Använda Advanced Security Information Model (ASIM) (offentlig förhandsversion)
Använd ASIM-parser (Advanced Security Information Model) i stället för tabellnamn i dina Microsoft Sentinel-frågor för att visa data i ett normaliserat format och inkludera alla data som är relevanta för schemat i din fråga. Se tabellen nedan för att hitta relevant parser för varje schema.
Viktigt
ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Förena parser
När du använder ASIM i dina frågor använder du enande parser för att kombinera alla källor, normaliseras till samma schema och köra frågor mot dem med hjälp av normaliserade fält. Det enande parserns namn är _Im_<schema>
för inbyggda parsers och im<schema>
för arbetsytedistribuerade parser, där <schema>
står för det specifika schema som det fungerar för.
Följande fråga använder till exempel den inbyggda enande DNS-parsern för att fråga DNS-händelser med hjälp av fälten ResponseCodeName
, SrcIpAddr
och TimeGenerated
normaliserade:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
I exemplet används filtreringsparametrar som förbättrar ASIM-prestanda. Samma exempel utan filtreringsparametrar skulle se ut så här:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
Anteckning
När du använder ASIM-parser på sidan Loggar är tidsintervallväljaren inställd på custom
. Du kan fortfarande ange tidsintervallet själv. Du kan också ange tidsintervallet med parserparametrar.
I följande tabell visas tillgängliga enande parsers:
Schema | Enande parser |
---|---|
Granska händelse | _Im_AuditEvent |
Autentisering | imAuthentication |
DNS | _Im_Dns |
Filhändelse | imFileEvent |
Nätverkssession | _Im_NetworkSession |
Processhändelse | – imProcessSkapa – imProcessTerminate |
Registerhändelse | imRegistry |
Webbsession | _Im_WebSession |
Optimera parsning med parametrar
Användning av parser kan påverka frågeprestandan, främst från att filtrera resultaten efter parsning. Därför har många parsers valfria filtreringsparametrar som gör att du kan filtrera innan du parsar och förbättrar frågeprestanda. Med frågeoptimering och förfiltrering ger ASIM-parsers ofta bättre prestanda jämfört med att inte använda normalisering alls.
När du anropar parsern ska du alltid använda tillgängliga filtreringsparametrar genom att lägga till en eller flera namngivna parametrar för att säkerställa optimala prestanda för ASIM-parsarna.
Varje schema har en standarduppsättning filtreringsparametrar som dokumenteras i relevant schemadokumentation. Filtreringsparametrar är helt valfria. Följande scheman stöder filtreringsparametrar:
Varje schema som stöder filtreringsparametrar stöder åtminstone parametrarna starttime
och endtime
och är ofta viktigt för att optimera prestanda.
Ett exempel på hur du använder filtreringsparsers finns i Förena parser ovan.
Packparametern
För att säkerställa effektivitet underhåller parsers endast normaliserade fält. Fält som inte normaliseras har mindre värde när de kombineras med andra källor. Vissa parser stöder packparametern . När packparametern är inställd på true
, packar parsern ytterligare data i det dynamiska fältet AdditionalFields .
Parsers-artikeln innehåller anteckningar om parser som stöder packparametern.
Nästa steg
Läs mer om ASIM-parsers:
- Översikt över ASIM-parsrar
- Hantera ASIM-parsers
- Utveckla anpassade ASIM-parsers
- Lista med ASIM-parsers
Läs mer om ASIM i allmänhet: