Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare i parser ASIM (Advanced Security Information Model) anziché i nomi di tabella nelle query di Microsoft Sentinel per visualizzare i dati in un formato normalizzato e includere tutti i dati rilevanti per lo schema nella query. Fare riferimento alla tabella seguente per trovare il parser pertinente per ogni schema.
Unificazione dei parser
Quando si usa ASIM nelle query, usare i parser unificanti per combinare tutte le origini normalizzate nello stesso schema ed eseguire query con campi normalizzati. Il nome unificante del parser è _Im_<schema>, dove <schema> rappresenta lo schema specifico usato.
Ad esempio, la query seguente usa il parser DNS unificante predefinito per eseguire query sugli eventi DNS usando i ResponseCodeNamecampi , SrcIpAddre TimeGenerated normalizzati:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Nell'esempio vengono usati parametri di filtro, che migliorano le prestazioni di ASIM. Lo stesso esempio senza filtrare i parametri avrà un aspetto simile al seguente:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Nella tabella seguente sono elencati i parser unificanti disponibili:
| Schema | Parser unificante |
|---|---|
| Avviso, evento | _Im_AlertEvent |
| Entità asset | _Im_AssetEntity |
| Audit, evento | _Im_AuditEvent |
| Autenticazione | _Im_Authentication |
| Evento DHCP | _Im_DhcpEvent |
| Dns | _Im_Dns |
| File, evento | _Im_FileEvent |
| Sessione di rete | _Im_NetworkSession |
| Evento Process | _Im_ProcessCreate _Im_ProcessTerminate |
| Evento del Registro di sistema | _Im_RegistryEvent |
| User Management | _Im_UserManagement |
| Sessione Web | _Im_WebSession |
Ottimizzazione dell'analisi tramite parametri
L'uso dei parser può influire sulle prestazioni delle query, principalmente dal filtro dei risultati dopo l'analisi. Per questo motivo, molti parser hanno parametri di filtro facoltativi, che consentono di filtrare prima di analizzare e migliorare le prestazioni delle query. Con l'ottimizzazione delle query e le attività di pre-filtro, i parser ASIM offrono spesso prestazioni migliori rispetto a non usare affatto la normalizzazione.
Quando si richiama il parser, usare sempre i parametri di filtro disponibili aggiungendo uno o più parametri denominati per garantire prestazioni ottimali dei parser ASIM.
Ogni schema ha un set standard di parametri di filtro documentati nella documentazione relativa allo schema. I parametri di filtro sono completamente facoltativi.
Per un esempio di uso dei parser di filtro, vedere Unifying parsers(Unifying parsers).
Il parametro pack
Per garantire l'efficienza, i parser mantengono solo i campi normalizzati. I campi non normalizzati hanno un valore minore se combinati con altre origini. Alcuni parser supportano il parametro pack . Quando il parametro pack è impostato su true, il parser inserirà dati aggiuntivi nel campo dinamico AdditionalFields .
L'articolo parsers list note parser che supportano il parametro pack.
Contenuto correlato
Per altre informazioni, vedere: