Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Microsoft Sentinel vinden parseren en normaliseren plaats tijdens de query. Parsers zijn gebouwd als door de gebruiker gedefinieerde KQL-functies waarmee gegevens in bestaande tabellen, zoals CommonSecurityLog, aangepaste logboektabellen of Syslog, worden omgezet in het genormaliseerde schema.
Gebruikers gebruiken ASIM-parsers (Advanced Security Information Model) in plaats van tabelnamen in hun query's om gegevens in een genormaliseerde indeling weer te geven en om alle gegevens op te nemen die relevant zijn voor het schema in uw query.
Raadpleeg het ASIM-architectuurdiagram om te begrijpen hoe parsers binnen de ASIM-architectuur passen.
Ingebouwde ASIM-parsers en door werkruimte geïmplementeerde parsers
ASIM-parsers zijn ingebouwd en beschikbaar in elke Microsoft Sentinel werkruimte.
ASIM ondersteunt ook het implementeren van parsers naar specifieke werkruimten vanuit GitHub, met behulp van een ARM-sjabloon. Door werkruimte geïmplementeerde parsers worden gebruikt voor de ontwikkeling en het beheer van ASIM-parser. Door werkruimte geïmplementeerde parsers zijn functioneel gelijkwaardig, maar hebben enigszins verschillende naamconventies, waardoor beide parsersets naast ingebouwde parsers in dezelfde Microsoft Sentinel werkruimte kunnen bestaan. Lees meer over door werkruimte geïmplementeerde parsers om deze te implementeren, te gebruiken en te beheren.
Het wordt aanbevolen om ingebouwde parsers te gebruiken bij het ontwikkelen van ASIM-inhoud. Door werkruimte geïmplementeerde parsers worden meestal gebruikt tijdens het ontwikkelingsproces van de parser of om gewijzigde versies van ingebouwde parsers te bieden, zoals beschreven in Parsers beheren
Hiërarchie en naamgeving van parser
ASIM bevat twee niveaus van parsers: parseringsserver en bronspecifieke parsers. De gebruiker gebruikt meestal de samenvoegingsparseer voor het relevante schema, zodat alle gegevens die relevant zijn voor het schema, worden opgevraagd. De samensparingsparseer roept op zijn beurt bronspecifieke parsers aan om de werkelijke parsering en normalisatie uit te voeren, die specifiek is voor elke bron.
De naam van de samenvoegingsparser staat _Im_<schema><schema> voor het specifieke schema dat wordt gebruikt. Bronspecifieke parsers kunnen ook onafhankelijk worden gebruikt. Hun naamconventie is _Im_<schema>_<source>V<version>. U vindt een lijst met bronspecifieke parsers in de lijst met ASIM-parsers.
Opmerking
Een bijbehorende set parsers die gebruikmaken _ASim_<schema>van . Deze parsers bieden geen ondersteuning voor filterparameters en zijn beschikbaar voor achterwaartse compatibiliteit.
Tip
De parserhiërarchie voegt een laag toe ter ondersteuning van aanpassing. Zie ASIM-parsers beheren voor meer informatie.
Volgende stappen
Meer informatie over ASIM-parsers:
- ASIM-parsers gebruiken
- Aangepaste ASIM-parsers ontwikkelen
- ASIM-parsers beheren
- De lijst met ASIM-parsers
Zie voor meer informatie over ASIM in het algemeen: