Använda ASIM (Advanced Security Information Model) (offentlig förhandsversion)

Anteckning

Azure Sentinel kallas nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna i Microsoft.

Använd ASIM-parsare (Advanced Security Information Model) i stället för tabellnamn i dina Microsoft Sentinel-frågor för att visa data i ett normaliserat format och inkludera alla data som är relevanta för schemat i din fråga. Se tabellen nedan för att hitta relevant parser för varje schema.

Viktigt

ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Enande parsers

När du använder ASIM i dina frågor använder du enande parser för att kombinera alla källor, normaliseras till samma schema och köra frågor mot dem med hjälp av normaliserade fält. Det enande parsernamnet är _Im_<schema> för inbyggda parsare och im<schema> för arbetsytedistribuerade parsare, där <schema> står för det specifika schema som används.

Följande fråga använder till exempel den inbyggda enande DNS-parsern för att fråga DNS-händelser med hjälp av fälten ResponseCodeName, SrcIpAddroch TimeGenerated normaliserade:

_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

I exemplet används filtreringsparametrar, vilket förbättrar ASIM-prestanda. Samma exempel utan filtreringsparametrar skulle se ut så här:

_Im_Dns
  | where TimeGenerated > ago(1d)
  | where ResponseCodeName =~ "NXDOMAIN"
  | summarize count() by SrcIpAddr, bin(TimeGenerated,15m)

Anteckning

När du använder ASIM-parsarna på sidan Loggar är tidsintervallväljaren inställd på custom. Du kan fortfarande ange tidsintervallet själv. Du kan också ange tidsintervallet med hjälp av parsningsparametrar.

I följande tabell visas de tillgängliga enande parsarna:

Schema Enande parser
Autentisering imAuthentication
DNS _Im_Dns
Filhändelse imFileEvent
Nätverkssession _Im_NetworkSession
Processhändelse - imProcessCreate
- imProcessTerminate
Registerhändelse imRegistry
Webbsession _Im_WebSession

Optimera parsning med hjälp av parametrar

Användning av parsers kan påverka frågeprestandan, främst från filtrering av resultaten efter parsning. Därför har många parsers valfria filtreringsparametrar som gör att du kan filtrera innan du parsar och förbättrar frågeprestanda. Med frågeoptimering och förfiltrering ger ASIM-parsare ofta bättre prestanda jämfört med att inte använda normalisering alls.

När du anropar parsern ska du alltid använda tillgängliga filtreringsparametrar genom att lägga till en eller flera namngivna parametrar för att säkerställa optimala prestanda för ASIM-parsarna.

Varje schema har en standarduppsättning filtreringsparametrar som dokumenteras i relevant schemadokumentation. Filtreringsparametrar är helt valfria. Följande scheman stöder filtreringsparametrar:

Varje schema som stöder filtreringsparametrar stöder åtminstone parametrarna starttime och endtime och använder dem är ofta viktigt för att optimera prestanda.

Ett exempel på hur du använder filtreringsparsers finns i Unifying parsers above (Enande parsers ovan).

Nästa steg

Läs mer om ASIM-parsare:

Läs mer om ASIM i allmänhet: