Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Microsoft Sentinel erfolgt die Analyse und Normalisierung zur Abfragezeit. Parser werden als benutzerdefinierte KQL-Funktionen erstellt, die Daten in vorhandenen Tabellen wie CommonSecurityLog, benutzerdefinierten Protokolltabellen oder Syslog in das normalisierte Schema transformieren.
Benutzer verwenden ASIM-Parser (Advanced Security Information Model) anstelle von Tabellennamen in ihren Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in Ihre Abfrage einzuschließen.
Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Integrierte ASIM-Parser und vom Arbeitsbereich bereitgestellte Parser
ASIM-Parser sind in jedem Microsoft Sentinel Arbeitsbereich integriert und sofort verfügbar.
ASIM unterstützt auch die Bereitstellung von Parsern in bestimmten Arbeitsbereichen von GitHub mithilfe einer ARM-Vorlage. Im Arbeitsbereich bereitgestellte Parser werden für die Entwicklung und Verwaltung des ASIM-Parsers verwendet. Im Arbeitsbereich bereitgestellte Parser sind funktional äquivalent, weisen jedoch geringfügig unterschiedliche Namenskonventionen auf, sodass beide Parsersätze gleichzeitig mit integrierten Parsern im selben Microsoft Sentinel Arbeitsbereich vorhanden sind. Erfahren Sie mehr über vom Arbeitsbereich bereitgestellte Parser , um sie bereitzustellen, zu verwenden und zu verwalten.
Es wird empfohlen, beim Entwickeln von ASIM-Inhalten integrierte Parser zu verwenden. Vom Arbeitsbereich bereitgestellte Parser werden in der Regel während des Parserentwicklungsprozesses oder zum Bereitstellen geänderter Versionen integrierter Parser verwendet, wie unter Verwalten von Parsern beschrieben.
Parserhierarchie und Benennung
ASIM umfasst zwei Ebenen von Parsern: vereinheitlichenden Parser und quellspezifische Parser. Der Benutzer verwendet in der Regel den vereinheitlichenden Parser für das relevante Schema, um sicherzustellen, dass alle für das Schema relevanten Daten abgefragt werden. Der vereinheitlichende Parser wiederum ruft quellenspezifische Parser auf, um die eigentliche Analyse und Normalisierung durchzuführen, die für jede Quelle spezifisch ist.
Der vereinheitlichende Parsername steht _Im_<schema><schema> für das spezifische Schema, das er bedient. Quellenspezifische Parser können auch unabhängig voneinander verwendet werden. Ihre Namenskonvention lautet _Im_<schema>_<source>V<version>. Eine Liste der quellspezifischen Parser finden Sie in der ASIM-Parserliste.
Hinweis
Ein entsprechender Satz von Parsern, die verwenden _ASim_<schema>. Diese Parser unterstützen keine Filterparameter und werden aus Gründen der Abwärtskompatibilität bereitgestellt.
Tipp
Die Parserhierarchie fügt eine Ebene zur Unterstützung der Anpassung hinzu. Weitere Informationen finden Sie unter Verwalten von ASIM-Parsern.
Nächste Schritte
Erfahren Sie mehr über ASIM-Parser:
- Verwenden von ASIM-Parsern
- Entwickeln benutzerdefinierter ASIM-Parser
- Verwalten von ASIM-Parsern
- Die ASIM-Parserliste
Weitere Informationen zu ASIM im Allgemeinen finden Sie unter:
- Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)