Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Brug ASIM-fortolkere (Advanced Security Information Model) i stedet for tabelnavne i dine Microsoft Sentinel forespørgsler til at få vist data i et normaliseret format og til at inkludere alle de data, der er relevante for skemaet i din forespørgsel. Se tabellen nedenfor for at finde den relevante fortolker for hvert skema.
Forenende fortolkere
Når du bruger ASIM i dine forespørgsler, skal du bruge samlende fortolkninger til at kombinere alle kilder, normaliseres til det samme skema og forespørge dem ved hjælp af normaliserede felter. Det forenende parsernavn er _Im_<schema>, hvor <schema> står for det specifikke skema, det serverer.
Følgende forespørgsel bruger f.eks. den indbyggede samlende DNS-parser til at forespørge DNS-hændelser ved hjælp af felterne ResponseCodeName, SrcIpAddrog TimeGenerated normaliserede :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
I eksemplet bruges filtreringsparametre, hvilket forbedrer ASIM-ydeevnen. Det samme eksempel uden filtrering af parametre vil se sådan ud:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
I følgende tabel vises de tilgængelige foreningsparsere:
| Skema | Forenende parser |
|---|---|
| Beskedhændelse | _Im_AlertEvent |
| Aktivenhed | _Im_AssetEntity |
| Overvågningshændelse | _Im_AuditEvent |
| Godkendelse | _Im_Authentication |
| DHCP-hændelse | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Filhændelse | _Im_FileEvent |
| Netværkssession | _Im_NetworkSession |
| Proceshændelse | _Im_ProcessCreate _Im_ProcessTerminate |
| Registreringsdatabasehændelse | _Im_RegistryEvent |
| Brugeradministration | _Im_UserManagement |
| Websession | _Im_WebSession |
Optimering af fortolkning ved hjælp af parametre
Brug af fortolkningselementer kan påvirke din forespørgselsydeevne, primært fra filtrering af resultaterne efter fortolkning. Derfor har mange fortolkere valgfrie filtreringsparametre, som gør det muligt for dig at filtrere, før du fortolker og forbedrer forespørgselsydeevnen. Med forespørgselsoptimering og forfiltreringsindsats giver ASIM-fortolkere ofte en bedre ydeevne sammenlignet med slet ikke at bruge normalisering.
Når du aktiverer fortolkeren, skal du altid bruge tilgængelige filtreringsparametre ved at tilføje en eller flere navngivne parametre for at sikre optimal ydeevne af ASIM-fortolkerne.
Hvert skema har et standardsæt af filtreringsparametre, der er dokumenteret i den relevante skemadokumentation. Filtreringsparametre er helt valgfrie.
Du kan finde et eksempel på brug af filtreringsparsere under Forenende fortolkere.
Pakkeparameteren
For at sikre effektiviteten bevarer fortolkere kun normaliserede felter. Felter, der ikke er normaliserede, har mindre værdi, når de kombineres med andre kilder. Nogle fortolkere understøtter pakkeparameteren . Når pakkeparameteren er angivet til true, pakker fortolkeren ekstra data ind i det dynamiske felt AdditionalFields .
De parsers list article notes parsers, der understøtter pakkeparameteren .
Relateret indhold
Du kan finde flere oplysninger under: