Introduktion
Datanormalisering i Microsoft Sentinel möjliggör standardisering av data mellan flera datakällor.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerade Microsoft Sentinel. Du har flera anslutningsappar som skriver ostrukturerade brandväggsdata till tabellen CommonSecurityLog. Du måste ge säkerhetsanalytiker möjlighet att enkelt skriva analysregelfrågor mot brandväggsdata. Du måste skapa en ASIM-parser för att tillhandahålla en tabell som analytikerna kan köra frågor mot.
I slutet av den här modulen kommer du att kunna använda ASIM-parsare för att identifiera hot i din organisation.
När du har slutfört den här modulen kommer du att kunna:
- Använda ASIM-parsrar
- Skapa ASIM-parser
- Skapa parametriserade KQL-funktioner