ASIM-parsare (Advanced Security Information Model) (offentlig förhandsversion)
I Microsoft Sentinel sker parsning och normalisering vid frågetillfället. Parsers skapas som KQL-användardefinierade funktioner som transformerar data i befintliga tabeller, till exempel CommonSecurityLog, anpassade loggtabeller eller Syslog, till det normaliserade schemat.
Användare använder ASIM-parsare (Advanced Security Information Model) i stället för tabellnamn i sina frågor för att visa data i ett normaliserat format och för att inkludera alla data som är relevanta för schemat i din fråga.
Information om hur parsers passar i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Viktigt!
ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Inbyggda ASIM-parsers och arbetsytedistribuerade parsers
Många ASIM-parsers är inbyggda och tillgängliga på alla arbetsytor i Microsoft Sentinel. ASIM stöder också distribution av parsers till specifika arbetsytor från GitHub, med hjälp av en ARM-mall eller manuellt. Både färdiga och arbetsytedistribuerade parsers är funktionellt likvärdiga, men de har något olika namngivningskonventioner vilket gör att båda parseruppsättningarna kan finnas på samma Microsoft Sentinel-arbetsyta.
Varje metod har fördelar jämfört med den andra:
| Jämför | Inbyggd | Arbetsyta distribuerad |
|---|---|---|
| Fördelar | Finns i varje Microsoft Sentinel-instans. Kan användas med annat inbyggt innehåll. |
Nya parsare levereras ofta först som arbetsytedistribuerade parsers. |
| Nackdelar | Det går inte att ändra direkt av användarna. Färre parsare är tillgängliga. |
Används inte av inbyggt innehåll. |
| När det bör användas | Använd i de flesta fall att du behöver ASIM-parsare. | Använd när du distribuerar nya parsers eller för parsare som ännu inte är tillgängliga. |
Vi rekommenderar att du använder inbyggda parsers för scheman för vilka inbyggda parsare är tillgängliga.
Parser-hierarki och namngivning
ASIM innehåller två nivåer av parsers: enande parser och källspecifika parsers. Användaren använder vanligtvis den enande parsern för det relevanta schemat, vilket säkerställer att alla data som är relevanta för schemat efterfrågas. Den enande parsern anropar i sin tur källspecifika parsare för att utföra den faktiska parsningen och normaliseringen, vilket är specifikt för varje källa.
Det enande parsernamnet är _Im_<schema> för inbyggda parsare och im<schema> för arbetsytedistribuerade parsare, där <schema> står för det specifika schema som används. Källspecifika parsare kan också användas oberoende av varandra. Används _Im_<schema>_<source> för inbyggda parsers och vim<schema><source> för arbetsytedistribuerade parsers. I en Infoblox-specifik arbetsbok använder du till exempel den _Im_Dns_InfobloxNIOS källspecifika parsern. Du hittar en lista över källspecifika parsers i ASIM-parsningslistan.
Dricks
En motsvarande uppsättning parsare som använder _ASim_<schema> och ASim<Schema> också är tillgängliga. Dessa parsare stöder inte filtreringsparametrar och tillhandahålls för att minimera tidsväljarens inställning till ett problem med anpassat intervall . Använd dessa parsare endast interaktivt på loggskärmen, men inte någon annanstans, till exempel i analysregler eller arbetsböcker. Den här parsern kanske inte tas bort när problemet är löst.
Dricks
Den inbyggda parserhierarkin lägger till ett lager som stöder anpassning. Mer information finns i Hantera ASIM-parsers.
Nästa steg
Läs mer om ASIM-parsers:
Mer information om ASIM finns i allmänhet: