Het Advanced Security Information Model (ASIM) gebruiken (openbare preview)

  • Artikel

Gebruik ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in uw Microsoft Sentinel-query's om gegevens in een genormaliseerde indeling weer te geven en om alle gegevens op te nemen die relevant zijn voor het schema in uw query. Raadpleeg de onderstaande tabel om de relevante parser voor elk schema te vinden.

Belangrijk

ASIM is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Parsers samenvoegen

Wanneer u ASIM in uw query's gebruikt, gebruikt u samenvoegende parsers om alle bronnen te combineren, genormaliseerd naar hetzelfde schema, en voert u query's uit met behulp van genormaliseerde velden. De naam van de samenvoegende parser is _Im_<schema> voor ingebouwde parsers en im<schema> voor door werkruimte geïmplementeerde parsers, waarbij <schema> staat voor het specifieke schema dat wordt gebruikt.

De volgende query maakt bijvoorbeeld gebruik van de ingebouwde unifying DNS-parser om query's uit te voeren op DNS-gebeurtenissen met behulp van de ResponseCodeNamegenormaliseerde velden , SrcIpAddren TimeGenerated :

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

In het voorbeeld worden filterparameters gebruikt, waardoor de ASIM-prestaties worden verbeterd. Hetzelfde voorbeeld zonder filterparameters ziet er als volgt uit:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Notitie

Wanneer u de ASIM-parsers op de pagina Logboeken gebruikt, wordt de tijdsbereikkiezer ingesteld op custom. U kunt het tijdsbereik nog steeds zelf instellen. U kunt ook het tijdsbereik opgeven met behulp van parserparameters.

De volgende tabel bevat de beschikbare parseerfuncties voor samenvoegen:

Schema Parser samenvoegen
Controlegebeurtenis _Im_AuditEvent
Verificatie imAuthentication
DNS _Im_Dns
Bestands gebeurtenis imFileEvent
Netwerksessie _Im_NetworkSession
Gebeurtenis verwerken - imProcessCreate
- imProcessTerminate
Register-gebeurtenis imRegistry
Websessie _Im_WebSession

Parseren met behulp van parameters optimaliseren

Het gebruik van parsers kan van invloed zijn op de queryprestaties, voornamelijk door het filteren van de resultaten na het parseren. Daarom hebben veel parsers optionele filterparameters, waarmee u kunt filteren voordat u parseert en queryprestaties kunt verbeteren. Met queryoptimalisatie en voorfiltering bieden ASIM-parsers vaak betere prestaties in vergelijking met het helemaal niet gebruiken van normalisatie.

Wanneer u de parser aanroept, gebruikt u altijd beschikbare filterparameters door een of meer benoemde parameters toe te voegen om optimale prestaties van de ASIM-parsers te garanderen.

Elk schema heeft een standaardset filterparameters die worden beschreven in de relevante schemadocumentatie. Filterparameters zijn volledig optioneel. De volgende schema's ondersteunen filterparameters:

Elk schema dat ondersteuning biedt voor het filteren van parameters, ondersteunt ten minste de starttime parameters en endtime het gebruik ervan is vaak essentieel voor het optimaliseren van de prestaties.

Zie Parsers samenvoegen hierboven voor een voorbeeld van het gebruik van filterparseers.

De parameter pack

Om efficiëntie te garanderen, onderhouden parsers alleen genormaliseerde velden. Velden die niet zijn genormaliseerd, hebben minder waarde in combinatie met andere bronnen. Sommige parsers ondersteunen de parameter pack . Wanneer de parameter pack is ingesteld op true, zal de parser aanvullende gegevens in het dynamische veld AdditionalFields verpakken.

In de lijst met parsers worden parsers vermeld die ondersteuning bieden voor de parameter pack .

Volgende stappen

Meer informatie over ASIM-parsers:

Meer informatie over de ASIM in het algemeen: