ASIM-parser (Advanced Security Information Model) (allmänt tillgänglig förhandsversion)
I Microsoft Sentinel sker parsning och normalisering vid frågetillfället. Parser skapas som KQL-användardefinierade funktioner som transformerar data i befintliga tabeller, till exempel CommonSecurityLog, anpassade loggtabeller eller Syslog, till det normaliserade schemat.
Användare använder ASIM-parser (Advanced Security Information Model) i stället för tabellnamn i sina frågor för att visa data i ett normaliserat format och för att inkludera alla data som är relevanta för schemat i din fråga.
Information om hur parsers passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Viktigt
ASIM är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Inbyggda ASIM-parsers och arbetsytedistribuerade parsers
Många ASIM-parsers är inbyggda och tillgängliga på alla arbetsytor i Microsoft Sentinel. ASIM stöder även distribution av parser till specifika arbetsytor från GitHub, med hjälp av en ARM-mall eller manuellt. Både färdiga och arbetsytedistribuerade parsers är funktionellt likvärdiga, men de har något olika namngivningskonventioner vilket gör att båda parseruppsättningarna kan finnas på samma Microsoft Sentinel-arbetsyta.
Varje metod har fördelar jämfört med den andra:
Jämför | Inbyggd | Arbetsyta distribuerad |
---|---|---|
Fördelar | Finns i varje Microsoft Sentinel-instans. Kan användas med annat inbyggt innehåll. |
Nya parser levereras ofta först som arbetsytedistribuerade parser. |
Nackdelar | Det går inte att ändra direkt av användarna. Färre tillgängliga parsers. |
Används inte av inbyggt innehåll. |
När du ska använda detta | I de flesta fall behöver du ASIM-parsers. | Använd när du distribuerar nya parsers eller för parser som ännu inte är tillgängliga direkt. |
Vi rekommenderar att du använder inbyggda parsers för scheman som inbyggda parsers är tillgängliga för.
Parserhierarki och namngivning
ASIM innehåller två nivåer av parser: enande parser och källspecifika parser. Användaren använder vanligtvis den enande parsern för det relevanta schemat, vilket säkerställer att alla data som är relevanta för schemat efterfrågas. Den enande parsern anropar i sin tur källspecifika parsers för att utföra den faktiska parsningen och normaliseringen, vilket är specifikt för varje källa.
Det enande parserns namn är _Im_<schema>
för inbyggda parsers och im<schema>
för arbetsytedistribuerade parser, där <schema>
står för det specifika schema som det fungerar för. Källspecifika parsrar kan också användas oberoende av varandra. Använd _Im_<schema>_<source>
för inbyggda parser och vim<schema><source>
för arbetsytedistribuerade parser. I en Infoblox-specifik arbetsbok använder du till exempel den _Im_Dns_InfobloxNIOS
källspecifika parsern. Du hittar en lista över källspecifika parsers i ASIM-parsers-listan.
Tips
En motsvarande uppsättning parser som använder _ASim_<schema>
och ASim<Schema>
också är tillgängliga. Dessa parser stöder inte filtreringsparametrar och tillhandahålls för att minimera tidsväljarens inställning till ett problem med anpassat intervall . Använd dessa parsers endast interaktivt på loggskärmen, men inte någon annanstans, till exempel i analysregler eller arbetsböcker. Den här parsern kanske inte tas bort när problemet är löst.
Tips
Den inbyggda parserhierarkin lägger till ett lager som stöder anpassning. Mer information finns i Hantera ASIM-parser.
Nästa steg
Läs mer om ASIM-parsers:
Mer information om ASIM finns i allmänhet: