Administrer ASIM-fortolkere (Advanced Security Information Model)

ASIM-brugere (Advanced Security Information Model) bruger samlende fortolkere i stedet for tabelnavne i deres forespørgsler til at få vist data i et normaliseret format og hente alle de data, der er relevante for skemaet, i en enkelt forespørgsel. Hver forenende parser bruger flere kildespecifikke fortolkninger, der håndterer hver kildes specifikke detaljer.

Se ASIM-arkitekturdiagrammet for at forstå, hvordan fortolkere passer inden for ASIM-arkitekturen.

Du skal muligvis administrere de kildespecifikke fortolkere, der bruges af hver forenende parser, for at:

• Føj en brugerdefineret, kildespecifik fortolker til en forenende parser.

• Erstat en indbygget, kildespecifik fortolker, der bruges af en forenende parser, med en brugerdefineret, kildespecifik fortolker. Erstat indbyggede fortolkere, når du vil:

  • Brug en anden version af den indbyggede parser end den, der bruges som standard i den forenende parser.

  • Undgå automatiserede opdateringer ved at bevare versionen af den kildespecifikke parser, der bruges af den forenende parser.

  • Brug en ændret version af en indbygget parser.

• Konfigurer en kildespecifik parser, f.eks. for at definere de kilder, der sender oplysninger, der er relevante for fortolkeren.

I denne artikel får du hjælp til at administrere dine fortolkere.

Forudsætninger

Procedurerne i denne artikel forudsætter, at alle kildespecifikke fortolkere allerede er installeret i dit Microsoft Sentinel arbejdsområde.

Du kan finde flere oplysninger under Udvikl ASIM-fortolkere.

Administrer indbyggede foreningsparsere

Konfigurer dit arbejdsområde

Microsoft Sentinel brugere kan ikke redigere indbyggede foreningsparsere. Brug i stedet følgende mekanismer til at ændre funktionsmåden for indbyggede foreningsparsere:

• Asim bruger samlende, brugerdefinerede fortolkninger for at understøtte tilføjelse af kildespecifikke fortolkninger. Disse brugerdefinerede fortolkninger er udrullet i arbejdsområdet og kan derfor redigeres. Indbyggede, samlende fortolkere henter automatisk disse brugerdefinerede fortolkere, hvis de findes.

  Du kan udrulle indledende, tomme og samle brugerdefinerede fortolkere i dit Microsoft Sentinel arbejdsområde for alle understøttede skemaer eller individuelt for bestemte skemaer. Du kan finde flere oplysninger under Udrul indledende ASIM-tomme, brugerdefinerede parsere i Microsoft Sentinel GitHub-lageret.

• Asim bruger en visningsliste til at understøtte udeladelse af indbyggede kildespecifikke fortolkninger. Udrul visningslisten til dit Microsoft Sentinel arbejdsområde fra gitHub-lageret Microsoft Sentinel.

• Asim bruger en visningsliste til at definere kildetype for indbyggede og brugerdefinerede fortolkninger. Udrul visningslisten til dit Microsoft Sentinel arbejdsområde fra gitHub-lageret Microsoft Sentinel.

Føj en brugerdefineret parser til en indbygget samlende parser

Hvis du vil tilføje en brugerdefineret parser, skal du indsætte en linje i den brugerdefinerede foreningsparser for at referere til den nye brugerdefinerede parser.

Sørg for både at tilføje en brugerdefineret parser til filtrering og en brugerdefineret parser uden parametre. Du kan få mere at vide om, hvordan du redigerer fortolkninger, i dokumentfunktionerne i Azure Overvåg logforespørgsler.

Syntaksen for den linje, der skal tilføjes, er forskellig for hvert skema:

Skema	Parser	Linje, der skal tilføjes
AlertEvent	Im_AlertEventCustom	_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any)
AuditEvent	Im_AuditEventCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any)
Godkendelse	Im_AuthenticationCustom	_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult)
DhcpEvent	Im_DhcpEventCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult)
Dns	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
FileEvent	Im_FileEventCustom	_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any)
Netværkssession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
ProcessEvent	Im_ProcessEventCustom	_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype)
RegistryEvent	Im_RegistryEventCustom	_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any)
UserManagement	Im_UserManagementCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Når du føjer en ekstra parser til en samlende brugerdefineret parser, der allerede refererer til fortolkere, skal du sørge for at tilføje et komma i slutningen af den forrige linje.

Følgende kode viser f.eks. en brugerdefineret foreningsparser efter at have tilføjet added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Brug en ændret version af en indbygget parser

Sådan redigerer du en eksisterende indbygget kildespecifik parser:

1. Opret en brugerdefineret parser baseret på den oprindelige parser, og føj den til den indbyggede parser. Du kan bruge den udrullede version af fortolkeren som udgangspunkt.

2. Føj en post til visningslisten ASim Disabled Parsers .

3. Definer værdien CallerContext som Exclude<parser name>, hvor <parser name> er navnet på de forenende fortolkere, du vil udelade fortolkeren fra.

4. Definer værdien SourceSpecificParserExclude<parser name>, hvor <parser name>er navnet på den fortolker, du vil udelade, uden en versionsangivelse.

Hvis du f.eks. vil udelade den Azure Firewall DNS-parser, skal du føje følgende post til visningslisten:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Undgå en automatisk opdatering af en indbygget parser

Brug følgende proces til at forhindre automatiske opdateringer af indbyggede kildespecifikke fortolkninger:

1. Føj den indbyggede parserversion, du vil bruge, f.eks _Im_Dns_AzureFirewallV02. , til den brugerdefinerede forenende parser. Du kan finde flere oplysninger ovenfor under Føj en brugerdefineret fortolker til en indbygget forenende parser.

2. Tilføj en undtagelse for den indbyggede fortolker. Hvis du f.eks. helt vil fravælge automatiske opdateringer og derfor udelukke et stort antal indbyggede fortolkningsmaskiner, skal du tilføje:

• En post med Any som SourceSpecificParser feltet for at udelade alle fortolkninger for CallerContext.
• En post for i CallerContext og felterne til Any udeladelse af SourceSpecificParser alle indbyggede fortolkninger.

Du kan finde flere oplysninger under Brug en ændret version af en indbygget fortolker.

Konfigurer de kilder, der er relevante for en kildespecifik fortolker

Nogle fortolkere kræver, at du opdaterer listen over kilder, der er relevante for fortolkeren. En parser, der f.eks. bruger Syslog-data, kan muligvis ikke afgøre, hvilke Syslog-hændelser der er relevante for fortolkeren. En sådan parser kan bruge visningslisten Sources_by_SourceType til at bestemme, hvilke kilder der sender oplysninger, der er relevante for fortolkeren. For sådanne fortolkninger skal du føje en post for hver relevant kilde til visningslisten:

• Angiv feltet SourceType til den parserspecifikke værdi, der er angivet i parserdokumentationen.
• Angiv feltet Source til id'et for den kilde, der bruges i hændelserne. Du skal muligvis forespørge den oprindelige tabel, f.eks. Syslog, for at finde den korrekte værdi.

Hvis din visningsliste ikke er Sources_by_SourceType installeret på systemet, skal du installere visningslisten på dit Microsoft Sentinel arbejdsområde fra Microsoft Sentinel GitHub-lageret.

Næste trin

I denne artikel beskrives administration af ASIM-fortolkere (Advanced Security Information Model).

Få mere at vide om ASIM-fortolkere:

• Oversigt over ASIM-fortolkninger
• Brug ASIM-fortolkninger
• Udvikl brugerdefinerede ASIM-fortolkninger
• Listen over ASIM-fortolkninger

Få mere at vide om ASIM generelt:

• Se webinaret med detaljeret gennemgang på Microsoft Sentinel normalisere fortolkere og normaliseret indhold, eller gennemse slidene
• Oversigt over ASIM (Advanced Security Information Model)
• ASIM-skemaer (Advanced Security Information Model)
• Asim-indhold (Advanced Security Information Model)