Behandle ASIM-analyser (Advanced Security Information Model)

ASIM-brukere (Advanced Security Information Model) bruker samlende analyser i stedet for tabellnavn i spørringene, til å vise data i et normalisert format og få alle dataene som er relevante for skjemaet, i én enkelt spørring. Hver samlende parser bruker flere kildespesifikke parserer som håndterer hver kildes spesifikke detaljer.

Hvis du vil forstå hvordan analyser passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.

Det kan hende du må administrere de kildespesifikke parserne som brukes av hver samlende analyse til:

• Legg til en egendefinert, kildespesifikk parser i en samlende parser.

• Erstatt en innebygd, kildespesifikk parser som brukes av en samlende parser med en egendefinert, kildespesifikk parser. Erstatt innebygde analyser når du vil:

  • Bruk en annen versjon av den innebygde parseren enn den som brukes som standard i den samlende parseren.

  • Forhindre automatiserte oppdateringer ved å bevare versjonen av den kildespesifikke parseren som brukes av den samlende parseren.

  • Bruk en modifisert versjon av en innebygd analyse.

• Konfigurer en kildespesifikk parser, for eksempel for å definere kildene som sender informasjon som er relevant for analyseren.

Denne artikkelen veileder deg gjennom administrasjon av analyser.

Forutsetninger

Fremgangsmåtene i denne artikkelen forutsetter at alle kildespesifikke parsere allerede er distribuert til Microsoft Sentinel arbeidsområdet.

Hvis du vil ha mer informasjon, kan du se Utvikle ASIM-analyser.

Administrer innebygde samlende analyser

Konfigurere arbeidsområdet

Microsoft Sentinel brukere kan ikke redigere innebygde samlende analyser. Bruk i stedet følgende mekanismer til å endre virkemåten til innebygde samlende parsere:

• For å støtte å legge til kildespesifikke parsers, bruker ASIM samlende, egendefinerte parsers. Disse egendefinerte analyser er arbeidsområdedistribuert, og kan derfor redigeres. Innebygde, samlende parsers henter automatisk disse egendefinerte parserne hvis de finnes.

  Du kan distribuere innledende, tomme og samle egendefinerte analyser til Microsoft Sentinel arbeidsområdet for alle støttede skjemaer, eller enkeltvis for bestemte skjemaer. Hvis du vil ha mer informasjon, kan du se Distribuer innledende ASIM-tomme egendefinerte parsere for samlende data i Microsoft Sentinel GitHub-repositorium.

• ASIM bruker en visningsliste for å støtte unntatt innebygde kildespesifikke parsere. Distribuer visningslisten til Microsoft Sentinel arbeidsområdet fra gitHub-repositoriet Microsoft Sentinel.

• Hvis du vil definere kildetype for innebygde og egendefinerte analyser, bruker ASIM en visningsliste. Distribuer visningslisten til Microsoft Sentinel arbeidsområdet fra gitHub-repositoriet Microsoft Sentinel.

Legge til en egendefinert analyser i en innebygd parser

Hvis du vil legge til en egendefinert analyse, setter du inn en linje i den egendefinerte parseren for å referere til den nye, egendefinerte parseren.

Pass på at du legger til både en filtreringsdefinert parser og en parameterfri egendefinert parser. Hvis du vil lære mer om hvordan du redigerer analyser, kan du se dokumentet Funksjoner i Azure Overvåke loggspørringer.

Syntaksen for linjen som skal legges til, er forskjellig for hvert skjema:

Skjemaet	Parseren	Linje som skal legges til
AlertEvent	Im_AlertEventCustom	_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any)
AuditEvent	Im_AuditEventCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any)
Godkjenning	Im_AuthenticationCustom	_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult)
DhcpEvent	Im_DhcpEventCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult)
Dns	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
FileEvent	Im_FileEventCustom	_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
ProcessEvent	Im_ProcessEventCustom	_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype)
RegistryEvent	Im_RegistryEventCustom	_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any)
UserManagement	Im_UserManagementCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Når du legger til en ekstra parser i en sammenføyende egendefinert parser som allerede refererer til parsers, må du sørge for at du legger til et komma på slutten av forrige linje.

Følgende kode viser for eksempel en egendefinert parser for samleobjekt etter at du har lagt til added_parser:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Bruke en endret versjon av en innebygd parser

Slik endrer du en eksisterende, innebygd kildespesifikk parser:

1. Opprett en egendefinert parser basert på den opprinnelige parseren, og legg den til i den innebygde parseren. Du kan bruke den distribuerte versjonen av analyseren for arbeidsområdet som utgangspunkt.

2. Legg til en post i ASim Disabled Parsers visningslisten.

3. CallerContext Definer verdien som Exclude<parser name>, hvor <parser name> er navnet på de samlende parserne du vil utelate parseren fra.

4. SourceSpecificParser Definer verdien Exclude<parser name>, der <parser name>er navnet på parseren du vil utelate, uten en versjonsangitt.

Hvis du for eksempel vil utelate Azure Firewall DNS-analyse, legger du til følgende post i visningslisten:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Forhindre en automatisert oppdatering av en innebygd analyse

Bruk følgende fremgangsmåte for å forhindre automatiske oppdateringer for innebygde, kildespesifikke parsere:

1. Legg til den innebygde parserversjonen du vil bruke, for eksempel _Im_Dns_AzureFirewallV02, i den egendefinerte parseren. Hvis du vil ha mer informasjon, kan du se ovenfor , Legge til en egendefinert analyse i en innebygd parser.

2. Legg til et unntak for den innebygde parseren. Når du for eksempel vil melde deg helt ut av automatiske oppdateringer, og derfor utelater et stort antall innebygde parsere, legger du til:

• En post med Any som SourceSpecificParser felt, for å utelate alle parsers for CallerContext.
• En post for i CallerContext og SourceSpecificParser feltene for Any å utelate alle innebygde parsere.

Hvis du vil ha mer informasjon, kan du se Bruke en endret versjon av en innebygd parser.

Konfigurer kildene som er relevante for en kildespesifikk parser

Noen analyser krever at du oppdaterer listen over kilder som er relevante for analyseren. En analyse som bruker Syslog-data, kan for eksempel ikke fastslå hvilke Syslog-hendelser som er relevante for analysering. En slik analyse kan bruke Sources_by_SourceType visningslisten til å bestemme hvilke kilder som sender informasjon som er relevant for analyseren. Legg til en post for hver relevant kilde i visningslisten for slike analyser:

• SourceType Angi feltet til den parserspesifikke verdien som er angitt i analysedokumentasjonen.
• Source Angi feltet til identifikatoren for kilden som brukes i hendelsene. Du må kanskje spørre den opprinnelige tabellen, for eksempel Syslog, for å finne den riktige verdien.

Hvis systemet ikke er Sources_by_SourceType distribuert visningslisten, kan du distribuere visningslisten til Microsoft Sentinel arbeidsområde fra Microsoft Sentinel GitHub-repositoriet.

Neste trinn

Denne artikkelen beskriver administrasjon av ASIM-analyser (Advanced Security Information Model).

Mer informasjon om ASIM-analyser:

• Oversikt over ASIM-analyser
• Bruk ASIM-analyser
• Utvikle egendefinerte ASIM-analyser
• ASIM-analyselisten

Mer informasjon om ASIM generelt:

• Se deep dive-nettseminaret på Microsoft Sentinel normalisere analyser og normalisert innhold, eller se gjennom lysbildene
• Oversikt over Advanced Security Information Model (ASIM)
• ASIM-skjemaer (Advanced Security Information Model)
• ASIM-innhold (Advanced Security Information Model)