Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie ASIM-Parser (Advanced Security Information Model) anstelle von Tabellennamen in Ihren Microsoft Sentinel Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in Ihre Abfrage einzuschließen. In der folgenden Tabelle finden Sie den relevanten Parser für jedes Schema.
Vereinheitlichende Parser
Wenn Sie ASIM in Ihren Abfragen verwenden, verwenden Sie vereinheitlichende Parser , um alle Quellen zu kombinieren, die auf dasselbe Schema normalisiert sind, und fragen Sie sie mithilfe normalisierter Felder ab. Der vereinheitlichende Parsername ist _Im_<schema>, wobei <schema> für das spezifische Schema steht, das er bedient.
Die folgende Abfrage verwendet beispielsweise den integrierten vereinheitlichenden DNS-Parser, um DNS-Ereignisse mithilfe der ResponseCodeNamenormalisierten Felder , SrcIpAddrund TimeGenerated abzufragen:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Im Beispiel werden Filterparameter verwendet, die die ASIM-Leistung verbessern. Das gleiche Beispiel ohne Filtern von Parametern würde wie folgt aussehen:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
In der folgenden Tabelle sind die verfügbaren vereinheitlichenden Parser aufgeführt:
| Schema | Vereinheitlichender Parser |
|---|---|
| Warnungsereignis | _Im_AlertEvent |
| Objektentität | _Im_AssetEntity |
| Audit-Ereignis | _Im_AuditEvent |
| Authentifizierung | _Im_Authentication |
| DHCP-Ereignis | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Dateiereignis | _Im_FileEvent |
| Netzwerksitzung | _Im_NetworkSession |
| Prozessereignis | _Im_ProcessCreate _Im_ProcessTerminate |
| Registrierungsereignis | _Im_RegistryEvent |
| User Management | _Im_UserManagement |
| Websitzung | _Im_WebSession |
Optimieren der Analyse mithilfe von Parametern
Die Verwendung von Parsern kann sich auf die Abfrageleistung auswirken, vor allem durch das Filtern der Ergebnisse nach der Analyse. Aus diesem Grund verfügen viele Parser über optionale Filterparameter, mit denen Sie vor dem Analysieren filtern und die Abfrageleistung verbessern können. Mit Abfrageoptimierung und Vorfilterung bieten ASIM-Parser häufig eine bessere Leistung im Vergleich zur nicht verwendeten Normalisierung.
Verwenden Sie beim Aufrufen des Parsers immer verfügbare Filterparameter, indem Sie einen oder mehrere benannte Parameter hinzufügen, um eine optimale Leistung der ASIM-Parser sicherzustellen.
Jedes Schema verfügt über einen Standardsatz von Filterparametern, die in der entsprechenden Schemadokumentation dokumentiert sind. Filterparameter sind vollständig optional.
Ein Beispiel für die Verwendung von Filterparsern finden Sie unter Vereinheitlichen von Parsern.
Der Pack-Parameter
Um die Effizienz sicherzustellen, verwalten Parser nur normalisierte Felder. Felder, die nicht normalisiert sind, haben weniger Wert, wenn sie mit anderen Quellen kombiniert werden. Einige Parser unterstützen den Pack-Parameter . Wenn der Pack-Parameter auf truefestgelegt ist, packt der Parser zusätzliche Daten in das dynamische Feld AdditionalFields .
Im Artikel Parserliste werden Parser aufgeführt, die den Pack-Parameter unterstützen.
Verwandte Inhalte
Weitere Informationen finden Sie unter: