Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I Microsoft Sentinel sker parsning och normalisering vid frågetillfället. Parsers skapas som KQL-användardefinierade funktioner som transformerar data i befintliga tabeller, till exempel CommonSecurityLog, anpassade loggtabeller eller Syslog, till det normaliserade schemat.
Användare använder ASIM-parsare (Advanced Security Information Model) i stället för tabellnamn i sina frågor för att visa data i ett normaliserat format och för att inkludera alla data som är relevanta för schemat i frågan.
Information om hur parsers passar in i ASIM-arkitekturen finns i ASIM-arkitekturdiagrammet.
Inbyggda ASIM-parsers och arbetsytedistribuerade parsers
ASIM-parsers är inbyggda och tillgängliga direkt i varje Microsoft Sentinel arbetsyta.
ASIM stöder även distribution av parsers till specifika arbetsytor från GitHub med hjälp av en ARM-mall. Arbetsytedistribuerade parsers används för utveckling och hantering av ASIM-parser. Arbetsytans distribuerade parsers är funktionellt likvärdiga, men har lite olika namngivningskonventioner, vilket gör att båda parseruppsättningarna kan samexistera med inbyggda parsers på samma Microsoft Sentinel arbetsyta. Läs mer om arbetsytans distribuerade parsers för att distribuera, använda och hantera dem.
Vi rekommenderar att du använder inbyggda parsers när du utvecklar ASIM-innehåll. Arbetsytedistribuerade parsers används vanligtvis under parsningsprocessen eller för att tillhandahålla ändrade versioner av inbyggda parsers enligt beskrivningen i hanteringen av parser
Parserhierarki och namngivning
ASIM innehåller två nivåer av parser: enande parser och källspecifika parsers. Användaren använder vanligtvis den enande parsern för det relevanta schemat, vilket säkerställer att alla data som är relevanta för schemat efterfrågas. Den enande parsern anropar i sin tur källspecifika parser för att utföra den faktiska parsningen och normaliseringen, vilket är specifikt för varje källa.
Det enhetliga parsernamnet är _Im_<schema> där <schema> står för det specifika schema som används. Källspecifika parsers kan också användas oberoende av varandra. Deras namngivningskonvention är _Im_<schema>_<source>V<version>. Du hittar en lista över källspecifika parsers i ASIM-parsningslistan.
Obs!
En motsvarande uppsättning parsers som använder _ASim_<schema>. Dessa parser stöder inte filtreringsparametrar och tillhandahålls för bakåtkompatibilitet.
Tips
Parserhierarkin lägger till ett lager som stöder anpassning. Mer information finns i Hantera ASIM-parsers.
Nästa steg
Läs mer om ASIM-parsers:
Mer information om ASIM finns i allmänhet: