ASIM-fortolkere (Advanced Security Information Model)

I Microsoft Sentinel sker fortolkning og normalisering på forespørgselstidspunktet. Fortolkere er bygget som brugerdefinerede KQL-funktioner , der transformerer data i eksisterende tabeller, f.eks . CommonSecurityLog, brugerdefinerede loggetabeller eller Syslog, til det normaliserede skema.

Brugerne bruger ASIM-fortolkere (Advanced Security Information Model) i stedet for tabelnavne i deres forespørgsler til at få vist data i et normaliseret format og til at inkludere alle de data, der er relevante for skemaet, i forespørgslen.

Se ASIM-arkitekturdiagrammet for at forstå, hvordan fortolkere passer inden for ASIM-arkitekturen.

Indbyggede ASIM-fortolkninger og fortolkere, der er udrullet i arbejdsområdet

ASIM-fortolkere er indbygget og tilgængelige klar til brug i alle Microsoft Sentinel arbejdsområder.

ASIM understøtter også udrulning af fortolkere til bestemte arbejdsområder fra GitHub ved hjælp af en ARM-skabelon. Udrullede fortolkninger af arbejdsområder bruges til udvikling og administration af ASIM-parser. Udrullede fortolkninger af arbejdsområder svarer funktionelt til hinanden, men har lidt forskellige navngivningskonventioner, så begge parsersæt kan fungere sammen med indbyggede fortolkninger i det samme Microsoft Sentinel arbejdsområde. Læs mere om udrullede fortolkninger af arbejdsområder for at udrulle, bruge og administrere dem.

Det anbefales at bruge indbyggede fortolkere, når du udvikler ASIM-indhold. Udrullede fortolkninger af arbejdsområder bruges typisk under udviklingsprocessen for fortolkere eller til at levere ændrede versioner af indbyggede fortolkere, som beskrevet i administration af fortolkninger

Parserhierarki og navngivning

ASIM indeholder to niveauer af fortolkere: forenende parser og kildespecifikke fortolkere. Brugeren bruger normalt den samlende parser til det relevante skema og sikrer, at alle data, der er relevante for skemaet, forespørges. Den forenende parser kalder kildespecifikke fortolkninger for at udføre den faktiske fortolkning og normalisering, som er specifik for hver kilde.

Det forenende parsernavn står _Im_<schema><schema> for det specifikke skema, det serverer. Kildespecifikke fortolkninger kan også bruges uafhængigt af hinanden. Deres navngivningskonvention er _Im_<schema>_<source>V<version>. Du kan finde en liste over kildespecifikke fortolkninger på asim-fortolkningslisten.

Bemærk!

Et tilsvarende sæt fortolkninger, der bruger _ASim_<schema>. Disse fortolkere understøtter ikke filtreringsparametre og leveres af hensyn til bagudkompatibilitet.

Tip

Parserhierarkiet tilføjer et lag for at understøtte tilpasning. Du kan finde flere oplysninger under Administration af ASIM-fortolkere.

Næste trin

Få mere at vide om ASIM-fortolkere:

• Brug ASIM-fortolkninger
• Udvikl brugerdefinerede ASIM-fortolkninger
• Administrer ASIM-fortolkninger
• Listen over ASIM-fortolkninger

Du kan få mere at vide om ASIM generelt i:

• Se webinaret med detaljeret gennemgang på Microsoft Sentinel normalisere fortolkere og normaliseret indhold, eller gennemse slidene
• Oversigt over ASIM (Advanced Security Information Model)
• ASIM-skemaer (Advanced Security Information Model)
• Asim-indhold (Advanced Security Information Model)