeeld zonder filterparameters ziet er als volgt uit:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
De volgende tabel bevat beschikbare parsers:
| Schema | Parser opheffen |
|---|---|
| Verificatie | imAuthentication |
| Dns | _Im_Dns |
| Bestandsevenement | imFileEvent |
| Netwerksessie | _Im_NetworkSession |
| Proces-gebeurtenis | imProcessCreate en imProcessTerminate |
| Register-gebeurtenis | imRegistry |
| Websessie | _Im_WebSession |
Parseren optimaliseren met behulp van parameters
Het gebruik van parsers kan van invloed zijn op de prestaties van uw query, voornamelijk van het filteren van de resultaten na parseren. Daarom hebben veel parsers optionele filterparameters, waarmee u kunt filteren voordat u queryprestaties parseert en verbetert. Met queryoptimalisatie en voorfiltering bieden ASIM-parsers vaak betere prestaties in vergelijking met het helemaal niet gebruiken van normalisatie.
Wanneer u de parser aanroept, gebruikt u altijd beschikbare filterparameters door een of meer benoemde parameters toe te voegen om optimale prestaties van de ASIM-parsers te garanderen.
Elk schema heeft een standaardset filterparameters die worden beschreven in de relevante schemadocumentatie. Filterparameters zijn volledig optioneel. De volgende schema's ondersteunen filterparameters:
- Verificatie
- DNS
- Netwerksessie
- Websessie
Elk schema dat filterparameters ondersteunt, ondersteunt ten minste de parameters starttime en enttime en het gebruik hiervan is vaak essentieel voor het optimaliseren van de prestaties.