Средства синтаксического анализа расширенной информационной модели безопасности (ASIM)

В Microsoft Sentinel синтаксический анализ и нормализация выполняются во время запроса. Средства синтаксического анализа создаются как определяемые пользователем функции KQL, которые преобразуют в нормализованную схему данные в существующих таблицах, таких как CommonSecurityLog, таблицы пользовательских журналов или Syslog.

Пользователи используют расширенную информационную модель безопасности (ASIM) вместо имен таблиц в своих запросах, чтобы просматривать данные в нормализованном формате и включать в запрос все данные, относящиеся к схеме.

Чтобы понять, как средства синтаксического анализа вписываются в архитектуру ASIM, изучите схематическое изображение архитектуры ASIM.

Встроенные средства синтаксического анализа анализаторы ASIM и средства синтаксического анализа, развернутые в рабочей области

Средства синтаксического анализа ASIM встроенны и доступны в каждой рабочей области Microsoft Sentinel.

ASIM также поддерживает развертывание средств синтаксического анализа в определенных рабочих областях из GitHub с помощью шаблона ARM. Синтаксические анализаторы, развернутые в рабочей области, используются для разработки и управления анализаторами ASIM. Развернутые средства синтаксического анализа рабочей области функционально эквивалентны, но имеют несколько разные соглашения об именовании, что позволяет обоим наборам синтаксического анализа сосуществовать со встроенными средствами синтаксического анализа в одной рабочей области Microsoft Sentinel. Узнайте больше о средствах синтаксического анализа, развернутых в рабочей области для их развертывания, использования и управления.

При разработке содержимого ASIM рекомендуется использовать встроенные средства синтаксического анализа. Развернутые средства синтаксического анализа рабочей области обычно используются во время процесса разработки синтаксического анализа или предоставляют измененные версии встроенных средств синтаксического анализа, как описано в управлении средствами синтаксического анализа.

Иерархия синтаксического анализа и именование

ASIM включает средства синтаксического анализа двух уровней: унифицирующие и связанные с конкретным источником. Пользователь обычно использует унифицирующее средство синтаксического анализа для соответствующей схемы, чтобы запрашивать все данные, относящиеся к схеме. Унифицирующее средство синтаксического анализа, в свою очередь, вызывает средства, связанные с конкретным источником, для выполнения фактического анализа и нормализации в соответствии с особенностями каждого источника.

Унифицированное имя синтаксического анализатора — это _Im_<schema>, где <schema> обозначает конкретную схему, которую он обслуживает. Анализаторы, специфичные для источника, также можно использовать независимо. Их соглашение об именовании _Im_<schema>_<source>V<version>. Список средств синтаксического анализа для конкретных источников можно найти в списке средств синтаксического анализа ASIM.

Замечание

Соответствующий набор парсеров, которые используют _ASim_<schema>. Эти средства синтаксического анализа не поддерживают параметры фильтрации и предоставляются для обратной совместимости.

Совет

Иерархия синтаксического анализа добавляет слой для поддержки настройки. Дополнительные сведения см. в статье Управление средствами синтаксического анализа ASIM.

Следующие шаги

Дополнительные сведения о средствах синтаксического анализа ASIM см. в следующих статьях:

• Использование анализаторов ASIM
• Разработка пользовательских средств синтаксического анализа ASIM
• Управление анализаторами ASIM
• Список средств синтаксического анализа ASIM

Дополнительные сведения об ASIM см. в следующих статьях:

• Ознакомьтесь с подробным вебинаром по средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel или просмотрите слайды
• Обзор расширенной информационной модели безопасности (ASIM)
• Схемы расширенной информационной модели безопасности (ASIM)
• Содержимое расширенной информационной модели безопасности (ASIM)