Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcıları geliştirme

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) kullanıcıları sorgularında tablo adları yerine birleştirici ayrıştırıcılar kullanır, verileri normalleştirilmiş biçimde görüntüler ve şemayla ilgili tüm verileri sorguya ekler. Ayrıştırıcıları birleştirme, her kaynağın belirli ayrıntılarını işlemek için kaynağa özgü ayrıştırıcıları da kullanır.

Microsoft Sentinel, birçok veri kaynağı için yerleşik, kaynağa özgü ayrıştırıcılar sağlar. Aşağıdaki durumlarda bu kaynağa özgü ayrıştırıcıları değiştirmek veya geliştirmek isteyebilirsiniz:

• Cihazınız bir ASIM şemasına uyan olaylar sağladığında, ancak cihazınız için kaynağa özgü ayrıştırıcı ve ilgili şema Microsoft Sentinel'da mevcut olmadığında.

• ASIM kaynağına özgü ayrıştırıcılar cihazınız için kullanılabiliyorsa, ancak cihazınız olayları ASIM ayrıştırıcıları tarafından beklenenden farklı bir yöntemde veya biçimde gönderdiğinde. Örneğin:

  • Kaynak cihazınız olayları standart olmayan bir şekilde gönderecek şekilde yapılandırılabilir.

  • Cihazınız ASIM ayrıştırıcısı tarafından desteklenenden farklı bir sürüme sahip olabilir.

  • Olaylar bir aracı sistem tarafından toplanabilir, değiştirilebilir ve iletilebilir.

Ayrıştırıcıların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.

Özel ASIM ayrıştırıcı geliştirme süreci

Aşağıdaki iş akışı, kaynağa özgü özel bir ASIM ayrıştırıcısı geliştirmenin üst düzey adımlarını açıklar:

1. Örnek günlükleri toplayın.

2. Kaynaktan gönderilen olayların temsili şemaları veya şemaları tanımlayın. Daha fazla bilgi için bkz . Şemaya genel bakış.

3. Kaynak olay alanlarını tanımlanan şema veya şemalarla eşleyin.

4. Kaynağınız için bir veya daha fazla ASIM ayrıştırıcısı geliştirin. Kaynakla ilgili her şema için bir filtreleme ayrıştırıcısı ve parametresiz ayrıştırıcı geliştirmeniz gerekir.

5. Ayrıştırıcınızı test edin.

6. Ayrıştırıcıları Microsoft Sentinel çalışma alanlarınıza dağıtın.

7. Yeni özel ayrıştırıcıya başvurmak için ilgili ASIM birleştirici ayrıştırıcısını güncelleştirin. Daha fazla bilgi için bkz. ASIM ayrıştırıcılarını yönetme.

8. Ayrıştırıcılarınızı birincil ASIM dağıtımına da katkıda bulunmak isteyebilirsiniz. Katkıda bulunan ayrıştırıcılar tüm çalışma alanlarında yerleşik ayrıştırıcı olarak da kullanılabilir.

Bu makale, sürecin geliştirme, test etme ve dağıtım adımları konusunda size yol gösterir.

İpucu

Ayrıca Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme Microsoft Sentinel derin dalış web seminerini izleyin veya ilgili slayt destesini gözden geçirin. Daha fazla bilgi için bkz. Sonraki adımlar.

Örnek günlükleri toplama

Etkili ASIM ayrıştırıcıları oluşturmak için, çoğu durumda kaynak sistemin ayarlanmasını ve Microsoft Sentinel bağlanmasını gerektiren temsili bir günlük kümesine ihtiyacınız vardır. Kullanılabilir kaynak cihazınız yoksa, bulut kullandıkça öde hizmetleri geliştirme ve test için birçok cihaz dağıtmanıza olanak tanır.

Ayrıca, günlükler için satıcı belgelerini ve örneklerini bulmak, geniş günlük biçimi kapsamı sağlayarak geliştirmeyi hızlandırmaya ve hataları azaltmaya yardımcı olabilir.

Temsili bir günlük kümesi şunları içermelidir:

• Farklı olay sonuçlarına sahip olaylar.
• Farklı yanıt eylemlerine sahip olaylar.
• Kullanıcı adı, konak adı ve kimlikler ve değer normalleştirmesi gerektiren diğer alanlar için farklı biçimler.

İpucu

Aynı şema için mevcut ayrıştırıcıyı kullanarak yeni bir özel ayrıştırıcı başlatın. Mevcut ayrıştırıcının kullanılması, şemanın gerektirdiği tüm parametreleri kabul etmelerini sağlamak için ayrıştırıcıları filtrelemek için özellikle önemlidir.

Eşlemeyi planlama

Ayrıştırıcı geliştirmeden önce, kaynak olayda veya olaylarda bulunan bilgileri tanımladığınız şemayla eşleyin:

• Tüm zorunlu alanları ve tercihen önerilen alanları eşleyin.
• Kaynaktan sağlanan tüm bilgileri normalleştirilmiş alanlarla eşlemeyi deneyin. Seçilen şemanın bir parçası olarak kullanılamıyorsa, diğer şemalarda bulunan alanlarla eşlemeyi göz önünde bulundurun.
• Kaynakta alanların değerlerini ASIM tarafından izin verilen normalleştirilmiş değerlerle eşleyin. Özgün değer, gibi EventOriginalResultDetailsayrı bir alanda depolanır.

Ayrıştırıcı geliştirme

Her ilgili şema için hem filtreleme hem de parametresiz ayrıştırıcı geliştirin.

Özel ayrıştırıcı, Microsoft Sentinel Günlükleri sayfasında geliştirilen bir KQL sorgusudur. Ayrıştırıcı sorgusunun üç bölümü vardır:

Filtre>Ayrıştı -rma>Alanları hazırlama

Filtreleme

İlgili kayıtları filtreleme

Çoğu durumda, Microsoft Sentinel içindeki bir tablo birden çok olay türü içerir. Örneğin:

• Syslog tablosunda birden çok kaynaktan veriler bulunur.
• Özel tablolar, birden fazla olay türü sağlayan ve çeşitli şemalara sığabilen tek bir kaynaktan bilgiler içerebilir.

Bu nedenle, ayrıştırıcı öncelikle yalnızca hedef şemayla ilgili kayıtları filtrelemelidir.

KQL'de filtreleme işleci kullanılarak where yapılır. Örneğin, Sysmon olay 1 işlem oluşturmayı raporlar ve bu nedenle ProcessEvent şemasına normalleştirilir. Sysmon olay 1 olayı tablonun bir parçasıdırEvent, bu nedenle aşağıdaki filtreyi kullanabilirsiniz:

Event | where Source == "Microsoft-Windows-Sysmon" and EventID == 1

Önemli

Ayrıştırıcı zamana göre filtrelenmemelidir. Ayrıştırıcıyı kullanan sorgu bir zaman aralığı uygular.

İzleme Listesi kullanarak kaynak türüne göre filtreleme

Bazı durumlarda, olayın kendisi belirli kaynak türleri için filtrelemeye izin verecek bilgiler içermez.

Örneğin, Infoblox DNS olayları Syslog iletileri olarak gönderilir ve diğer kaynaklardan gönderilen Syslog iletilerinden ayırt etmek zordur. Bu gibi durumlarda ayrıştırıcı, ilgili olayları tanımlayan kaynakların listesine dayanır. Bu liste Sources_by_SourceType izleme listesinde tutulur.

Ayrıştırıcılarınızda ASimSourceType izleme listesini kullanmak için ayrıştırıcı filtreleme bölümündeki işlevini kullanın _ASIM_GetSourceBySourceType . Örneğin, Infoblox DNS ayrıştırıcısı filtreleme bölümünde aşağıdakileri içerir:

  | where Computer in (_ASIM_GetSourceBySourceType('InfobloxNIOS'))

Ayrıştırıcınızda bu örneği kullanmak için:

• değerini kaynağınızın kaynak bilgilerini içeren alanın adıyla değiştirin Computer . Syslog tabanlı tüm ayrıştırıcılar için bunu olduğu gibi Computer tutabilirsiniz.

• Belirteci InfobloxNIOS ayrıştırıcınız için seçtiğiniz bir değerle değiştirin. Ayrıştırıcı kullanıcılarını, seçtiğiniz değeri ve bu tür olayları gönderen kaynakların listesini kullanarak izleme listesini güncelleştirmeleri ASimSourceType gerektiğini bildirin.

Ayrıştırıcı parametrelerine göre filtreleme

Filtreleme ayrıştırıcıları geliştirirken, ayrıştırıcınızın ilgili şema için filtreleme parametrelerini kabul ettiğinden emin olun( bu şema için başvuru makalesinde belirtildiği gibi). Başlangıç noktası olarak mevcut ayrıştırıcının kullanılması, ayrıştırıcınızın doğru işlev imzasını içermesini sağlar. Çoğu durumda, gerçek filtreleme kodu aynı şema için ayrıştırıcıları filtrelemek için de benzerdir.

Filtreleme sırasında şunları yaptığınızdan emin olun:

• Fiziksel alanları kullanarak ayrıştırmadan önce filtreleyin. Filtrelenen sonuçlar yeterince doğru değilse, sonuçlarınıza ince ayar yapmak için ayrıştırdıktan sonra testi tekrarlayın. Daha fazla bilgi için bkz. filtreleme iyileştirmesi.
• Parametre tanımlanmamışsa ve hala varsayılan değere sahipse filtre uygulamayın.

Aşağıdaki örneklerde, varsayılan değerin genellikle '*' olduğu bir dize parametresi ve varsayılan değerin genellikle boş bir liste olduğu liste parametresi için filtrelemenin nasıl uygulanacağı gösterilir.

srcipaddr=='*' or ClientIP==srcipaddr
array_length(domain_has_any) == 0 or Name has_any (domain_has_any)

Kusto belgelerinde aşağıdaki öğeler hakkında daha fazla bilgi bulabilirsiniz:

• array_length işlevi
• has_any işleci

Filtreleme iyileştirmesi

Ayrıştırıcının performansını sağlamak için aşağıdaki filtreleme önerilerini not edin:

• Ayrıştırılmış alanlar yerine her zaman yerleşik alanları filtreleyin. Ayrıştırılmış alanları kullanarak filtrelemek bazen daha kolay olsa da performansı önemli ölçüde etkiler.
• İyileştirilmiş performans sağlayan işleçler kullanın. Özellikle, ==, hasve startswith. veya matches regex gibi contains işleçlerin kullanılması performansı önemli ölçüde etkiler.

Performans için filtreleme önerileri her zaman kolay takip edilmeyebilir. Örneğin, kullanmak has değerinden daha containsaz doğrudur. Diğer durumlarda, gibi SyslogMessageyerleşik alanla eşleştirmek, gibi DvcActionayıklanan bir alanı karşılaştırmaktan daha az doğrudur. Bu gibi durumlarda, yerleşik bir alan üzerinde performans iyileştirme işleci kullanarak yine de önceden filtrelemenizi ve ayrıştırma sonrasında daha doğru koşullar kullanarak filtreyi tekrarlamanızı öneririz.

Örnek için aşağıdaki Infoblox DNS ayrıştırıcısı parçacığına bakın. Ayrıştırıcı ilk olarak SyslogMessage'ın sözcüğünü clientalanını has denetler. Ancak, terim iletide farklı bir yerde kullanılabilir, bu nedenle alanı ayrıştırdıktan Log_Type sonra ayrıştırıcı sözcüğün client gerçekten alanın değeri olduğunu yeniden denetler.

Syslog | where ProcessName == "named" and SyslogMessage has "client"
…
      | extend Log_Type = tostring(Parser[1]),
      | where Log_Type == "client"

Not

Ayrıştırıcıyı kullanan sorgu zamana göre filtre uyguladığından ayrıştırıcılar zamana göre filtre uygulamamalıdır.

Ayrıştı -rma

Sorgu ilgili kayıtları seçtikten sonra bunları ayrıştırmak gerekebilir. Genellikle, tek bir metin alanında birden çok olay alanı iletilirse ayrıştırma gerekir.

Ayrıştırma gerçekleştiren KQL işleçleri, performans iyileştirmelerine göre sıralanmış olarak aşağıda listelenmiştir. İlki en iyi duruma getirilmiş performansı sağlarken, sonuncusu en az iyileştirilmiş performansı sağlar.

İşleç/function()	Açıklama
split() işlevi	Sınırlandırılmış değerlerden oluşan bir dizeyi ayrıştırın.
parse_csv() işlevi	CSV (virgülle ayrılmış değerler) satırı olarak biçimlendirilmiş bir değer dizesini ayrıştırın.
parse-kv işleci	Bir dize ifadesinden yapılandırılmış bilgileri ayıklar ve bilgileri bir anahtar/değer formunda temsil eder.
parse işleci	Daha iyi performansa sahip basitleştirilmiş bir desen veya normal bir ifade olabilecek bir desen kullanarak rastgele bir dizeden birden çok değeri ayrıştırma.
extract_all() işlevi	Normal ifade kullanarak rastgele bir dizeden tek değerleri ayrıştırma. extract_all , ikincisinin normal bir ifade kullanması durumundakine benzer bir performansa parse sahiptir.
extract() işlevi	Normal ifade kullanarak rastgele bir dizeden tek bir değer ayıklayın. kullanmakextract, tek bir değer gerektiğinden veya extract_all bu değerden parse daha iyi performans sağlar. Ancak, aynı kaynak dize üzerinde birden çok etkinleştirme extract kullanmak, tek parse bir dizeden daha az verimlidir veya extract_all bundan kaçınılmalıdır.
parse_json() işlevi	Değerleri JSON olarak biçimlendirilmiş bir dizede ayrıştırın. JSON'dan yalnızca birkaç değer gerekiyorsa, , extractveya extract_all kullanarak parsedaha iyi performans sağlar.
parse_xml() işlevi	Değerleri XML olarak biçimlendirilmiş bir dizede ayrıştırın. XML'den yalnızca birkaç değer gerekiyorsa, , extractveya extract_all kullanarak parsedaha iyi performans sağlar.

Normal -leştirme

Alan adlarını eşleme

Normalleştirmenin en basit biçimi, özgün bir alanı normalleştirilmiş adına yeniden adlandırmaktır. Bunun için işlecini project-rename kullanın. Proje yeniden adlandırmanın kullanılması, alanın hala fiziksel bir alan olarak yönetilmesini ve alanın işlenmesinin daha yüksek performanslı olmasını sağlar. Örneğin:

 | project-rename
    ActorUserId = InitiatingProcessAccountSid,
    ActorUserAadId = InitiatingProcessAccountObjectId,
    ActorUserUpn = InitiatingProcessAccountUpn,

Alan biçimini ve türünü normalleştirme

Çoğu durumda, ayıklanan özgün değerin normalleştirilmesi gerekir. Örneğin, ASIM'de bir MAC adresi ayırıcı olarak iki nokta üst üste kullanırken, kaynak kısa çizgiyle ayrılmış bir MAC adresi gönderebilir. Değerleri dönüştürmek için birincil işleç, geniş bir KQL dizesi, sayısal ve tarih işlevleri kümesinin yanı sıra şeklindedir extend.

Ayrıca ayrıştırıcı çıkış alanlarının şemada tanımlanan türle eşleştiğinden emin olmak, ayrıştırıcıların çalışması için kritik önem taşır. Örneğin, tarih ve saati temsil eden bir dizeyi tarih saat alanına dönüştürmeniz gerekebilir. ve gibi todatetimetohex işlevler bu durumlarda yararlıdır.

Örneğin, özgün benzersiz olay kimliği tamsayı olarak gönderilebilir, ancak ASIM veri kaynakları arasında geniş uyumluluk sağlamak için değerin dize olmasını gerektirir. Bu nedenle, kaynak alanı atarken yerine ve tostringproject-renamekullanınextend:

  | extend EventOriginalUid = tostring(ReportId),

Türetilmiş alanlar ve değerler

Ayıklandıktan sonra kaynak alanın değerinin hedef şema alanı için belirtilen değer kümesine eşlenmesi gerekebilir. , caseve lookup işlevleriiff, kullanılabilir verileri hedef değerlerle eşlemek için yararlı olabilir.

Örneğin, Microsoft DNS ayrıştırıcısı EventResult aşağıdaki gibi bir iff deyimi kullanarak alanı Olay Kimliği ve Yanıt Kodu'na göre atar:

   extend EventResult = iff(EventId==257 and ResponseCode==0 ,'Success','Failure')

Birkaç değeri eşlemek için işlecini kullanarak eşlemeyi datatable tanımlayın ve eşlemeyi gerçekleştirmek için kullanın lookup . Örneğin, bazı kaynaklar sayısal DNS yanıt kodlarını ve ağ protokollerini bildirirken, şema her ikisi için de daha yaygın metin etiketleri gösterimini zorunlu hale getirir. Aşağıdaki örnekte ve lookupkullanarak datatable gerekli değerlerin nasıl türetilmiş olduğu gösterilmektedir:

   let NetworkProtocolLookup = datatable(Proto:real, NetworkProtocol:string)[
        6, 'TCP',
        17, 'UDP'
   ];
    let DnsResponseCodeLookup=datatable(DnsResponseCode:int,DnsResponseCodeName:string)[
      0,'NOERROR',
      1,'FORMERR',
      2,'SERVFAIL',
      3,'NXDOMAIN',
      ...
   ];
   ...
   | lookup DnsResponseCodeLookup on DnsResponseCode
   | lookup NetworkProtocolLookup on Proto

Eşlemenin yalnızca iki olası değeri olduğunda da aramanın yararlı ve verimli olduğuna dikkat edin.

Eşleme koşulları daha karmaşık olduğunda , caseve lookup'yi birleştiriniff. Aşağıdaki örnekte ve case'nin nasıl birleştirildiği lookup gösterilmektedir. Yukarıdaki lookup örnek, arama değeri bulunamazsa alanda DnsResponseCodeName boş bir değer döndürür. Aşağıdaki case örnek, varsa işlemin sonucunu lookup kullanarak ve aksi takdirde ek koşullar belirterek bunu genişletmektedir.

   | extend DnsResponseCodeName = 
      case (
        DnsResponseCodeName != "", DnsResponseCodeName,
        DnsResponseCode between (3841 .. 4095), 'Reserved for Private Use',
        'Unassigned'
      )

Microsoft Sentinel, ortak arama değerleri için kullanışlı işlevler sağlar. Örneğin, DnsResponseCodeName yukarıdaki arama aşağıdaki işlevlerden biri kullanılarak uygulanabilir:

| extend DnsResponseCodeName = _ASIM_LookupDnsResponseCode(DnsResponseCode)

| invoke _ASIM_ResolveDnsResponseCode('DnsResponseCode')

İlk seçenek, arayabileceğiniz değeri parametre olarak kabul eder ve çıkış alanını seçmenize olanak tanır ve bu nedenle genel arama işlevi olarak kullanışlıdır. İkinci seçenek daha çok ayrıştırıcılara yöneliktir, kaynak alanın adını girdi olarak alır ve bu durumda DnsResponseCodeNamegerekli ASIM alanını güncelleştirir.

ASIM yardım işlevlerinin tam listesi için bkz. ASIM işlevleri

Zenginleştirme alanları

Kaynaktan sağlanan alanlara ek olarak, sonuçta elde edilen ASIM olayı ayrıştırıcının oluşturması gereken zenginleştirme alanlarını içerir. Çoğu durumda ayrıştırıcılar alanlara sabit bir değer atayabilir, örneğin:

  | extend                  
     EventCount = int(1),
     EventProduct = 'M365 Defender for Endpoint',
     EventVendor = 'Microsoft',
     EventSchemaVersion = '0.1.0',
     EventSchema = 'ProcessEvent'

Ayrıştırıcılarınızın ayarlaması gereken başka bir zenginleştirme alanı türü, ilgili alanda depolanan değerin türünü belirleyen tür alanlarıdır. Örneğin, SrcUsernameType alanında depolanan SrcUsername değerin türü alan olarak adlandırılır. Varlık açıklamasında tür alanları hakkında daha fazla bilgi bulabilirsiniz.

Çoğu durumda, türlere sabit bir değer de atanır. Ancak, bazı durumlarda türün gerçek değere göre belirlenmesi gerekir, örneğin:

   DomainType = iif (array_length(SplitHostname) > 1, 'FQDN', '')

Microsoft Sentinel zenginleştirmeyi işlemek için yararlı işlevler sağlar. Örneğin, , ve SrcFQDN alanlarını SrcDomainTypeSrcHostnameSrcDomainalanındaki Computerdeğere göre otomatik olarak atamak için aşağıdaki işlevi kullanın.

  | invoke _ASIM_ResolveSrcFQDN('Computer')

Bu işlev alanları aşağıdaki gibi ayarlar:

Bilgisayar alanı	Çıkış alanları
sunucu1	SrcHostname: server1 SrcDomain, SrcDomainType, SrcFQDN tümü boş
server1.microsoft.com	SrcHostname: server1 SrcDomain: microsoft.com SrcDomainType: FQDN SrcFQDN:server1.microsoft.com

İşlevler _ASIM_ResolveDstFQDN ve _ASIM_ResolveDvcFQDN ilgili Dst ve Dvc alanları dolduran benzer bir görev gerçekleştirir. ASIM yardım işlevlerinin tam listesi için bkz. ASIM işlevleri

Sonuç kümesindeki alanları seçme

Ayrıştırıcı isteğe bağlı olarak sonuç kümesindeki alanları seçebilir. Gereksiz alanların kaldırılması, normalleştirilmiş alanlarla kalan kaynak alanlar arasındaki kafa karıştırıcılığı önleyerek performansı geliştirebilir ve netlik sağlayabilir.

Aşağıdaki KQL işleçleri, sonuç kümenizdeki alanları seçmek için kullanılır:

Işleç	Açıklama	Ayrıştırıcıda ne zaman kullanılır?
proje dışı	Alanları kaldırır.	Sonuç kümesinden kaldırmak istediğiniz belirli alanlar için kullanın project-away . Karışıklığa neden olmadığı veya çok büyük olduğu ve performans açısından etkileri olabileceği sürece, sonuç kümesinden normalleştirilmemiş özgün alanları kaldırmamanızı öneririz.
Proje	Daha önce var olan veya deyimin bir parçası olarak oluşturulmuş alanları seçer ve diğer tüm alanları kaldırır.	Ayrıştırıcı normalleştirilmemiş diğer alanları kaldırmaması gerektiği için ayrıştırıcıda kullanılması önerilmez. Ayrıştırma sırasında kullanılan geçici değerler gibi belirli alanları kaldırmanız gerekiyorsa, bunları sonuçlardan kaldırmak için kullanın project-away .

Örneğin, özel bir günlük tablosunu ayrıştırırken, hala bir tür tanımlayıcısı olan kalan özgün alanları kaldırmak için aşağıdakileri kullanın:

    | project-away
        *_d, *_s, *_b, *_g

Değişken ayrıştırma tutamacı

Önemli

Farklı değişkenler , farklı şemalarla eşlenen farklı olay türlerini temsil eder, ayrı ayrıştırıcılar geliştirir

Çoğu durumda, bir olay akışındaki olaylar farklı ayrıştırma mantığı gerektiren değişkenler içerir. Tek bir ayrıştırıcıdaki farklı değişkenleri ayrıştırmak için ve casegibi iff koşullu deyimler kullanın veya birleşim yapısı kullanın.

Birden çok değişkeni işlemek üzere kullanmak union için her değişken için ayrı bir işlev oluşturun ve birleşim deyimini kullanarak sonuçları birleştirin:

let AzureFirewallNetworkRuleLogs = AzureDiagnostics
    | where Category == "AzureFirewallNetworkRule"
    | where isnotempty(msg_s);
let parseLogs = AzureFirewallNetworkRuleLogs
    | where msg_s has_any("TCP", "UDP")
    | parse-where
        msg_s with           networkProtocol:string 
        " request from "     srcIpAddr:string
        ":"                  srcPortNumber:int
    …
    | project-away msg_s;
let parseLogsWithUrls = AzureFirewallNetworkRuleLogs
    | where msg_s has_all ("Url:","ThreatIntel:")
    | parse-where
        msg_s with           networkProtocol:string 
        " request from "     srcIpAddr:string
        " to "               dstIpAddr:string
    ...
union parseLogs,  parseLogsWithUrls…

Yinelenen olayları ve aşırı işlemeyi önlemek için, her işlevin yalnızca ayrıştırmak üzere tasarlandığı olayları filtreleyerek, yerel alanları kullanarak başladığından emin olun. Ayrıca gerekirse birleşimden önce her dalda proje dışı özelliğini kullanın.

Ayrıştırıcıları dağıtma

Ayrıştırıcıları Azure İzleyici Günlüğü sayfasına kopyalayıp sorguyu işlev olarak kaydederek el ile dağıtın. Bu yöntem test için yararlıdır. Daha fazla bilgi için bkz. İşlev oluşturma.

Çok sayıda ayrıştırıcı dağıtmak için ayrıştırıcı ARM şablonlarını aşağıdaki gibi kullanmanızı öneririz:

1. Her şema için ilgili şablonu temel alan bir YAML dosyası oluşturun ve sorgunuzu buna ekleyin. Şemanız ve ayrıştırıcı türünüz, filtrelemeniz veya parametresiz için uygun OLAN YAML şablonuyla başlayın.

2. YAML dosyanızı ARM şablonuna dönüştürmek için ASIM YAML to ARM şablon dönüştürücüsünüzü kullanın.

3. Güncelleştirme dağıtıyorsanız portalı veya işlev silme PowerShell aracını kullanarak işlevlerin eski sürümlerini silin.

4. Azure portal veya PowerShell kullanarak şablonunuzu dağıtın.

Ayrıca bağlantılı şablonları kullanarak birden çok şablonu tek bir dağıtım işlemiyle birleştirebilirsiniz

İpucu

ARM şablonları farklı kaynakları bir araya getirebileceğinden, ayrıştırıcılar bağlayıcılar, analiz kuralları veya izleme listeleriyle birlikte dağıtılabilir ve birkaç kullanışlı seçenek olarak adlandırılabilir. Örneğin, ayrıştırıcınız yanında dağıtılan bir izleme listesine başvurabilir.

Ayrıştırıcıları test et

Bu bölümde ASIM'in ayrıştırıcılarınızı test etmenizi sağlayan test araçları açıklanmaktadır. Bununla birlikte, ayrıştırıcılar kod, bazen karmaşıktır ve otomatik testlere ek olarak kod incelemeleri gibi standart kalite güvencesi uygulamaları önerilir.

ASIM test araçlarını yükleme

ASIM'i test etmek için ASIM test aracını aşağıdaki durumlarda Microsoft Sentinel bir çalışma alanına dağıtın:

• Ayrıştırıcınız dağıtılır.
• Ayrıştırıcı tarafından kullanılan kaynak tablo kullanılabilir.
• Ayrıştırıcı tarafından kullanılan kaynak tablo, çeşitli ilgili olaylar koleksiyonuyla doldurulur.

Çıkış şemasını doğrulama

Ayrıştırıcınızın geçerli bir şema ürettiğinden emin olmak için, Microsoft Sentinel Günlükleri sayfasında aşağıdaki sorguyu çalıştırarak ASIM şema test aracını kullanın:

<parser name> | getschema | invoke ASimSchemaTester('<schema>')

Sonuçları aşağıdaki gibi işleyin:

Error	Eylem
Eksik zorunlu alan [<Alan>]	Alanı ayrıştırıcınıza ekleyin. Çoğu durumda, bu türetilmiş bir değer veya sabit bir değer olur ve kaynaktan zaten kullanılabilir bir alan değildir.
[Alan] zorunlu sütun mevcut olduğunda [<<Alan>>] alanı eksikse zorunludur	Alanı ayrıştırıcınıza ekleyin. Çoğu durumda, bu alan başvurduğu mevcut sütunun türlerini belirtir.
[Alan] sütunu mevcut olduğunda eksik<< [Alan>>] alanı zorunludur	Alanı ayrıştırıcınıza ekleyin. Çoğu durumda, bu alan başvurduğu mevcut sütunun türlerini belirtir.
Varolan [Alan] sütununu diğer adla belirten zorunlu diğer ad eksik [<<Alan>]>	Diğer adı ayrıştırıcınıza ekleme
Önerilen diğer ad eksik [<Alan>] mevcut sütunun diğer adı [<Alan>]	Diğer adı ayrıştırıcınıza ekleme
Mevcut [<Alan>] sütununu diğer adla belirten isteğe bağlı diğer ad eksik [<Alan>]	Diğer adı ayrıştırıcınıza ekleme
Eksik zorunlu diğer ad [<Alan>] diğer adı eksik [<Alan>] sütunu	Bu hata, diğer ad alan için de benzer bir hataya eşlik eder. Diğer ad alan hatasını düzeltin ve bu diğer adı ayrıştırıcınıza ekleyin.
[<Alan>] alanı için tür uyuşmazlığı. Şu anda [<Tür>] ve [<Tür>] olmalıdır	Normalleştirilmiş alan türünün doğru olduğundan emin olun; genellikle gibi tostringbir dönüştürme işlevi kullanarak.

Bilgi	Eylem
Önerilen alan eksik [<Alan>]	Bu alanı ayrıştırıcınıza eklemeyi göz önünde bulundurun.

Bilgi	Eylem
Önerilen diğer ad eksik [<Alan>] var olmayan diğer ad [<Alan>]	Diğer ad alanını ayrıştırıcıya eklerseniz, bu diğer adı da eklediğinizden emin olun.
İsteğe bağlı diğer ad eksik [<Alan>] var olmayan sütun [<Alan>]	Diğer ad alanını ayrıştırıcıya eklerseniz, bu diğer adı da eklediğinizden emin olun.
İsteğe bağlı alan eksik [<Alan>]	İsteğe bağlı alanlar genellikle eksik olsa da, isteğe bağlı alanlardan herhangi birinin kaynaktan eşlenip eşlenemediğini belirlemek için listeyi gözden geçirmeye değer.
Ekstra normalleştirilmemiş alan [<Alan>]	Normalleştirilmiş olmayan alanlar geçerli olsa da, normalleştirilmemiş değerlerden herhangi birinin isteğe bağlı bir alana eşlenip eşlenemediğini belirlemek için listeyi gözden geçirmeye değer.

Not

Hatalar, ayrıştırıcıyı kullanan içeriğin düzgün çalışmasını engeller. Uyarılar içeriğin çalışmasını engellemez, ancak sonuçların kalitesini düşürebilir.

Çıkış değerlerini doğrulama

Ayrıştırıcınızın geçerli değerler ürettiğinden emin olmak için, Microsoft Sentinel Günlükleri sayfasında aşağıdaki sorguyu çalıştırarak ASIM veri test aracını kullanın:

<parser name> | limit <X> | invoke ASimDataTester ('<schema>')

Şema belirtmek isteğe bağlıdır. Bir şema belirtilmezse alan, EventSchema olayın uyması gereken şemayı tanımlamak için kullanılır. Bir olay bir EventSchema alan içermiyorsa, yalnızca ortak alanlar doğrulanır. Bir şema parametre olarak belirtilirse, bu şema tüm kayıtları test etmek için kullanılır. Bu, alanı ayarlamayan EventSchema eski ayrıştırıcılar için yararlıdır.

Not

Bir şema belirtilmediğinde bile işlev adından sonra boş parantezler gerekir.

Bu test yoğun kaynak kullanır ve veri kümenizin tamaminde çalışmayabilir. X değerini, sorgunun zaman aşımına almayacak en büyük sayıya ayarlayın veya zaman aralığı seçicisini kullanarak sorgunun zaman aralığını ayarlayın.

Sonuçları aşağıdaki gibi işleyin:

İleti	Eylem
(0) Hata: [<Alan>] sütunu için tür uyuşmazlığı. Şu anda [<Tür>] ve [<Tür>] olmalıdır	Normalleştirilmiş alan türünün doğru olduğundan emin olun; genellikle gibi tostringbir dönüştürme işlevi kullanarak.
(0) Hata: [<Mantıksal Tür>] türünde [<Alan>] alanı için geçersiz değerler (en fazla 10 listelenmiş)	Ayrıştırıcının doğru kaynak alanı çıkış alanıyla eşlediğinden emin olun. Doğru eşlenirse, kaynak değeri doğru türe, değere veya biçime dönüştürmek için ayrıştırıcıyı güncelleştirin. Her mantıksal tür için doğru değerler ve biçimler hakkında daha fazla bilgi için mantıksal türler listesine bakın. Test aracının yalnızca 10 geçersiz değerin bir örneğini listelediğini unutmayın.
(1) Uyarı: [Alan>] zorunlu alanındaki< boş değer	Zorunlu alanlar yalnızca tanımlanmadan doldurulmalıdır. Geçerli kaynağın boş olduğu kayıtlar için alanın diğer kaynaklardan doldurulup doldurulamayacağını denetleyin.
(2) Bilgi: Önerilen alandaki boş değer [<Alan>]	Önerilen alanlar genellikle doldurulmalıdır. Geçerli kaynağın boş olduğu kayıtlar için alanın diğer kaynaklardan doldurulup doldurulamayacağını denetleyin.
(2) Bilgi: İsteğe bağlı [<Alan>] alanındaki boş değer	Diğer adla belirtilen alanın zorunlu mu yoksa önerilen mi olduğunu ve varsa diğer kaynaklardan doldurulup doldurulamayacağını denetleyin.

İletilerin çoğu, iletiyi oluşturan kayıt sayısını ve toplam örneğin yüzdesini de bildirir. Bu yüzde, sorunun öneminin iyi bir göstergesidir. Örneğin, önerilen bir alan için:

• %90 boş değer genel ayrıştırma sorununa işaret edebilir.
• %25 boş değer, doğru ayrıştırılmayan bir olay değişkeni gösterebilir.
• Birkaç boş değer göz ardı edilebilir bir sorun olabilir.

Not

Hatalar, ayrıştırıcıyı kullanan içeriğin düzgün çalışmasını engeller. Uyarılar içeriğin çalışmasını engellemez, ancak sonuçların kalitesini düşürebilir.

Ayrıştırıcıları katkıda bulunma

Ayrıştırıcıyı birincil ASIM dağıtımına katkıda bulunmak isteyebilirsiniz. Kabul edilirse ayrıştırıcılar asim yerleşik ayrıştırıcıları olarak her müşterinin kullanımına sunulur.

Ayrıştırıcılarınıza katkıda bulunmak için:

• Hem filtreleme ayrıştırıcısı hem de parametresiz ayrıştırıcı geliştirin.
• Yukarıdaki Ayrıştırıcıları Dağıtma bölümünde açıklandığı gibi ayrıştırıcı için bir YAML dosyası oluşturun.
• Ayrıştırıcılarınızın tüm testlerden hatasız geçtiğine emin olun. Herhangi bir uyarı bırakılırsa, bunları ayrıştırıcı YAML dosyasında belgeleyin .
• Microsoft Sentinel GitHub deposunda aşağıdakiler dahil olmak üzere bir çekme isteği oluşturun:
  • ASIM ayrıştırıcı klasörlerindeki YAML dosyalarını ayrıştırıcılarınız (/Parsers/ASim<schema>/Parsers)
  • Örnek gönderme yönergelerine göre temsili örnek veriler.
  • Test sonuçları gönderme yönergelerine göre test sonuçları.

Kabul edilen uyarıları belgeleme

ASIM test araçları tarafından listelenen uyarılar ayrıştırıcı için geçerli kabul edilirse, aşağıdaki örnekte gösterildiği gibi Özel Durumlar bölümünü kullanarak ayrıştırıcı YAML dosyasındaki kabul edilen uyarıları belgeleyin.

Exceptions:
- Field: DnsQuery 
  Warning: Invalid value
  Exception: May have values such as "1164-ms-7.1440-9fdc2aab.3b2bd806-978e-11ec-8bb3-aad815b5cd42" which are not valid domains names. Those are related to TKEY RR requests.
- Field: DnsQuery
  Warning: Empty value in mandatory field
  Exception: May be empty for requests for root servers and for requests for RR type DNSKEY

YAML dosyasında belirtilen uyarı, uyarı iletisinin benzersiz olarak tanımlayan kısa bir biçimi olmalıdır. Bu değer, otomatikleştirilmiş testler gerçekleştirirken uyarı iletilerini eşleştirmek ve yoksaymak için kullanılır.

Örnek gönderme yönergeleri

Ayrıştırıcı sorunlarını giderirken ve ayrıştırıcıda gelecekteki güncelleştirmelerin eski örneklere uygun olduğundan emin olmak için örnek veriler gereklidir. Gönderdiğiniz örnekler ayrıştırıcının desteklediği herhangi bir olay değişkenini içermelidir. Örnek olayların tüm olası olay türlerini, olay biçimlerini ve başarılı ve başarısız etkinliği temsil eden olaylar gibi varyasyonları içerdiğinden emin olun. Ayrıca, değer biçimlerindeki varyasyonların temsil edildiklerinden emin olun. Örneğin, bir konak adı FQDN veya basit bir konak adı olarak gösterilebilirse, örnek olaylar her iki biçimi de içermelidir.

Olay örneklerini göndermek için aşağıdaki adımları kullanın:

• Logs Ekranda, kaynak tablodan yalnızca ayrıştırıcı tarafından seçilen olayları ayıklayacak bir sorgu çalıştırın. Örneğin, Infoblox DNS ayrıştırıcısı için aşağıdaki sorguyu kullanın:

    Syslog
    | where ProcessName == "named"

• CSV'ye Aktar seçeneğini kullanarak sonuçları , Where EventProduct, EventProductve adlı <EventVendor>_<EventProduct>_<EventSchema>_IngestedLogs.csvbir dosyaya aktarın ve EventSchema ayrıştırıcı tarafından bu alanlara atanan değerlerdir.

• Logs Ekranda, şemayı veya ayrıştırıcı giriş tablosunun çıkışını alacak bir sorgu çalıştırın. Örneğin, aynı Infoblox DNS ayrıştırıcısı için sorgu şu şekildedir:

    Syslog
    | getschema

• CSV'ye Aktar seçeneğini kullanarak sonuçları adlı <TableName>_schema.csvbir dosyaya aktarın; burada TableName ayrıştırıcının kullandığı kaynak tablonun adıdır.

• Her iki dosyayı da çekme isteğinize klasörüne /Sample Data/ASIMekleyin. Dosya zaten varsa, GitHub tanıtıcınızı ada ekleyin, örneğin: <EventVendor>_<EventProduct>_<EventSchema>_SchemaTest_<GitHubHandle>.csv

Test sonuçları gönderme yönergeleri

Ayrıştırıcının doğruluğunu doğrulamak ve bildirilen özel durumları anlamak için test sonuçları önemlidir.

Test sonuçlarınızı göndermek için aşağıdaki adımları kullanın:

• Ayrıştırıcı testlerini çalıştırın ve testler bölümünde açıklanmıştır.

• ve CSV'ye Aktar seçeneğini kullanarak test sonuçlarını sırasıyla ve <EventVendor>_<EventProduct>_<EventSchema>_DataTest.csv adlı <EventVendor>_<EventProduct>_<EventSchema>_SchemaTest.csv dosyalara aktarın.

• Her iki dosyayı da çekme isteğinize klasörüne /Parsers/ASim<schema>/Testsekleyin.

Sonraki adımlar

Bu makalede ASIM ayrıştırıcılarının geliştirilmesi ele alınmaktadır.

ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:

• ASIM ayrıştırıcılarına genel bakış
• ASIM ayrıştırıcılarını kullanma
• ASIM ayrıştırıcılarını yönetme
• ASIM ayrıştırıcıları listesi

ASIM hakkında genel olarak daha fazla bilgi edinin:

• Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme Microsoft Sentinel Ayrıntılı Bakış Web Seminerini izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeline (ASIM) genel bakış
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği