Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Asim-fortolkere (Advanced Security Information Model), der er udrullet i arbejdsområdet, bruges til at understøtte udvikling og ændring af ASIM-fortolkninger.
Udrul fortolkningsfunktion for arbejdsområder
ASIM understøtter også udrulning af fortolkere til bestemte arbejdsområder fra GitHub ved hjælp af en ARM-skabelon. Udrullede fortolkninger af arbejdsområder bruges til udvikling og administration af ASIM-parser. Udrullede fortolkninger af arbejdsområder svarer funktionelt til hinanden, men har lidt forskellige navngivningskonventioner, så begge parsersæt kan fungere sammen med indbyggede fortolkninger i det samme Microsoft Sentinel arbejdsområde.
Det anbefales at bruge indbyggede fortolkere, når du udvikler ASIM-indhold. Udrullede fortolkninger af arbejdsområder bruges typisk under udviklingsprocessen for fortolkere eller til at levere ændrede versioner af indbyggede fortolkere, som beskrevet i administration af fortolkninger
Brug fortolkninger af arbejdsområder
Når du bruger fortolkere af arbejdsområder i dine forespørgsler, er im<schema>det forenende parsernavn , hvor <schema> står for det specifikke skema, det serverer.
I følgende tabel vises de tilgængelige foreningsparsere:
| Skema | Forenende parser |
|---|---|
| Beskedhændelse | imAlertEvent |
| Overvågningshændelse | imAuditEvent |
| Godkendelse | imAuthentication |
| DHCP-hændelse | imDhcpEvent |
| Dns | imDns |
| Filhændelse | imFileEvent |
| Netværkssession | imNetworkSession |
| Proceshændelse | imProcessCreate imProcessTerminate |
| Registreringsdatabasehændelse | imRegistry |
| Brugeradministration | imUserManagement |
| Websession | imWebSession |
Administrer de samlende fortolkere, der er udrullet i arbejdsområdet
Føj en brugerdefineret parser til en forenende parser, der er udrullet i et arbejdsområde
Hvis du vil tilføje en brugerdefineret parser, skal du indsætte en linje i sætningen union i den forenende parser, der refererer til den nye brugerdefinerede fortolker, der er udrullet i arbejdsområdet.
Sørg for både at tilføje en brugerdefineret parser til filtrering og en brugerdefineret parser uden parametre. Syntaksen for den linje, der skal tilføjes, er forskellig for hvert skema:
| Skema | Parser | Linje, der skal tilføjes |
|---|---|---|
| AlertEvent | imAlertEvent |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | imAuditEvent |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Godkendelse | imAuthentication |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | imDhcpEvent |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | imDns |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | imFileEvent |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| Netværkssession | imNetworkSession |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent |
imProcessCreate, imProcessTerminate |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | imRegistry |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| UserManagement | imUserManagement |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | imWebSession |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Når du føjer en ekstra parser til en samlende parser, skal du sørge for at tilføje et komma i slutningen af den forrige linje.
Følgende eksempel viser f.eks. DNS-filtreringsparser efter at have tilføjet den brugerdefinerede added_parser:
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
, vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
added_parser ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Brug en ændret version af en fortolker, der er installeret i et arbejdsområde
Microsoft Sentinel brugere kan redigere fortolkere, der er udrullet i arbejdsområdet, direkte. Opret en parser baseret på originalen, kommenter originalen, og føj derefter din ændrede version til den arbejdsområdeudrullede forenende fortolker.
Følgende kode viser f.eks. en DNS-filtreringsforenende parser, der har erstattet fortolkeren vimDnsAzureFirewall med en ændret version:
let Generic=(starttime:datetime=datetime(null), endtime:datetime=datetime(null) , srcipaddr:string='*' , domain_has_any:dynamic=dynamic([]) , responsecodename:string='*', response_has_ipv4:string='*' , response_has_any_prefix:dynamic=dynamic([]) , eventtype:string='lookup' ){
let DisabledParsers=materialize(_GetWatchlist('ASimDisabledParsers') | where SearchKey in ('Any', 'imDns') | extend SourceSpecificParser=column_ifexists('SourceSpecificParser','') | distinct SourceSpecificParser);
let imDnsBuiltInDisabled=toscalar('imDnsBuiltIn' in (DisabledParsers) or 'Any' in (DisabledParsers));
union isfuzzy=true
vimDnsEmpty
, vimDnsCiscoUmbrella ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsCiscoUmbrella' in (DisabledParsers) )))
, vimDnsInfobloxNIOS ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsInfobloxNIOS' in (DisabledParsers) )))
...
// , vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsAzureFirewall' in (DisabledParsers) )))
, vimDnsMicrosoftNXlog ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype, (imDnsBuiltInDisabled or('vimDnsMicrosoftNXlog' in (DisabledParsers) ))),
modified_vimDnsAzureFirewall ( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
};
Generic( starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Relateret indhold
Du kan finde flere oplysninger under: