Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
ASIM-användare (Advanced Security Information Model) använder enande parser i stället för tabellnamn i sina frågor för att visa data i ett normaliserat format och hämta alla data som är relevanta för schemat i en enda fråga. Varje enande parser använder flera källspecifika parser som hanterar varje källas specifika information.
Information om hur parsers passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Du kan behöva hantera de källspecifika parsers som används av varje enande parser för att:
Lägg till en anpassad, källspecifik parser i en enande parser.
Ersätt en inbyggd källspecifik parser som används av en enande parser med en anpassad, källspecifik parser. Ersätt inbyggda parsers när du vill:
Använd en annan version av den inbyggda parsern än den som används som standard i den enhetliga parsern.
Förhindra automatiska uppdateringar genom att bevara den version av den källspecifika parsern som används av den enande parsern.
Använd en modifierad version av en inbyggd parser.
Konfigurera en källspecifik parser, till exempel för att definiera de källor som skickar information som är relevant för parsern.
Den här artikeln vägleder dig genom hanteringen av dina parsers.
Förhandskrav
Procedurerna i den här artikeln förutsätter att alla källspecifika parsers redan har distribuerats till din Microsoft Sentinel arbetsyta.
Mer information finns i Utveckla ASIM-parsers.
Hantera inbyggda enande parsers
Konfigurera din arbetsyta
Microsoft Sentinel användare kan inte redigera inbyggda enande parsers. Använd i stället följande mekanismer för att ändra beteendet för inbyggda enande parsers:
För att stödja tillägg av källspecifika parsers använder ASIM enhetliga, anpassade parsers. De här anpassade parsarna är arbetsytedistribuerade och kan därför redigeras. Inbyggda, enhetliga parsare hämtar automatiskt dessa anpassade parsers, om de finns.
Du kan distribuera inledande, tomma, enhetliga anpassade parsers till din Microsoft Sentinel arbetsyta för alla scheman som stöds eller individuellt för specifika scheman. Mer information finns i Distribuera inledande ASIM-tomma anpassade enande parsers på Microsoft Sentinel GitHub-lagringsplats.
För att stödja exkludering av inbyggda källspecifika parsers använder ASIM en visningslista. Distribuera visningslistan till din Microsoft Sentinel-arbetsyta från Microsoft Sentinel GitHub-lagringsplatsen.
För att definiera källtyp för inbyggda och anpassade parsers använder ASIM en visningslista. Distribuera visningslistan till din Microsoft Sentinel-arbetsyta från Microsoft Sentinel GitHub-lagringsplatsen.
Lägga till en anpassad parser i en inbyggd enande parser
Om du vill lägga till en anpassad parser infogar du en rad i den anpassade enande parsern för att referera till den nya, anpassade parsern.
Se till att lägga till både en anpassad parser för filtrering och en parameterlös anpassad parser. Mer information om hur du redigerar parsers finns i dokumentet Funktioner i Azure Övervaka loggfrågor.
Syntaxen för raden som ska läggas till är olika för varje schema:
| Schemat | Parser | Linje att lägga till |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| AuditEvent | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Autentisering | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| Dns | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| UserManagement | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
När du lägger till ytterligare en parser i en enhetlig anpassad parser som redan refererar till parser, se till att du lägger till ett kommatecken i slutet av föregående rad.
Följande kod visar till exempel en anpassad enande parser när du har lagt till added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Använda en modifierad version av en inbyggd parser
Så här ändrar du en befintlig, inbyggd källspecifik parser:
Skapa en anpassad parser baserat på den ursprungliga parsern och lägg till den i den inbyggda parsern. Du kan använda den distribuerade arbetsytans version av parsern som utgångspunkt.
Lägg till en post i visningslistan
ASim Disabled Parsers.Definiera värdet
CallerContextsomExclude<parser name>, där<parser name>är namnet på de enande parsers som du vill undanta parsern från.SourceSpecificParserDefiniera värdetExclude<parser name>, där<parser name>är namnet på den parser som du vill exkludera, utan en versionsspecificerare.
Om du till exempel vill exkludera Azure Firewall DNS-parser lägger du till följande post i visningslistan:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Förhindra en automatisk uppdatering av en inbyggd parser
Använd följande process för att förhindra automatiska uppdateringar för inbyggda källspecifika parsers:
Lägg till den inbyggda parserversion som du vill använda, till exempel
_Im_Dns_AzureFirewallV02, i den anpassade enande parsern. Mer information finns i Ovan , Lägg till en anpassad parser i en inbyggd enande parser.Lägg till ett undantag för den inbyggda parsern. Om du till exempel helt vill välja bort automatiska uppdateringar och därför exkludera ett stort antal inbyggda parsers lägger du till:
- En post med
AnysomSourceSpecificParserfält för att exkludera alla parsers förCallerContext. - En post för
Anyi CallerContext och fältenSourceSpecificParserför att undanta alla inbyggda parsers.
Mer information finns i Använda en modifierad version av en inbyggd parser.
Konfigurera de källor som är relevanta för en källspecifik parser
Vissa parsers kräver att du uppdaterar listan över källor som är relevanta för parsern. En parser som använder Syslog-data kanske till exempel inte kan avgöra vilka Syslog-händelser som är relevanta för parsern. En sådan parser kan använda Sources_by_SourceType visningslistan för att avgöra vilka källor som skickar information som är relevant för parsern. För sådana parsar lägger du till en post för varje relevant källa i visningslistan:
- Ange fältet
SourceTypetill det parserspecifika värde som anges i parserdokumentationen. -
SourceAnge fältet till identifieraren för källan som används i händelserna. Du kan behöva fråga den ursprungliga tabellen, till exempel Syslog, för att fastställa rätt värde.
Om ditt system inte har Sources_by_SourceType visningslistan distribuerad distribuerar du visningslistan till din Microsoft Sentinel-arbetsyta från Microsoft Sentinel GitHub-lagringsplats.
Nästa steg
I den här artikeln beskrivs hur du hanterar ASIM-parsers (Advanced Security Information Model).
Läs mer om ASIM-parsers:
- Översikt över ASIM-parsers
- Använda ASIM-parsers
- Utveckla anpassade ASIM-parsers
- ASIM-parsningslistan
Läs mer om ASIM i allmänhet: