Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Benutzer des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) verwenden in ihren Abfragen vereinheitlichende Parser anstelle von Tabellennamen, um Daten in einem normalisierten Format anzuzeigen und mit einer einzelnen Abfrage alle für das Schema relevanten Daten abzurufen. Von jedem vereinheitlichenden Parser werden mehrere quellenspezifische Parser zur Verarbeitung der spezifischen Details der jeweiligen Quelle verwendet.
Informationen zu Parsern in der ASIM-Architektur finden Sie im ASIM-Architekturdiagramm.
Die quellenspezifischen Parser, die von den einzelnen vereinheitlichenden Parsern verwendet werden, müssen ggf. verwaltet werden, wenn Sie eine der folgenden Aktionen ausführen möchten:
Hinzufügen eines benutzerdefinierten quellenspezifischen Parsers zu einem vereinheitlichenden Parser
Ersetzen eines integrierten quellenspezifischen Parsers, der von einem vereinheitlichenden Parser verwendet wird, durch einen benutzerdefinierten, quellenspezifischen Parser. Integrierte Parser können ersetzt werden, um Folgendes zu erreichen:
Verwenden einer Version des integrierten Parsers, die nicht der Version entspricht, die standardmäßig im vereinheitlichenden Parser verwendet wird
Verhindern automatisierter Updates durch Beibehalten der Version des quellenspezifischen Parsers, der vom vereinheitlichenden Parser verwendet wird
Verwenden einer modifizierten Version eines integrierten Parsers
Konfigurieren Sie einen quellspezifischen Parser, um beispielsweise die Quellen zu definieren, die relevante Informationen an den Parser senden.
Dieser Artikel führt Sie durch die Verwaltung Ihrer Parser.
Voraussetzungen
Bei den Verfahren in diesem Artikel wird davon ausgegangen, dass alle quellenspezifischen Parser bereits in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt wurden.
Weitere Informationen finden Sie im Artikel „Entwicklung von Parsern gemäß des erweiterten SIEM-Informationsmodells (Advanced SIEM Information Model, ASIM) (öffentliche Vorschau)“ unter Bereitstellen von Parsern.
Verwalten integrierter vereinheitlichender Parser
Einrichten des Arbeitsbereichs
Integrierte vereinheitlichende Parser können von Microsoft Sentinel-Benutzern nicht bearbeitet werden. Verwenden Sie stattdessen die folgenden Mechanismen, um das Verhalten integrierter vereinheitlichender Parser zu ändern:
Um das Hinzufügen quellenspezifischer Parser zu unterstützen, werden von ASIM vereinheitlichende benutzerdefinierte Parser verwendet. Diese benutzerdefinierten Parser werden im Arbeitsbereich bereitgestellt und können daher bearbeitet werden. Integrierte vereinheitlichende Parser nutzen diese benutzerdefinierten Parser automatisch (sofern vorhanden).
Sie können in Ihrem Microsoft Sentinel-Arbeitsbereich zunächst leere vereinheitlichende benutzerdefinierte Parser für alle unterstützten Schemas (oder einzeln für bestimmte Schemas) bereitstellen. Weitere Informationen finden Sie im GitHub-Repository für Microsoft Sentinel unter Anfängliches Bereitstellen leerer benutzerdefinierter vereinheitlichender ASIM-Parser.
Um das Ausschließen integrierter quellenspezifischer Parser zu unterstützen, wird von ASIM eine Beobachtungsliste verwendet. Stellen Sie die Beobachtungsliste aus dem GitHub-Repository für Microsoft Sentinel in Ihrem Microsoft Sentinel-Arbeitsbereich bereit.
Zum Definieren des Quelltyps für integrierte und benutzerdefinierte Parser verwendet ASIM eine Watchlist. Stellen Sie die Beobachtungsliste aus dem GitHub-Repository für Microsoft Sentinel in Ihrem Microsoft Sentinel-Arbeitsbereich bereit.
Hinzufügen eines benutzerdefinierten Parsers zu einem integrierten vereinheitlichenden Parser
Wenn Sie einen benutzerdefinierten Parser hinzufügen möchten, fügen Sie eine Zeile in den benutzerdefinierten vereinheitlichenden Parser ein, um auf den neuen benutzerdefinierten Parser zu verweisen.
Fügen Sie sowohl einen benutzerdefinierten Filterparser als auch einen parameterlosen benutzerdefinierten Parser hinzu. Weitere Informationen zum Bearbeiten von Parsern finden Sie im Dokument „Funktionen in Azure Monitor-Protokollabfragen“ unter Bearbeiten einer Funktion.
Die Syntax der hinzuzufügenden Zeile variiert je nach Schema:
| Schema | Parser | Hinzuzufügende Zeile |
|---|---|---|
| AlertEvent | Im_AlertEventCustom |
_parser_name_ (starttime, endtime, ipaddr_has_any_prefix, hostname_has_any, username_has_any, attacktactics_has_any, attacktechniques_has_any, threatcategory_has_any, alertverdict_has_any, eventseverity_has_any) |
| Audit-Ereignis | Im_AuditEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, eventtype_in, eventresult, actorusername_has_any, operation_has_any, object_has_any, newvalue_has_any) |
| Authentifizierung | Im_AuthenticationCustom |
_parser_name_ (starttime, endtime, targetusername_has_any, actorusername_has_any, srcipaddr_has_any_prefix, srchostname_has_any, targetipaddr_has_any_prefix, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype_in, eventresultdetails_in, eventresult) |
| DhcpEvent | Im_DhcpEventCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, srchostname_has_any, srcusername_has_any, eventresult) |
| DNS | Im_DnsCustom |
_parser_name_ (starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype) |
| FileEvent | Im_FileEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, srcipaddr_has_any_prefix, actorusername_has_any, targetfilepath_has_any, srcfilepath_has_any, hashes_has_any, dvchostname_has_any) |
| NetworkSession | Im_NetworkSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, dstipaddr_has_any_prefix, ipaddr_has_any_prefix, dstportnumber, hostname_has_any, dvcaction, eventresult) |
| ProcessEvent | Im_ProcessEventCustom |
_parser_name_ (starttime, endtime, commandline_has_any, commandline_has_all, commandline_has_any_ip_prefix, actingprocess_has_any, targetprocess_has_any, parentprocess_has_any, targetusername_has, actorusername_has, dvcipaddr_has_any_prefix, dvchostname_has_any, eventtype) |
| RegistryEvent | Im_RegistryEventCustom |
_parser_name_ (starttime, endtime, eventtype_in, actorusername_has_any, registrykey_has_any, registryvalue_has_any, registryvaluedata_has_any, dvchostname_has_any) |
| Benutzerverwaltung | Im_UserManagementCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, targetusername_has_any, actorusername_has_any, eventtype_in) |
| WebSession | Im_WebSessionCustom |
_parser_name_ (starttime, endtime, srcipaddr_has_any_prefix, ipaddr_has_any_prefix, url_has_any, httpuseragent_has_any, eventresultdetails_in, eventresult) |
Wenn Sie einem vereinheitlichenden benutzerdefinierten Parser, der bereits auf Parser verweist, einen weiteren Parser hinzufügen, muss am Ende der vorherigen Zeile ein Komma hinzugefügt werden.
Der folgende Code zeigt beispielsweise einen benutzerdefinierten vereinheitlichenden Parser nach dem Hinzufügen von added_parser:
union isfuzzy=true
existing_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype),
added_parser(starttime, endtime, srcipaddr, domain_has_any, responsecodename, response_has_ipv4, response_has_any_prefix, eventtype)
Verwenden einer modifizierten Version eines integrierten Parsers
So ändern Sie einen bereits vorhandenen integrierten quellenspezifischen Parser
Erstellen Sie einen benutzerdefinierten Parser auf der Grundlage des ursprünglichen Parsers, und fügen Sie ihn dem integrierten Parser hinzu. Sie können die bereitgestellte Arbeitsbereichsversion des Parsers als Ausgangspunkt verwenden.
Fügen Sie der Beobachtungsliste
ASim Disabled Parserseinen Eintrag hinzu.Definieren Sie den
CallerContext-Wert alsExclude<parser name>, wobei<parser name>der Name der vereinheitlichenden Parser ist, aus denen der Parser ausgeschlossen werden soll.Definieren Sie den
SourceSpecificParser-Wert alsExclude<parser name>, wobei<parser name>der Name des auszuschließenden Parsers ist (ohne Versionsangabe).
Wenn Sie also beispielsweise den DNS-Parser von Azure Firewall ausschließen möchten, muss der Watchlist folgender Eintrag hinzugefügt werden:
| CallerContext | SourceSpecificParser |
|---|---|
Exclude_Im_Dns |
Exclude_Im_Dns_AzureFirewall |
Verhindern der automatisierten Aktualisierung eines integrierten Parsers
Verwenden Sie den folgenden Prozess, um automatische Updates für integrierte quellenspezifische Parser zu verhindern:
Fügen Sie dem benutzerdefinierten vereinheitlichenden Parser die Version des integrierten Parsers hinzu, die Sie verwenden möchten (beispielsweise
_Im_Dns_AzureFirewallV02). Weitere Informationen finden Sie weiter oben unter Hinzufügen eines benutzerdefinierten Parsers zu einem integrierten vereinheitlichenden Parser.Fügen Sie eine Ausnahme für den integrierten Parser hinzu. Wenn Sie also beispielsweise automatische Updates vollständig deaktivieren und somit eine große Anzahl integrierter Parser ausschließen möchten, fügen Sie Folgendes hinzu:
- Einen Eintrag mit
Anyfür das FeldSourceSpecificParser, um alle Parser für den Aufruferkontext (CallerContext) auszuschließen - Einen Eintrag für
Anyin den Feldern für Aufruferkontext (CallerContext) und quellenspezifischen Parser (SourceSpecificParser), um alle integrierten Parser auszuschließen
Weitere Informationen finden Sie unter Verwenden einer modifizierten Version eines integrierten Parsers.
Konfigurieren der für einen quellspezifischen Parser relevanten Quellen
Einige Parser erfordern, dass Sie die Liste der Quellen aktualisieren, die für den Parser relevant sind. Beispielsweise kann ein Parser, der Syslog-Daten verwendet, möglicherweise nicht ermitteln, welche Syslog-Ereignisse für den Parser relevant sind. Ein solcher Parser kann die Sources_by_SourceType-Watchlist verwenden, um zu ermitteln, welche Quellen Informationen senden, die für den Parser relevant sind. Fügen Sie für solche Parser der Watchlist einen Datensatz für jede relevante Quelle hinzu:
- Legen Sie das
SourceType-Feld auf den parserspezifischen Wert fest, der in der Parserdokumentation angegeben ist. - Legen Sie das
Source-Feld auf den Bezeichner der Quelle fest, die in den Ereignissen verwendet wird. Möglicherweise müssen Sie die ursprüngliche Tabelle abfragen, z. B. Syslog, um den richtigen Wert zu ermitteln.
Wenn Ihr System die Sources_by_SourceType Watchlist nicht bereitgestellt hat, stellen Sie die Watchlist aus dem Microsoft Sentinel-GitHub-Repository in Ihrem Microsoft Sentinel-Arbeitsbereich bereit.
Nächste Schritte
Dieser Artikel enthält Informationen zum Verwalten der ASIM-Parser (Advanced Security Information Model, erweitertes Sicherheitsinformationsmodell).
Weitere Informationen zu ASIM-Parsern finden Sie hier:
- Übersicht über ASIM-Parser
- Verwenden von ASIM-Parsern
- Entwickeln benutzerdefinierter ASIM-Parser
- Liste der ASIM-Parser
Weitere Informationen zur ASIM im Allgemeinen finden Sie hier:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)