Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Bruk ASIM-parsere (Advanced Security Information Model) i stedet for tabellnavn i Microsoft Sentinel spørringer for å vise data i et normalisert format og inkludere alle data som er relevante for skjemaet i spørringen. Se tabellen nedenfor for å finne den relevante parseren for hvert skjema.
Samlende analyser
Når du bruker ASIM i spørringene, kan du bruke samlende analyser til å kombinere alle kilder, normalisert til samme skjema og spørre dem ved hjelp av normaliserte felt. Det samlende parsernavnet er _Im_<schema>, der <schema> står for det bestemte skjemaet det tjener.
Følgende spørring bruker for eksempel den innebygde samlende DNS-parseren til å spørre DNS-hendelser ved hjelp av ResponseCodeNamefeltene , SrcIpAddrog TimeGenerated normaliserte:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Eksemplet bruker filtreringsparametere, noe som forbedrer ASIM-ytelsen. Det samme eksemplet uten filtreringsparametere vil se slik ut:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Tabellen nedenfor viser de tilgjengelige samlende parserne:
| Skjemaet | Samlende parser |
|---|---|
| Varselhendelse | _Im_AlertEvent |
| Aktivaenhet | _Im_AssetEntity |
| Overvåkingshendelse | _Im_AuditEvent |
| Godkjenning | _Im_Authentication |
| DHCP-hendelse | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Filhendelse | _Im_FileEvent |
| Nettverksøkt | _Im_NetworkSession |
| Prosesshendelse | _Im_ProcessCreate _Im_ProcessTerminate |
| Registerhendelse | _Im_RegistryEvent |
| Brukeradministrasjon | _Im_UserManagement |
| Webøkt | _Im_WebSession |
Optimalisere analysering ved hjelp av parametere
Bruk av analyser kan påvirke spørringsytelsen, hovedsakelig fra filtrering av resultatene etter analyse. Av denne grunn har mange parsere valgfrie filtreringsparametere, som gjør det mulig å filtrere før du analyserer og forbedrer spørringsytelsen. Med spørringsoptimalisering og forhåndsfiltrering gir ASIM-analyser ofte bedre ytelse sammenlignet med ikke å bruke normalisering i det hele tatt.
Når du aktiverer parseren, må du alltid bruke tilgjengelige filtreringsparametere ved å legge til én eller flere navngitte parametere for å sikre optimal ytelse for ASIM-parserne.
Hvert skjema har et standardsett med filtreringsparametere som er dokumentert i den relevante skjemadokumentasjonen. Filtreringsparametere er helt valgfrie.
Hvis du vil ha et eksempel på hvordan du bruker filtreringsanalyser, kan du se Samlende analyser.
Pakkeparameteren
For å sikre effektivitet opprettholder analyser bare normaliserte felt. Felt som ikke normaliseres, har mindre verdi når de kombineres med andre kilder. Noen parsere støtter pakkeparameteren. Når pakkeparameteren er satt til true, pakker parseren ekstra data inn i det dynamiske feltet AdditionalFields.
Parsers-listeartikkelen noterer parsere som støtter pakkeparameteren.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: