Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
ASIM-gebruikers (Advanced Security Information Model) gebruiken unifying parsers in plaats van tabelnamen in hun query's om gegevens in een genormaliseerde indeling weer te geven en alle gegevens die relevant zijn voor het schema in één query op te halen. Elke samenvoegingsparser maakt gebruik van meerdere bronspecifieke parsers die de specifieke details van elke bron verwerken.
Raadpleeg het ASIM-architectuurdiagram om te begrijpen hoe parsers binnen de ASIM-architectuur passen.
Mogelijk moet u de bronspecifieke parsers beheren die door elke unifying-parser worden gebruikt om het volgende te doen:
Voeg een aangepaste, bronspecifieke parser toe aan een samenvoegende parser.
Vervang een ingebouwde, bronspecifieke parser die wordt gebruikt door een unifying parser door een aangepaste, bronspecifieke parser. Vervang ingebouwde parsers als u het volgende wilt doen:
Gebruik een andere versie van de ingebouwde parser dan de versie die standaard wordt gebruikt in de parseerfunctie voor unifying.
Voorkom geautomatiseerde updates door de versie van de bronspecifieke parser te behouden die wordt gebruikt door de parseringsfunctie voor unifying.
Gebruik een aangepaste versie van een ingebouwde parser.
Configureer een bronspecifieke parser, bijvoorbeeld om de bronnen te definiëren die informatie verzenden die relevant is voor de parser.
In dit artikel wordt u begeleid bij het beheren van uw parsers.
Vereisten
In de procedures in dit artikel wordt ervan uitgegaan dat alle bronspecifieke parsers al zijn geïmplementeerd in uw Microsoft Sentinel werkruimte.
Zie ASIM-parsers ontwikkelen voor meer informatie.
Ingebouwde unifying-parsers beheren
Uw werkruimte instellen
Microsoft Sentinel gebruikers kunnen geen ingebouwde parseringsservers bewerken. Gebruik in plaats daarvan de volgende mechanismen om het gedrag van ingebouwde samensparingsparseer te wijzigen:
Om het toevoegen van bronspecifieke parsers te ondersteunen, maakt ASIM gebruik van samenvoegende, aangepaste parsers. Deze aangepaste parsers worden in de werkruimte geïmplementeerd en kunnen daarom worden bewerkt. Ingebouwde, unifying parsers halen deze aangepaste parsers automatisch op, als ze bestaan.
U kunt initiële, lege, samenvoegende aangepaste parsers implementeren in uw Microsoft Sentinel werkruimte voor alle ondersteunde schema's, of afzonderlijk voor specifieke schema's. Zie Initial ASIM empty custom unifying parsers implementeren in de Microsoft Sentinel GitHub-opslagplaats voor meer informatie.
Voor ondersteuning van het uitsluiten van ingebouwde bronspecifieke parsers maakt ASIM gebruik van een volglijst. Implementeer de volglijst in uw Microsoft Sentinel werkruimte vanuit de Microsoft Sentinel GitHub-opslagplaats.
Voor het definiëren van het brontype voor ingebouwde en aangepaste parsers gebruikt ASIM een volglijst. Implementeer de volglijst in uw Microsoft Sentinel werkruimte vanuit de Microsoft Sentinel GitHub-opslagplaats.
Een aangepaste parser toevoegen aan een ingebouwde unifying-parser
Als u een aangepaste parser wilt toevoegen, voegt u een regel toe aan de aangepaste parseringsparseer om te verwijzen naar de nieuwe, aangepaste parser.
Zorg ervoor dat u zowel een aangepaste filterparser als een aangepaste parser met parameters toevoegt. Raadpleeg het document Functies in Azure Logboekquery's controleren voor meer informatie over het bewerken van parsers.
De syntaxis van de toe te voegen regel verschilt voor elk schema:
| Schema | Parser | Toe te voegen regel |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Verificatie | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| UserManagement | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Wanneer u een extra parser toevoegt aan een samenvoegende aangepaste parser die al verwijst naar parsers, moet u een komma toevoegen aan het einde van de vorige regel.
In de volgende code wordt bijvoorbeeld een aangepaste parseringspareerfunctie weergegeven nadat u de added_parserhebt toegevoegd:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Een aangepaste versie van een ingebouwde parser gebruiken
Een bestaande, ingebouwde bronspecifieke parser wijzigen:
Maak een aangepaste parser op basis van de oorspronkelijke parser en voeg deze toe aan de ingebouwde parser. U kunt de in de werkruimte geïmplementeerde versie van de parser als uitgangspunt gebruiken.
Voeg een record toe aan de
ASim Disabled Parsersvolglijst.Definieer de
CallerContextwaarde alsExclude<parser name>, waarbij<parser name>de naam is van de samenvoegingsparseer waarvan u de parser wilt uitsluiten.Definieer de
SourceSpecificParserwaardeExclude<parser name>, waarbij<parser name>de naam is van de parser die u wilt uitsluiten, zonder een versieaanduiding.
Als u bijvoorbeeld de Azure Firewall DNS-parser wilt uitsluiten, voegt u de volgende record toe aan de volglijst:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Een automatische update van een ingebouwde parser voorkomen
Gebruik het volgende proces om automatische updates voor ingebouwde, bronspecifieke parsers te voorkomen:
Voeg de ingebouwde parserversie die u wilt gebruiken, zoals
_Im_Dns_AzureFirewallV02, toe aan de aangepaste parseerfunctie voor unifying. Zie een aangepaste parser toevoegen aan een ingebouwde parseringsparseer voor meer informatie.Voeg een uitzondering toe voor de ingebouwde parser. Als u zich bijvoorbeeld volledig wilt afmelden voor automatische updates en daarom een groot aantal ingebouwde parsers wilt uitsluiten, voegt u het volgende toe:
- Een record met
AnyalsSourceSpecificParserveld om alle parsers voor deCallerContextuit te sluiten. - Een record voor
Anyin de CallerContext en deSourceSpecificParservelden om alle ingebouwde parsers uit te sluiten.
Zie Een aangepaste versie van een ingebouwde parser gebruiken voor meer informatie.
De bronnen configureren die relevant zijn voor een bronspecifieke parser
Voor sommige parsers moet u de lijst met bronnen bijwerken die relevant zijn voor de parser. Een parser die syslog-gegevens gebruikt, kan bijvoorbeeld niet bepalen welke Syslog-gebeurtenissen relevant zijn voor de parser. Een dergelijke parser kan de Sources_by_SourceType volglijst gebruiken om te bepalen welke bronnen informatie verzenden die relevant is voor de parser. Voor dergelijke parseringen voegt u een record toe voor elke relevante bron aan de volglijst:
- Stel het
SourceTypeveld in op de specifieke waarde voor de parser die is opgegeven in de parserdocumentatie. - Stel het
Sourceveld in op de id van de bron die in de gebeurtenissen wordt gebruikt. Mogelijk moet u een query uitvoeren op de oorspronkelijke tabel, zoals Syslog, om de juiste waarde te bepalen.
Als de Sources_by_SourceType volglijst niet is geïmplementeerd op uw systeem, implementeert u de volglijst in uw Microsoft Sentinel werkruimte vanuit de Microsoft Sentinel GitHub-opslagplaats.
Volgende stappen
In dit artikel wordt het beheren van de ASIM-parsers (Advanced Security Information Model) besproken.
Meer informatie over ASIM-parsers:
- Overzicht van ASIM-parsers
- ASIM-parsers gebruiken
- Aangepaste ASIM-parsers ontwikkelen
- De lijst met ASIM-parsers
Meer informatie over de ASIM in het algemeen: