Share via

Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcıları (Genel önizleme)

  • Makale

Microsoft Sentinel'de ayrıştırma ve normalleştirme sorgu zamanında gerçekleşir. Ayrıştırıcılar CommonSecurityLog, özel günlük tabloları veya Syslog gibi mevcut tablolardaki verileri normalleştirilmiş şemaya dönüştüren KQL kullanıcı tanımlı işlevler olarak oluşturulur.

Kullanıcılar, verileri normalleştirilmiş biçimde görüntülemek ve şemayla ilgili tüm verileri sorgunuza eklemek için sorgularında tablo adları yerine Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcıları kullanır .

Ayrıştırıcıların ASIM mimarisine nasıl uygun olduğunu anlamak için ASIM mimari diyagramına bakın.

Önemli

ASIM şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Yerleşik ASIM ayrıştırıcıları ve çalışma alanı tarafından dağıtılan ayrıştırıcılar

Birçok ASIM ayrıştırıcısı, her Microsoft Sentinel çalışma alanında yerleşik olarak bulunur ve kullanıma hazır olarak sunulur. ASIM, ARM şablonu kullanarak veya el ile GitHub'dan belirli çalışma alanlarına ayrıştırıcı dağıtmayı da destekler. Hem kullanıma açık hem de çalışma alanı tarafından dağıtılan ayrıştırıcılar işlevsel olarak eşdeğerdir, ancak biraz farklı adlandırma kurallarına sahiptir ve her iki ayrıştırıcı kümesinin de aynı Microsoft Sentinel çalışma alanında birlikte var olmasını sağlar.

Her yöntemin diğer yönteme göre avantajları vardır:

Karşılaştır Yerleşik Çalışma alanı dağıtıldı
Avantajlar Her Microsoft Sentinel örneğinde bulunur.

Diğer yerleşik içeriklerle kullanılabilir.		 Yeni ayrıştırıcılar genellikle önce çalışma alanı tarafından dağıtılan ayrıştırıcılar olarak teslim edilir.
Dezavantajlar Kullanıcılar tarafından doğrudan değiştirilemez.

Daha az ayrıştırıcı kullanılabilir.		 Yerleşik içerik tarafından kullanılmaz.
Ne zaman kullanılır? AsIM ayrıştırıcılarına ihtiyaç duyduğunuz çoğu durumda kullanın. Yeni ayrıştırıcıları dağıtırken veya henüz kullanıma sunulmamış ayrıştırıcılar için kullanın.

Yerleşik ayrıştırıcıların kullanılabildiği şemalar için yerleşik ayrıştırıcıların kullanılması önerilir.

Ayrıştırıcı hiyerarşisi ve adlandırma

ASIM iki ayrıştırıcı düzeyi içerir: ayrıştırıcıyı ve kaynağa özgü ayrıştırıcıları birleştirme. Kullanıcı genellikle ilgili şema için birleştirici ayrıştırıcıyı kullanır ve şemayla ilgili tüm verilerin sorgulandığından emin olur. Birleştirici ayrıştırıcı da kaynağa özgü ayrıştırıcıları çağırarak her kaynağa özgü olan gerçek ayrıştırma ve normalleştirme işlemlerini gerçekleştirir.

Birleştirici ayrıştırıcı adı _Im_<schema> , yerleşik ayrıştırıcılar ve im<schema> çalışma alanı tarafından dağıtılan ayrıştırıcılar içindir; burada <schema> hizmet ettiği şemanın kısaltmasıdır. Kaynağa özgü ayrıştırıcılar bağımsız olarak da kullanılabilir. Yerleşik ayrıştırıcılar ve vim<schema><source> çalışma alanı tarafından dağıtılan ayrıştırıcılar için kullanın_Im_<schema>_<source>. Örneğin, Infoblox'a özgü bir çalışma kitabında kaynağa özgü ayrıştırıcıyı _Im_Dns_InfobloxNIOS kullanın. ASIM ayrıştırıcıları listesinde kaynağa özgü ayrıştırıcıların listesini bulabilirsiniz.

İpucu

ve ASim<Schema> kullanan _ASim_<schema> ilgili ayrıştırıcı kümesi de kullanılabilir. Bu ayrıştırıcılar filtreleme parametrelerini desteklemez ve Zaman seçicinin özel aralık sorununa ayarlanmasını azaltmaya yardımcı olmak için sağlanır. Bu ayrıştırıcıları yalnızca günlükler ekranında etkileşimli olarak kullanın, ancak başka bir yerde değil, örneğin analiz kurallarında veya çalışma kitaplarında kullanın. Sorun çözildiğinde bu ayrıştırıcılar kaldırılamayabilir.

İpucu

Yerleşik ayrıştırıcı hiyerarşisi, özelleştirmeyi desteklemek için bir katman ekler. Daha fazla bilgi için bkz. ASIM ayrıştırıcılarını yönetme.

Sonraki adımlar

ASIM ayrıştırıcıları hakkında daha fazla bilgi edinin:

ASIM hakkında daha fazla bilgi için genel olarak bkz: