Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
I Microsoft Sentinel skjer analyse og normalisering ved spørringstidspunktet. Parsers bygges som KQL-brukerdefinerte funksjoner som transformerer data i eksisterende tabeller, for eksempel CommonSecurityLog, egendefinerte loggtabeller eller Syslog, til det normaliserte skjemaet.
Brukere bruker ASIM-parsere (Advanced Security Information Model) i stedet for tabellnavn i spørringene for å vise data i et normalisert format, og til å inkludere alle data som er relevante for skjemaet i spørringen.
Hvis du vil forstå hvordan analyser passer inn i ASIM-arkitekturen, kan du se ASIM-arkitekturdiagrammet.
Innebygde ASIM-parsers og arbeidsområdedistribuerte parsers
ASIM-analyser er innebygde og tilgjengelige ferdiglistet i hvert Microsoft Sentinel arbeidsområde.
ASIM støtter også distribusjon av analyser til bestemte arbeidsområder fra GitHub, ved hjelp av en ARM-mal. Distribuerte analyser for arbeidsområde brukes for ASIM-analyseutvikling og -administrasjon. Distribuerte parsere i arbeidsområdet er funksjonelt like, men har litt forskjellige navnekonvensjoner, slik at begge parsersettene kan eksistere sammen med innebygde parsere i samme Microsoft Sentinel arbeidsområde. Les mer om distribuerte analyser for arbeidsområde for å distribuere, bruke og administrere dem.
Det anbefales å bruke innebygde analyser når du utvikler ASIM-innhold. Distribuerte parsere for arbeidsområder brukes vanligvis under analyseutviklingsprosessen eller til å gi modifiserte versjoner av innebygde analyser som beskrevet i administrasjon av analyser
Analysere hierarki og navngivning
ASIM inkluderer to nivåer av parsers: samlende parser og kildespesifikke parsers. Brukeren bruker vanligvis den samlende parseren for det relevante skjemaet, slik at alle data som er relevante for skjemaet, spørres. Den samlende parseren kaller i sin tur kildespesifikke parsere for å utføre den faktiske analyse og normalisering, som er spesifikk for hver kilde.
Det samlende parsernavnet er _Im_<schema> der <schema> står for det spesifikke skjemaet det tjener. Kildespesifikke analyser kan også brukes uavhengig av hverandre. Deres navnekonvensjon er _Im_<schema>_<source>V<version>. Du finner en liste over kildespesifikke analyser i ASIM-parserlisten.
Obs!
Et tilsvarende sett med parser som bruker _ASim_<schema>. Disse parserne støtter ikke filtreringsparametere og er angitt for bakoverkompatibilitet.
Tips
Analysehierarkiet legger til et lag for å støtte tilpassing. Hvis du vil ha mer informasjon, kan du se Administrere ASIM-analyser.
Neste trinn
Mer informasjon om ASIM-analyser:
Hvis du vil ha mer informasjon om ASIM, kan du generelt se: