Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Använd ASIM-parsare (Advanced Security Information Model) i stället för tabellnamn i dina Microsoft Sentinel frågor för att visa data i ett normaliserat format och för att inkludera alla data som är relevanta för schemat i din fråga. Se tabellen nedan för att hitta relevant parser för varje schema.
Förena parsrar
När du använder ASIM i dina frågor använder du enande parsrar för att kombinera alla källor, normalisera till samma schema och fråga dem med hjälp av normaliserade fält. Det enande parsernamnet är _Im_<schema>, där <schema> står för det specifika schema som används.
Följande fråga använder till exempel den inbyggda enande DNS-parsern för att fråga DNS-händelser med hjälp av fälten ResponseCodeName, SrcIpAddroch TimeGenerated normaliserade:
_Im_Dns(starttime=ago(1d), responsecodename='NXDOMAIN')
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
I exemplet används filtreringsparametrar som förbättrar ASIM-prestanda. Samma exempel utan filtreringsparametrar skulle se ut så här:
_Im_Dns
| where TimeGenerated > ago(1d)
| where ResponseCodeName =~ "NXDOMAIN"
| summarize count() by SrcIpAddr, bin(TimeGenerated,15m)
I följande tabell visas tillgängliga enande parsers:
| Schemat | Ena parser |
|---|---|
| Aviseringshändelse | _Im_AlertEvent |
| Tillgångsentitet | _Im_AssetEntity |
| Granskningshändelse | _Im_AuditEvent |
| Autentisering | _Im_Authentication |
| DHCP-händelse | _Im_DhcpEvent |
| Dns | _Im_Dns |
| Filhändelse | _Im_FileEvent |
| Nätverkssession | _Im_NetworkSession |
| Processhändelse | _Im_ProcessCreate _Im_ProcessTerminate |
| Registerhändelse | _Im_RegistryEvent |
| Användarhantering | _Im_UserManagement |
| Webbsession | _Im_WebSession |
Optimera parsning med parametrar
Att använda parsers kan påverka frågeprestandan, främst från att filtrera resultaten efter parsning. Därför har många parsers valfria filtreringsparametrar, vilket gör att du kan filtrera innan du parsar och förbättrar frågeprestanda. Med frågeoptimering och förfiltering ger ASIM-parsers ofta bättre prestanda jämfört med att inte använda normalisering alls.
När du anropar parsern använder du alltid tillgängliga filtreringsparametrar genom att lägga till en eller flera namngivna parametrar för att säkerställa optimala prestanda för ASIM-parsarna.
Varje schema har en standarduppsättning filtreringsparametrar som dokumenteras i relevant schemadokumentation. Filtreringsparametrar är helt valfria.
Ett exempel på hur du använder parser för filtrering finns i Unifying parsers (Ena parsrar).
Paketparametern
För att säkerställa effektivitet underhåller parsers endast normaliserade fält. Fält som inte normaliseras har mindre värde när de kombineras med andra källor. Vissa parsers stöder paketparametern . När packparametern har angetts till truepackar parsern extra data i det dynamiska fältet AdditionalFields .
I artikeln parsers listar vi parsers som stöder packparametern .
Relaterat innehåll
Mer information finns i: