Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In Microsoft Sentinel, l'analisi e la normalizzazione vengono eseguite in fase di query. I parser vengono compilati come funzioni definite dall'utente KQL che trasformano i dati nelle tabelle esistenti, ad esempio CommonSecurityLog, tabelle di log personalizzate o Syslog, nello schema normalizzato.
Gli utenti usano parser ASIM (Advanced Security Information Model) anziché nomi di tabella nelle query per visualizzare i dati in un formato normalizzato e includere tutti i dati rilevanti per lo schema nella query.
Per informazioni sull'adattamento dei parser all'interno dell'architettura ASIM, vedere il diagramma dell'architettura ASIM.
Parser ASIM predefiniti e parser distribuiti nell'area di lavoro
I parser ASIM sono integrati e disponibili all'avanguardia in ogni area di lavoro Microsoft Sentinel.
ASIM supporta anche la distribuzione di parser in aree di lavoro specifiche da GitHub, usando un modello di Resource Manager. I parser distribuiti nell'area di lavoro vengono usati per lo sviluppo e la gestione del parser ASIM. I parser distribuiti nell'area di lavoro sono funzionalmente equivalenti, ma hanno convenzioni di denominazione leggermente diverse, consentendo a entrambi i set di parser di coesistere con i parser predefiniti nella stessa area di lavoro Microsoft Sentinel. Altre informazioni sui parser distribuiti nell'area di lavoro per distribuirli, usarli e gestirli .
È consigliabile usare parser predefiniti durante lo sviluppo di contenuto ASIM. I parser distribuiti nell'area di lavoro vengono in genere usati durante il processo di sviluppo del parser o per fornire versioni modificate dei parser predefiniti, come descritto nella gestione dei parser
Gerarchia e denominazione del parser
ASIM include due livelli di parser: unificare il parser e i parser specifici dell'origine . L'utente usa in genere il parser unificante per lo schema pertinente, assicurando che venga eseguita una query su tutti i dati rilevanti per lo schema. Il parser unificante a sua volta chiama i parser specifici dell'origine per eseguire l'analisi e la normalizzazione effettive, specifiche per ogni origine.
Il nome unificante del parser è _Im_<schema> l'acronimo <schema> dello schema specifico usato. I parser specifici dell'origine possono anche essere usati in modo indipendente. La convenzione di denominazione è _Im_<schema>_<source>V<version>. È possibile trovare un elenco di parser specifici dell'origine nell'elenco dei parser ASIM.
Nota
Set corrispondente di parser che usano _ASim_<schema>. Questi parser non supportano i parametri di filtro e vengono forniti per la compatibilità con le versioni precedenti.
Consiglio
La gerarchia del parser aggiunge un livello per supportare la personalizzazione. Per altre informazioni, vedere Gestione dei parser ASIM.
Passaggi successivi
Altre informazioni sui parser ASIM:
- Usare i parser ASIM
- Sviluppare parser ASIM personalizzati
- Gestire i parser ASIM
- Elenco dei parser ASIM
Per altre informazioni su ASIM, in generale, vedere:
- Guardare il webinar deep dive su Microsoft Sentinel Normalizing Parsers and Normalized Content (Normalizzazione dei parser e del contenuto normalizzato) o esaminare le diapositive
- Panoramica di Advanced Security Information Model (ASIM)
- Schemi ASIM (Advanced Security Information Model)
- Contenuto ASIM (Advanced Security Information Model)