Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in uw Microsoft Sentinel-query's om gegevens in een genormaliseerde indeling weer te geven en alle gegevens op te nemen die relevant zijn voor het schema in uw query. Raadpleeg de onderstaande tabel om de relevante parser voor elk schema te vinden.
Parsers verenigen
Wanneer u ASIM in uw query's gebruikt, kunt u parsers samenvoegen om alle bronnen te combineren, genormaliseerd tot hetzelfde schema en deze query's uit te voeren met behulp van genormaliseerde velden. De unificerende parsernaam is _Im_<schema>, waarbij <schema> staat voor het specifieke schema dat het dient.
De volgende query maakt bijvoorbeeld gebruik van de ingebouwde unificering van DNS-parser voor het opvragen van DNS-gebeurtenissen met behulp van de ResponseCodeName, SrcIpAddren TimeGenerated genormaliseerde velden:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
In het voorbeeld worden filterparameters gebruikt, waardoor de ASIM-prestaties worden verbeterd. Hetzelfde voorbeeld zonder filterparameters ziet er als volgt uit:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
De volgende tabel bevat de beschikbare unifying parsers:
| Schema | Samenvoegende parser |
|---|---|
| Waarschuwingsevenement | _Im_AlertEvent |
| Controlegebeurtenis | _Im_AuditEvent |
| Authenticatie | _Im_Authentication |
| DHCP-gebeurtenis | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Bestandsevenement | _Im_FileEvent |
| Netwerksessie | _Im_NetworkSession |
| Procesgebeurtenis | _Im_ProcesAanmaken _Im_ProcessTerminate |
| Registergebeurtenis | _Im_RegistryEvent |
| Gebruikersbeheer | _Im_UserManagement |
| Websessie | _Im_WebSession |
Parseren optimaliseren met behulp van parameters
Het gebruik van parsers kan van invloed zijn op de prestaties van uw query, voornamelijk van het filteren van de resultaten na het parseren. Daarom hebben veel parsers optionele filterparameters, waarmee u kunt filteren voordat u queryprestaties parseert en verbetert. Met queryoptimalisatie en voorfilteringsinspanningen bieden ASIM-parsers vaak betere prestaties in vergelijking met het helemaal niet gebruiken van normalisatie.
Wanneer u de parser aanroept, gebruikt u altijd beschikbare filterparameters door een of meer benoemde parameters toe te voegen om optimale prestaties van de ASIM-parsers te garanderen.
Elk schema heeft een standaardset filterparameters die worden beschreven in de relevante schemadocumentatie. Filterparameters zijn volledig optioneel.
Zie Unificerende parsers voor een voorbeeld van het gebruik van filterende parsers.
De packparameter
Om efficiƫntie te garanderen, onderhouden parsers alleen genormaliseerde velden. Velden die niet zijn genormaliseerd, hebben minder waarde in combinatie met andere bronnen. Sommige parsers ondersteunen de packparameter . Wanneer de parameter pack is ingesteld op true, worden er extra gegevens in het dynamische veld AdditionalFields ingepakt.
In het lijstartikel met parsers worden parsers vermeld die ondersteuning bieden voor de packparameter .
Verwante inhoud
Voor meer informatie, zie: