Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in uw Microsoft Sentinel query's om gegevens in een genormaliseerde indeling weer te geven en om alle gegevens op te nemen die relevant zijn voor het schema in uw query. Raadpleeg de onderstaande tabel om de relevante parser voor elk schema te vinden.
Parseerfuncties samenvoegen
Wanneer u ASIM gebruikt in uw query's, gebruikt u samenvoegingsparseer om alle bronnen te combineren, genormaliseerd naar hetzelfde schema, en voert u een query uit met behulp van genormaliseerde velden. De naam van de samenvoegende parser is _Im_<schema>, waarbij <schema> staat voor het specifieke schema dat wordt gebruikt.
In de volgende query wordt bijvoorbeeld de ingebouwde unifying DNS-parser gebruikt om DNS-gebeurtenissen op te vragen met behulp van de ResponseCodeNamegenormaliseerde velden , SrcIpAddren TimeGenerated :
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
In het voorbeeld worden filterparameters gebruikt die de prestaties van ASIM verbeteren. Hetzelfde voorbeeld zonder filterparameters ziet er als volgt uit:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
In de volgende tabel ziet u de beschikbare parseringsservers:
| Schema | Parseerfunctie voor unifying |
|---|---|
| Waarschuwingsevenement | _Im_AlertEvent |
| Assetentiteit | _Im_AssetEntity |
| Controlegebeurtenis | _Im_AuditEvent |
| Verificatie | _Im_Authentication |
| DHCP-gebeurtenis | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Bestands gebeurtenis | _Im_FileEvent |
| Netwerksessie | _Im_NetworkSession |
| Proces-gebeurtenis | _Im_ProcessCreate _Im_ProcessTerminate |
| Register-gebeurtenis | _Im_RegistryEvent |
| Gebruikersbeheer | _Im_UserManagement |
| Websessie | _Im_WebSession |
Parseren optimaliseren met behulp van parameters
Het gebruik van parsers kan van invloed zijn op uw queryprestaties, voornamelijk door het filteren van de resultaten na het parseren. Daarom hebben veel parsers optionele filterparameters, waarmee u kunt filteren voordat u parseert en queryprestaties kunt verbeteren. Met queryoptimalisatie en voorfiltering bieden ASIM-parsers vaak betere prestaties in vergelijking met helemaal geen normalisatie.
Wanneer u de parser aanroept, gebruikt u altijd beschikbare filterparameters door een of meer benoemde parameters toe te voegen om optimale prestaties van de ASIM-parsers te garanderen.
Elk schema heeft een standaardset filterparameters die zijn gedocumenteerd in de relevante schemadocumentatie. Filterparameters zijn volledig optioneel.
Zie Parseren van parsers voor een voorbeeld van het gebruik van filterparseer.
De packparameter
Om efficiƫntie te garanderen, onderhouden parsers alleen genormaliseerde velden. Velden die niet zijn genormaliseerd, hebben minder waarde in combinatie met andere bronnen. Sommige parsers ondersteunen de parameter pack . Wanneer de parameter pack is ingesteld op true, zal de parser extra gegevens verpakken in het dynamische veld AdditionalFields .
De parsers vermelden artikel parsers die ondersteuning bieden voor de parameter pack .
Verwante onderwerpen
Zie voor meer informatie: