Verwenden des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) (Öffentliche Vorschau)
Verwenden Sie in Ihren Microsoft Sentinel-Abfragen anstelle von Tabellennamen Parser für das erweiterte Sicherheitsinformationsmodell (ASIM), um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in Ihre Abfrage einzuschließen. In der folgenden Tabelle finden Sie die relevanten Parser für jedes Schema.
Wichtig
ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Vereinheitlichung von Parsern
Wenn Sie das ASIM in Ihren Abfragen verwenden, verwenden Sie vereinheitlichende Parser, um alle Quellen zu kombinieren, die in das selbe Schema normalisiert sind, und sie unter Verwendung von normalisierten Feldern abzufragen. Der Name des vereinheitlichenden Parser lautet für integrierte Parser _Im_<schema> und für im Arbeitsbereich bereitgestellte Parser im<schema>, wobei <schema> für das spezifische Schema steht, das er verarbeitet.
In der folgenden Abfrage wird beispielsweise der integrierte vereinheitlichende DNS-Parser verwendet, um DNS-Ereignisse anhand der normalisierten Felder ResponseCodeName, SrcIpAddr und TimeGenerated abzufragen:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Im Beispiel werden Filterparameter verwendet, die die ASIM-Leistung verbessern. Das gleiche Beispiel ohne Filterparameter würde wie folgt aussehen:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Hinweis
Wenn Sie auf der Seite Protokolle ASIM-Parser verwenden, wird die Zeitbereichsauswahl auf custom festgelegt. Sie können den Zeitbereich immer noch selbst festlegen. Alternativ können Sie den Zeitbereich mit Parserparametern angeben.
In der folgenden Tabelle sind die verfügbaren vereinheitlichenden Parser aufgeführt:
| Schema | Vereinheitlichender Parser |
|---|---|
| Überwachungsereignis | _Im_AuditEvent |
| Authentifizierung | imAuthentication |
| Dns | _Im_Dns |
| Dateiereignis | imFileEvent |
| Netzwerksitzung | _Im_NetworkSession |
| Prozessereignis | - imProcessCreate - imProcessTerminate |
| Registrierungsereignis | imRegistry |
| Websitzung | _Im_WebSession |
Optimierung des Parsings mit Hilfe von Parametern
Die Verwendung von Parsern kann die Abfrageleistung vor allem beeinträchtigen, weil die Ergebnisse nach der Analyse gefiltert werden. Aus diesem Grund verfügen viele Parser über optionale Filterparameter, die es Ihnen ermöglichen, vor dem Parsen zu filtern und die Abfrageleistung zu verbessern. Durch Abfrageoptimierung und Vorfilterung bieten ASIM-Parser oft eine bessere Leistung, als wenn sie überhaupt keine Normalisierung verwenden.
Wenn Sie den Parser aufrufen, verwenden Sie immer verfügbare Filterparameter, indem Sie einen oder mehrere benannte Parameter hinzufügen, um eine optimale Leistung der ASIM-Parser sicherzustellen.
Jedes Schema verfügt über Standardfilterparameter, die in der entsprechenden Schemadokumentation dokumentiert sind. Die Filterparameter sind völlig optional. Die folgenden Schemas unterstützen Filterparameter:
Jedes Schema, das Filterparameter unterstützt, unterstützt mindestens die Parameter starttime und endtime und deren Verwendung ist häufig für die Optimierung der Leistung kritisch.
Ein Beispiel für die Verwendung von Filterparsern finden Sie oben unter Vereinheitlichende Parser.
Der Packparameter
Um Effizienz zu gewährleisten, verwenden Parser nur normalisierte Felder. Felder, die nicht normalisiert sind, haben weniger Wert, wenn sie mit anderen Quellen kombiniert werden. Einige Parser unterstützen den pack-Parameter. Wenn der pack-Parameter auf true festgelegt ist, packt der Parser zusätzliche Daten in das dynamische Feld AdditionalFields.
Im Liste mit der Liste der Parser sind Parser aufgeführt, die den pack-Parameter unterstützen.
Nächste Schritte
Weitere Informationen zu ASIM-Parsern finden Sie hier:
- Übersicht über ASIM-Parser
- Verwalten von ASIM-Parsern
- Entwickeln benutzerdefinierter ASIM-Parser
- Liste der ASIM-Parser
Weitere Informationen zur ASIM im Allgemeinen finden Sie hier:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)