De ASIM-parsers (Advanced Security Information Model) (openbare preview)
In Microsoft Sentinel vinden parseren en normaliseren plaats op het moment van query's. Parsers zijn gebouwd als door de gebruiker gedefinieerde KQL-functies waarmee gegevens in bestaande tabellen, zoals CommonSecurityLog, aangepaste logboektabellen of Syslog, worden omgezet in het genormaliseerde schema.
Gebruikers gebruiken ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in hun query's om gegevens in een genormaliseerde indeling weer te geven en om alle gegevens op te nemen die relevant zijn voor het schema in uw query.
Raadpleeg het diagram ASIM-architectuur om te begrijpen hoe parsers binnen de ASIM-architectuur passen.
Belangrijk
ASIM is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Ingebouwde ASIM-parsers en door werkruimte geïmplementeerde parsers
Veel ASIM-parsers zijn ingebouwd en standaard beschikbaar in elke Microsoft Sentinel-werkruimte. ASIM biedt ook ondersteuning voor het implementeren van parsers naar specifieke werkruimten vanuit GitHub, met behulp van een ARM-sjabloon of handmatig. Zowel standaard als door werkruimte geïmplementeerde parsers zijn functioneel gelijkwaardig, maar hebben enigszins verschillende naamconventies, waardoor beide parsersets naast elkaar kunnen bestaan in dezelfde Microsoft Sentinel-werkruimte.
Elke methode heeft voordelen ten opzichte van de andere:
| Vergelijken | Ingebouwd | Werkruimte geïmplementeerd |
|---|---|---|
| Voordelen | Bestaan in elk Microsoft Sentinel-exemplaar. Kan worden gebruikt met andere ingebouwde inhoud. |
Nieuwe parsers worden vaak eerst geleverd als door de werkruimte geïmplementeerde parsers. |
| Nadelen | Kan niet rechtstreeks door gebruikers worden gewijzigd. Er zijn minder parsers beschikbaar. |
Niet gebruikt door ingebouwde inhoud. |
| Wanneer gebruiken | Gebruik in de meeste gevallen dat u ASIM-parsers nodig hebt. | Gebruik dit bij het implementeren van nieuwe parsers of voor parsers die nog niet out-of-the-box beschikbaar zijn. |
Het wordt aanbevolen om ingebouwde parsers te gebruiken voor schema's waarvoor ingebouwde parsers beschikbaar zijn.
Parserhiërarchie en naamgeving
ASIM bevat twee niveaus van parsers: het samenvoegen van parser en bronspecifieke parsers. De gebruiker gebruikt meestal de samenvoegingsparser voor het relevante schema, zodat er query's worden uitgevoerd op alle gegevens die relevant zijn voor het schema. De verenigende parser roept op zijn beurt bronspecifieke parsers aan om de werkelijke parsering en normalisatie uit te voeren, wat specifiek is voor elke bron.
De naam van de verenigende parser is _Im_<schema> voor ingebouwde parsers en im<schema> voor door werkruimte geïmplementeerde parsers, waarbij <schema> staat voor het specifieke schema dat wordt gebruikt. Bronspecifieke parsers kunnen ook onafhankelijk worden gebruikt. Te gebruiken _Im_<schema>_<source> voor ingebouwde parsers en vim<schema><source> voor door werkruimte geïmplementeerde parsers. Gebruik bijvoorbeeld in een Infoblox-specifieke werkmap de _Im_Dns_InfobloxNIOS bronspecifieke parser. U vindt een lijst met bronspecifieke parsers in de lijst ASIM-parsers.
Tip
Een bijbehorende set parsers die gebruikmaken _ASim_<schema> van en ASim<Schema> ook beschikbaar zijn. Deze parsers bieden geen ondersteuning voor filterparameters en worden geleverd om het probleem met de tijdkiezer die is ingesteld op een aangepast bereik te verhelpen. Gebruik deze parsers alleen interactief in het logboekscherm, maar niet elders, bijvoorbeeld in analyseregels of werkmappen. Deze parsers worden mogelijk niet verwijderd wanneer het probleem is opgelost.
Tip
Met de ingebouwde parserhiërarchie wordt een laag toegevoegd ter ondersteuning van aanpassing. Zie ASIM-parsers beheren voor meer informatie.
Volgende stappen
Meer informatie over ASIM-parsers:
Zie voor meer informatie over ASIM in het algemeen: