Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Benutzer des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) verwenden vereinheitlichende Parser anstelle von Tabellennamen in ihren Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in einer einzelnen Abfrage abzurufen. Jeder vereinheitlichende Parser verwendet mehrere quellenspezifische Parser, die die spezifischen Details jeder Quelle behandeln.
Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Möglicherweise müssen Sie die quellspezifischen Parser verwalten, die von jedem vereinheitlichenden Parser für Folgendes verwendet werden:
Fügen Sie einem vereinheitlichenden Parser einen benutzerdefinierten, quellenspezifischen Parser hinzu.
Ersetzen Sie einen integrierten, quellspezifischen Parser, der von einem vereinheitlichenden Parser verwendet wird, durch einen benutzerdefinierten, quellenspezifischen Parser. Ersetzen Sie integrierte Parser in folgenden Fällen:
Verwenden Sie eine andere Version des integrierten Parsers als die, die standardmäßig im vereinheitlichenden Parser verwendet wird.
Verhindern Sie automatisierte Updates, indem Sie die Version des vom vereinheitlichenden Parser verwendeten quellspezifischen Parsers beibehalten.
Verwenden Sie eine geänderte Version eines integrierten Parsers.
Konfigurieren Sie einen quellenspezifischen Parser, um z. B. die Quellen zu definieren, die für den Parser relevante Informationen senden.
Dieser Artikel führt Sie durch die Verwaltung Ihrer Parser.
Voraussetzungen
Bei den Verfahren in diesem Artikel wird davon ausgegangen, dass alle quellspezifischen Parser bereits in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt wurden.
Weitere Informationen finden Sie unter Entwickeln von ASIM-Parsern.
Verwalten integrierter vereinheitlichender Parser
Einrichten Ihres Arbeitsbereichs
Microsoft Sentinel Benutzer können integrierte vereinheitlichende Parser nicht bearbeiten. Verwenden Sie stattdessen die folgenden Mechanismen, um das Verhalten integrierter vereinheitlichender Parser zu ändern:
Um das Hinzufügen quellspezifischer Parser zu unterstützen, verwendet ASIM vereinheitlichende, benutzerdefinierte Parser. Diese benutzerdefinierten Parser sind arbeitsbereichsseitig bereitgestellt und können daher bearbeitet werden. Integrierte, vereinheitlichende Parser nehmen diese benutzerdefinierten Parser automatisch auf, sofern sie vorhanden sind.
Sie können anfängliche, leere und vereinheitlichende benutzerdefinierte Parser für Ihren Microsoft Sentinel Arbeitsbereich für alle unterstützten Schemas oder einzeln für bestimmte Schemas bereitstellen. Weitere Informationen finden Sie unter Deploy initial ASIM empty custom unifying parsers in the Microsoft Sentinel GitHub repository.for more information, see Deploy initial ASIM empty custom unifying parsers in the Microsoft Sentinel GitHub repository.
Um das Ausschließen integrierter quellspezifischer Parser zu unterstützen, verwendet ASIM eine Watchlist. Stellen Sie die Watchlist aus dem Microsoft Sentinel GitHub-Repository in Ihrem Microsoft Sentinel Arbeitsbereich bereit.
Um den Quelltyp für integrierte und benutzerdefinierte Parser zu definieren, verwendet ASIM eine Watchlist. Stellen Sie die Watchlist aus dem Microsoft Sentinel GitHub-Repository in Ihrem Microsoft Sentinel Arbeitsbereich bereit.
Hinzufügen eines benutzerdefinierten Parsers zu einem integrierten vereinheitlichenden Parser
Um einen benutzerdefinierten Parser hinzuzufügen, fügen Sie eine Zeile in den benutzerdefinierten vereinheitlichenden Parser ein, um auf den neuen, benutzerdefinierten Parser zu verweisen.
Stellen Sie sicher, dass Sie sowohl einen benutzerdefinierten Filterparser als auch einen parameterlosen benutzerdefinierten Parser hinzufügen. Weitere Informationen zum Bearbeiten von Parsern finden Sie im Dokument Funktionen in Azure Überwachen von Protokollabfragen.
Die Syntax der hinzuzufügenden Zeile unterscheidet sich für jedes Schema:
| Schema | Parser | Hinzuzufügende Zeile |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Authentifizierung | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| Networksession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| UserManagement | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Wenn Sie einem vereinheitlichenden benutzerdefinierten Parser, der bereits auf Parser verweist, einen zusätzlichen Parser hinzufügen, stellen Sie sicher, dass Sie am Ende der vorherigen Zeile ein Komma hinzufügen.
Der folgende Code zeigt beispielsweise einen benutzerdefinierten vereinheitlichenden Parser nach dem Hinzufügen von added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Verwenden einer geänderten Version eines integrierten Parsers
So ändern Sie einen vorhandenen, integrierten quellspezifischen Parser:
Erstellen Sie einen benutzerdefinierten Parser basierend auf dem ursprünglichen Parser, und fügen Sie ihn dem integrierten Parser hinzu. Sie können die vom Arbeitsbereich bereitgestellte Version des Parsers als Ausgangspunkt verwenden.
Fügen Sie der
ASim Disabled ParsersWatchlist einen Datensatz hinzu.Definieren Sie den
CallerContextWert alsExclude<parser name>, wobei<parser name>der Name der vereinheitlichenden Parser ist, von denen sie den Parser ausschließen möchten.Definieren Sie den
SourceSpecificParserWertExclude<parser name>, wobei<parser name>der Name des Parsers ohne Versionsspezifizierer ist, den Sie ausschließen möchten.
Um beispielsweise den Azure Firewall DNS-Parser auszuschließen, fügen Sie der Watchlist den folgenden Eintrag hinzu:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Verhindern einer automatisierten Aktualisierung eines integrierten Parsers
Verwenden Sie den folgenden Prozess, um automatische Updates für integrierte, quellenspezifische Parser zu verhindern:
Fügen Sie dem benutzerdefinierten vereinheitlichenden Parser die integrierte Parserversion hinzu, die Sie verwenden möchten, z
_Im_Dns_AzureFirewallV02. B. . Weitere Informationen finden Sie oben unter Hinzufügen eines benutzerdefinierten Parsers zu einem integrierten vereinheitlichenden Parser.Fügen Sie eine Ausnahme für den integrierten Parser hinzu. Wenn Sie z. B. automatische Updates vollständig deaktivieren und daher eine große Anzahl integrierter Parser ausschließen möchten, fügen Sie Folgendes hinzu:
- Ein Datensatz mit
AnyalsSourceSpecificParserFeld, um alle Parser für auszuschließenCallerContext. - Ein Datensatz für
Anyin CallerContext und denSourceSpecificParserFeldern, um alle integrierten Parser auszuschließen.
Weitere Informationen finden Sie unter Verwenden einer geänderten Version eines integrierten Parsers.
Konfigurieren der Quellen, die für einen quellenspezifischen Parser relevant sind
Einige Parser erfordern, dass Sie die Liste der Quellen aktualisieren, die für den Parser relevant sind. Beispielsweise kann ein Parser, der Syslog-Daten verwendet, möglicherweise nicht bestimmen, welche Syslog-Ereignisse für den Parser relevant sind. Ein solcher Parser kann die Sources_by_SourceType Watchlist verwenden, um zu bestimmen, welche Quellen informationen senden, die für den Parser relevant sind. Fügen Sie für solche Analyses einen Datensatz für jede relevante Quelle zur Watchlist hinzu:
- Legen Sie das
SourceTypeFeld auf den parserspezifischen Wert fest, der in der Parserdokumentation angegeben ist. - Legen Sie das
SourceFeld auf den Bezeichner der Quelle fest, die in den Ereignissen verwendet wird. Möglicherweise müssen Sie die ursprüngliche Tabelle abfragen, z. B. Syslog, um den richtigen Wert zu ermitteln.
Wenn auf Ihrem System die Sources_by_SourceType Watchlist nicht bereitgestellt ist, stellen Sie die Watchlist aus dem Microsoft Sentinel GitHub-Repository in Ihrem Microsoft Sentinel Arbeitsbereich bereit.
Nächste Schritte
In diesem Artikel wird die Verwaltung der ASIM-Parser (Advanced Security Information Model) erläutert.
Erfahren Sie mehr über ASIM-Parser:
- Übersicht über ASIM-Parser
- Verwenden von ASIM-Parsern
- Entwickeln benutzerdefinierter ASIM-Parser
- Die ASIM-Parserliste
Weitere Informationen zum ASIM im Allgemeinen:
- Sehen Sie sich das Deep Dive Webinar zu Microsoft Sentinel Normalisierung von Parsern und normalisierten Inhalten an, oder überprüfen Sie die Folien.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Advanced Security Information Model (ASIM)-Schemas
- Inhalt des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM)