Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcılarını yönetme (Genel önizleme)

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) kullanıcıları, verileri normalleştirilmiş biçimde görüntülemek ve şemayla ilgili tüm verileri tek bir sorguda almak için sorgularında tablo adları yerine birleştirici ayrıştırıcılar kullanır. Her bir birleştirici ayrıştırıcı, her kaynağın belirli ayrıntılarını işleyen kaynağa özgü birden çok ayrıştırıcı kullanır.

Ayrıştırıcıların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.

Her bir ayrıştırıcı tarafından kullanılan kaynağa özgü ayrıştırıcıları şu şekilde yönetmeniz gerekebilir:

• Birleştirici ayrıştırıcıya özel, kaynağa özgü ayrıştırıcı ekleyin.

• Birleştirici ayrıştırıcı tarafından kullanılan yerleşik, kaynağa özgü ayrıştırıcıyı özel, kaynağa özgü ayrıştırıcıyla değiştirin. Yerleşik ayrıştırıcıları değiştirmek istediğinizde:

  • Birleştirici ayrıştırıcıda varsayılan olarak kullanılandan farklı bir yerleşik ayrıştırıcı sürümü kullanın.

  • Birleştirici ayrıştırıcı tarafından kullanılan kaynağa özgü ayrıştırıcının sürümünü koruyarak otomatik güncelleştirmeleri önleyin.

  • Yerleşik ayrıştırıcının değiştirilmiş sürümünü kullanın.

• Örneğin, ayrıştırıcıyla ilgili bilgileri gönderen kaynakları tanımlamak için kaynağa özgü ayrıştırıcıyı yapılandırın.

Bu makale, yerleşik asim ayrıştırıcılarını veya çalışma alanı tarafından dağıtılan ayrıştırıcıları birleştirmeyi kullanarak ayrıştırıcılarınızı yönetme konusunda size yol gösterir.

Önemli

ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Ön koşullar

Bu makaledeki yordamlarda, kaynağa özgü tüm ayrıştırıcıların Microsoft Sentinel çalışma alanınıza zaten dağıtıldığı varsayılır.

Daha fazla bilgi için bkz. ASIM ayrıştırıcıları geliştirme.

Yerleşik birleştirici ayrıştırıcıları yönetme

Çalışma alanınızı ayarlama

Microsoft Sentinel kullanıcıları yerleşik birleştirici ayrıştırıcıları düzenleyemez. Bunun yerine, yerleşik birleştirici ayrıştırıcıların davranışını değiştirmek için aşağıdaki mekanizmaları kullanın:

• ASIM, kaynağa özgü ayrıştırıcıları eklemeyi desteklemek için birleştirici özel ayrıştırıcılar kullanır. Bu özel ayrıştırıcılar çalışma alanı tarafından dağıtılır ve bu nedenle düzenlenebilir. Yerleşik, birleştirici ayrıştırıcılar varsa bu özel ayrıştırıcıları otomatik olarak alır.

  Desteklenen tüm şemalar için Microsoft Sentinel çalışma alanınıza veya belirli şemalar için tek tek ilk, boş, birleştirici özel ayrıştırıcıları dağıtabilirsiniz. Daha fazla bilgi için bkz. Microsoft Sentinel GitHub deposunda ilk ASIM boş özel birleştirme ayrıştırıcılarını dağıtma .

• Yerleşik kaynağa özgü ayrıştırıcıların dışlanmasını desteklemek için ASIM bir izleme listesi kullanır. İzleme listesini Microsoft Sentinel GitHub deposundan Microsoft Sentinel çalışma alanınıza dağıtın.

• AsIM, yerleşik ve özel ayrıştırıcılar için kaynak türünü tanımlamak için bir izleme listesi kullanır. İzleme listesini Microsoft Sentinel GitHub deposundan Microsoft Sentinel çalışma alanınıza dağıtın.

Yerleşik bir birleştirici ayrıştırıcıya özel ayrıştırıcı ekleme

Özel ayrıştırıcı eklemek için, özel ayrıştırıcıya yeni, özel ayrıştırıcıya başvurmak üzere bir çizgi ekleyin.

Hem filtreleme özel ayrıştırıcısı hem de parametresiz özel ayrıştırıcı eklediğinizden emin olun. Ayrıştırıcıları düzenleme hakkında daha fazla bilgi edinmek için Azure İzleyici günlük sorgularındaki İşlevler belgesine bakın.

Eklenecek satırın söz dizimi her şema için farklıdır:

Şema	Ayrıştırıcı	Eklenecek satır
DNS	Im_DnsCustom	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
NetworkSession	Im_NetworkSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult)
WebSession	Im_WebSessionCustom	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Ayrıştırıcılara zaten başvuran birleştirici özel ayrıştırıcıya ek ayrıştırıcı eklerken, önceki satırın sonuna virgül eklediğinizden emin olun.

Örneğin, aşağıdaki kod, eklendikten sonra özel bir birleştirme ayrıştırıcısını added_parsergösterir:

union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Yerleşik ayrıştırıcının değiştirilmiş sürümünü kullanma

Mevcut, yerleşik kaynağa özgü ayrıştırıcıyı değiştirmek için:

1. Özgün ayrıştırıcıyı temel alan özel bir ayrıştırıcı oluşturun ve bunu yerleşik ayrıştırıcıya ekleyin .

2. İzleme listesine bir kayıt ASim Disabled Parsers ekleyin.

3. CallerContext Değerini olarak Exclude<parser name>tanımlayın; burada <parser name> ayrıştırıcıyı dışlamak istediğiniz birleştirici ayrıştırıcıların adıdır.

4. SourceSpecificParser değerini Exclude<parser name>tanımlayın; burada<parser name>, sürüm tanımlayıcısı olmadan dışlamak istediğiniz ayrıştırıcının adıdır.

Örneğin, Azure Güvenlik Duvarı DNS ayrıştırıcısını dışlamak için izleme listesine aşağıdaki kaydı ekleyin:

CallerContext	SourceSpecificParser
Exclude_Im_Dns	Exclude_Im_Dns_AzureFirewall

Yerleşik ayrıştırıcının otomatik güncelleştirmesini engelleme

Yerleşik, kaynağa özgü ayrıştırıcılar için otomatik güncelleştirmeleri önlemek için aşağıdaki işlemi kullanın:

1. Kullanmak istediğiniz yerleşik ayrıştırıcı sürümünü ( gibi _Im_Dns_AzureFirewallV02) özel birleştirici ayrıştırıcıya ekleyin. Daha fazla bilgi için yukarıdaki Yerleşik bir birleştirici ayrıştırıcıya özel ayrıştırıcı ekleme bölümüne bakın.

2. Yerleşik ayrıştırıcı için bir özel durum ekleyin. Örneğin, otomatik güncelleştirmeleri tamamen geri çevirmek ve bu nedenle çok sayıda yerleşik ayrıştırıcıyı dışlamak istediğinizde şunları ekleyin:

• için tüm ayrıştırıcıları dışlamak için, alanı olarak SourceSpecificParser içeren Any bir CallerContextkayıt.
• CallerContext içindeki için Any bir kayıt ve SourceSpecificParser tüm yerleşik ayrıştırıcıları dışlamak için alanlar.

Daha fazla bilgi için bkz. Yerleşik ayrıştırıcının değiştirilmiş sürümünü kullanma.

Çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıları yönetme

Çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıya özel ayrıştırıcı ekleme

Özel ayrıştırıcı eklemek için çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıdaki deyimine union yeni özel ayrıştırıcıya başvuran bir satır ekleyin.

Hem filtreleme özel ayrıştırıcısı hem de parametresiz özel ayrıştırıcı eklediğinizden emin olun. Eklenecek satırın söz dizimi her şema için farklıdır:

Şema	Ayrıştırıcı	Eklenecek satır
Kimlik Doğrulaması	ImAuthentication	_parser_name_ (starttime, endtime, targetusername_has)
DNS	ImDns	_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Dosya Olayı	imFileEvent	_parser_name_
Ağ Oturumu	imNetworkSession	_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, dstportnumber, url_has_any, httpuseragent_has_any, hostname_has_any, dvcaction, eventresult)
İşlem Olayı	- imProcess - imProcessCreate - imProcessTerminate	_parser_name_
Kayıt Defteri Olayı	imRegistry	_parser_name_
Web Oturumu	imWebSession	_parser_name_ parser (starttime, endtime, srcipaddr_has_any, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult)

Birleştirici ayrıştırıcıya ek ayrıştırıcı eklerken, önceki satırın sonuna virgül eklediğinizden emin olun.

Örneğin, aşağıdaki örnekte, özel added_parsereklendikten sonra DNS filtreleme birleştirici ayrıştırıcı gösterilmektedir:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Çalışma alanı tarafından dağıtılan ayrıştırıcının değiştirilmiş sürümünü kullanma

Microsoft Sentinel kullanıcıları, çalışma alanı tarafından dağıtılan ayrıştırıcıları doğrudan değiştirebilir. Özgün ayrıştırıcıyı temel alan bir ayrıştırıcı oluşturun, özgün sürümü açıklama satırı yapın ve değiştirilen sürümünüzü çalışma alanı tarafından dağıtılan birleştirici ayrıştırıcıya ekleyin.

Örneğin, aşağıdaki kod ayrıştırıcıyı değiştirilmiş bir sürümle değiştirerek bir DNS filtreleme birleştirici ayrıştırıcısını vimDnsAzureFirewall gösterir:

  let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
  let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
  let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers)); 
  union isfuzzy=true
      vimDnsEmpty
    , vimDnsCiscoUmbrella  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella'   in (DisabledParsers) )))
    , vimDnsInfobloxNIOS   ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS'    in (DisabledParsers) )))
    ...
    // , vimDnsAzureFirewall  ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall'   in (DisabledParsers) )))
    , vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog'  in (DisabledParsers) ))),
    modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
     };
  Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)

Kaynağa özgü ayrıştırıcıyla ilgili kaynakları yapılandırma

Bazı ayrıştırıcılar, ayrıştırıcıyla ilgili kaynakların listesini güncelleştirmenizi gerektirir. Örneğin, Syslog verilerini kullanan bir ayrıştırıcı, hangi Syslog olaylarının ayrıştırıcıyla ilgili olduğunu belirleyemeyebilir. Böyle bir ayrıştırıcı, ayrıştırıcıyla ilgili bilgileri hangi kaynakların gönderdiğini belirlemek için izleme listesini kullanabilir Sources_by_SourceType . Bu tür ayrıştırmalar için izleme listesine ilgili her kaynak için bir kayıt ekleyin:

• SourceType Alanı ayrıştırıcı belgelerinde belirtilen ayrıştırıcıya özgü değer olarak ayarlayın.
• Source Alanı, olaylarda kullanılan kaynağın tanımlayıcısı olarak ayarlayın. Doğru değeri belirlemek için Syslog gibi özgün tabloyu sorgulamanız gerekebilir.

Sisteminizde izleme listesi dağıtılmamışsa Sources_by_SourceType izleme listesini Microsoft Sentinel GitHub deposundan Microsoft Sentinel çalışma alanınıza dağıtın.

Sonraki adımlar

Bu makalede Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarının yönetimi ele alınmaktadır.

ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:

• ASIM ayrıştırıcılarına genel bakış
• ASIM ayrıştırıcılarını kullanma
• Özel ASIM ayrıştırıcıları geliştirme
• ASIM ayrıştırıcıları listesi

ASIM hakkında genel olarak daha fazla bilgi edinin:

• Microsoft Sentinel Ayrıştırıcıları ve Normalleştirilmiş İçeriği Normalleştirme hakkında Ayrıntılı Web Semineri'ni izleyin veya slaytları gözden geçirin
• Gelişmiş Güvenlik Bilgileri Modeli'ne (ASIM) genel bakış
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) şemaları
• Gelişmiş Güvenlik Bilgileri Modeli (ASIM) içeriği